법무법인(유) 화우
scroll

법무법인(유한) 화우 소셜 미디어

  1. Home
  2. Insights
  3. 뉴스레터

인공지능기본법 하위법령 제정 방향 공개

  • 뉴스레터
  • 2025.09.09
250909_k_ai.pdf

2024년 12월 국회를 통과한 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 “인공지능기본법”)이 2026년 1월 시행을 앞두고 있습니다. 과학기술정보통신부(이하 “과기정통부”)는 최근 하위법령 제정 방향을 공개하며, 시행령의 초안을 마련했습니다. 이번 작업은 약 80여 명의 민간 전문가가 참여한 ‘하위법령 정비단’을 중심으로 산업계·학계·시민단체·관계 부처와의 70여 차례 의견수렴을 거쳐 추진되었습니다.

 

정부는 AI 산업 육성을 위한 정부 지원안을 마련하는 한편, 안전성과 신뢰성에 관한 구체적 규정을 명확히 하여 기업의 규제 불확실성을 줄이는 방식을 채택했습니다. 또한 시행 초기에는 과태료 계도기간을 운영해 기업들이 제도에 적응할 시간을 확보할 수 있도록 설계했습니다.

 

본 뉴스레터에서는 인공지능기본법 하위법령 제정이 인공지능 서비스 기업에게 어떤 영향을 미칠 수 있는지, 앞으로 유의해야 할 사항이 무엇인지 살펴보고자 합니다.

 

 

1. 배경

2. 인공지능기본법 시행령의 주요 내용

3. 시사점

 

 

1. 배경

 

과기정통부는 인공지능기본법의 하위법령 제정 방향을 공개했습니다. 인공지능기본법은 2024년 12월 국회를 통과했으며, 2026년 1월부터 시행될 예정입니다. 정부는 시행을 앞두고 민간 전문가 약 80명으로 구성된 ‘하위법령 정비단’을 운영하여, 산업계·학계·시민단체·관계 부처와 약 70차례의 의견수렴을 거쳐 시행령(총 34개 조문)의 초안을 마련하고(이하 “시행령”) 고시·가이드라인을 준비하고 있습니다.

 

정책 설계는 거버넌스는 최소화하면서도, 안전·신뢰 분야는 고시와 가이드라인을 통해 구체화하는 방식으로 기업의 규제 불확실성을 낮추는 데 초점이 맞춰졌습니다. 아울러 시행 초기 기업 혼란을 완화하기 위해 과태료 계도기간을 병행 운영할 계획입니다.

 

향후 일정은 △9월 제정 방향 공개 및 의견수렴 △10~11월 입법예고·심사 △12월 시행령·고시 확정 및 가이드라인 공개 순으로 제시되었습니다.

 

 

2. 인공지능기본법 시행령의 주요 내용

 

    가. 적용범위 및 국가인공지능위원회 출범

 

인공지능기본법은 국외에서 이루어진 행위라도 국내 시장 또는 이용자에게 영향을 미치면 적용 됩니다. 다만, 국방·국가안보 목적으로만 개발·이용되는 인공지능은 제외됩니다. 시행령은 이러한 제외 대상을 구체화하여, 국가정보원·국방부·경찰청이 수행하는 지정 업무를 명시적으로 제외 대상에 포함시켰습니다(시행령 제2조). 실무적으로는 보안·방첩, 무기체계 개발·운용 등 법령에 근거한 특정 안보 업무가 제외 범위에 해당합니다.

 

국가AI위원회는 ‘국가AI전략위원회’로 개편되어, 부처 간 정책 조정, 이행점검, 성과관리 기능이 강화 됩니다. 또한 최고AI책임자(CAIO) 및 CAIO 협의회 운영 근거가 신설되며, 위원회 운영을 지원할 지원단, 정책 개발·국제규범 정립을 담당하는 인공지능정책센터, 안전 정책·기술·표준화를 전담하는 인공 지능안전연구소의 근거도 마련됩니다. 다만 기업의 직접적 의무와는 거리를 두고 최소한의 틀로 설계된 것이 특징입니다.

 

    나. 투명성 확보 의무(시행령 제22조)

 

생성형 또는 고영향 인공지능을 기반으로 제품·서비스를 제공하는 경우, 서비스가 인공지능에 의해 운용된다는 사실을 사전에 고지해야 하며, 생성형 인공지능이 산출한 결과물에는 사람이거나 기계가 판독할 수 있는 방식으로 생성 사실을 표시해야 합니다. 특히 실제와 구분하기 어려운 합성 음향· 이미지·영상(딥페이크)의 경우 명확한 고지·표시가 요구되며, 다만 예술적·창의적 표현물은 전시·향유를 저해하지 않는 범위에서 허용됩니다.

 

사전고지는 계약서·설명서·이용약관 기재, 화면(UI) 표시, 제공 장소 게시 등으로 이행 가능하며, 결과물 표시는 비가시적 워터마크도 인정됩니다. 내부 업무용이거나 제품·서비스명만으로 인공지능 활용이 명백한 경우 등에는 예외가 적용됩니다. 표시 단위·형식별 방법·워터마크 적용 방식, 사전고지 사례 등은 추후 가이드라인으로 보완될 예정입니다.

 

<인공지능 서비스 사전고지 방법(시행령 제22조 제1항)>

 

 

    다. 고성능 인공지능 안전성 확보 의무(시행령 제23조)

 

학습에 사용된 누적 연산량이 10의 26승 부동소수점 연산 이상이거나, 장관 고시에 의해 지정되는 인공지능시스템은 수명주기 전반에 걸쳐 위험을 식별·평가·완화하고, 안전사고 모니터링 및 대응을 위한 위험관리체계를 구축해야 합니다. 이는 EU AI Act의 10의 25승 부동소수점 연산의 기준과 유사합니다.

 

이행 결과는 과기정통부 장관에게 제출해야 하며, 누적 연산량의 산정 방식과 세부 기준은 고시로 정해집니다. 아래의 고영향 인공지능이 정성적 기준(기본권 영향)에 초점을 두는 반면, 고성능 인공지능은 정량 임계치(연산량)에 기반해 안전성 확보를 요구한다는 점에서 구조적 차이가 있으며, 양 체계는 병행 적용될 수 있습니다.

 

    라. 고영향 인공지능: 판단·확인 절차 및 사업자 책무(시행령 제24조 내지 제27조)

 

고영향 인공지능은 생명·신체·기본권에 중대한 영향을 미칠 수 있는 시스템을 의미하며, 에너지· 보건의료·원자력·교통·교육 등 특정 영역에서 활용되는 경우를 중심으로 판단됩니다. 해당 여부는 사용 영역, 기본권 위험의 영향·중대성·빈도, 영역별 특수성을 종합 고려하여 결정됩니다. 사업자는 자율적으로 검토 후 필요 시 과기정통부 장관에게 확인을 요청할 수 있고, 장관은 통상 30일 내 회신하도록 되어 있습니다(연장 가능). 재확인 요청이 있는 경우에는 50인 이상 전문가 자문을 거쳐 다시 30일 내 회신이 이뤄집니다(시행령 제24조).

 

고영향으로 판단된 경우, 사업자는 △위험관리 방안(조직 운영·교육 포함) △설명방안(최종 결과·주요 기준·학습데이터 개요) △이용자 보호(보안·오작동 방지·피드백 절차) △사람의 관리·감독 △조치의 문서화·보관(5년)을 이행해야 하며, 주요 내용은 홈페이지 등에 공개해야 합니다(영업비밀 제외). 개발사업자가 해당 조치를 이행한 시스템을 이용하고 중대한 기능 변경이 없는 경우, 이용사업자의 이행으로 간주되며, 타 법령상 동등한 조치를 이미 이행한 경우에도 동일하게 인정됩니다(시행령 제26조).

 

아울러, 고영향 인공지능을 활용한 제품·서비스는 사람의 기본권에 미치는 영향을 사전에 평가할 것이 권고됩니다. 공공부문은 영향평가를 거친 제품·서비스를 우선적으로 고려하도록 설계되어 있습니다. 영향평가에는 △영향받는 대상 및 기본권 유형 △사회·경제적 영향의 범위 △사용 행태 △정량·정성 지표 및 산출 방식 △위험의 예방·손실 복구·개선 계획 등이 포함됩니다(시행령 제27조 제1항). 사업자가 직접 수행할 수도 있고 제3자 위탁도 가능하며, 구체적 방법과 내용은 장관이 수립·보급할 수 있습니다.

 

즉, 고영향 인공지능의 규율은 “판단 → 확인 절차 → 사업자 책무 → 영향평가”로 이어지는 일련의 관리 체계 속에서 이루어집니다. 이는 단순한 위험 대응이 아니라, 사업자가 사전에 위험을 평가하고 그 결과를 정책적으로 반영하도록 설계된 점에서 의미가 큽니다.

 

<고영향 인공지능 영향 평가 항목(시행령 제27조 제1항)>

 

 

    마. 해외사업자의 국내대리인 지정

 

국내 주소나 영업소가 없는 인공지능사업자라 하더라도, △전년도 매출 1조원 이상 △AI 서비스 매출 100억원 이상 △국내 이용자 일평균 100만명 이상 △안전성 사건 관련 자료 제출 요구를 받은 경우 등 일정 기준에 해당하면 국내대리인을 지정·신고해야 합니다. 국내대리인의 위반은 본사 위반으로 간주되며, 대리인은 고성능 인공지능 이행결과 제출, 고영향 여부 확인 요청, 고영향 사업자 책무 이행 지원 등을 담당합니다.

 

    바. 사실조사·시정명령 및 과태료

 

위반 사실 인지 또는 신고 접수 시 과기정통부는 사실조사와 시정명령을 내릴 수 있습니다. 사전고지 미이행, 국내대리인 미지정, 시정명령 불이행의 경우 최대 3천만 원 과태료가 부과됩니다. 다만 시행 초기에는 계도기간이 운영되어 기업에 준비 시간을 부여할 예정이며, 구체적 기간과 방식은 의견수렴을 거쳐 확정됩니다.

 

    사. AI 산업 육성

 

정부는 R&D, 표준화, 학습용 데이터 구축·제공, 기업의 AI 도입·활용 컨설팅 및 교육, 중소·벤처 대상 검·인증 및 영향평가 비용 지원, 국제협력·해외진출, 집적단지·실증기반 조성 등을 지원합니다. 특히 2026년에는 안전·신뢰 검·인증 및 AI 영향평가 관련 예산을 확보해 기업 부담을 완화하고 자발적 참여를 유도할 계획이며, 공공부문은 검·인증을 받은 AI 제품·서비스를 우선 고려할 수 있습니다.

 

 

3. 시사점

 

    가. 이미지 생성형 AI 서비스 제공 기업

 

이미지, 영상 생성 AI 서비스를 제공하는 기업에게는 “생성형 결과물에 대한 사전고지·표시 의무”가 핵심 부담입니다. 따라서 서비스 전면에 일관된 고지 UX를 설계하고, 결과물 파일 단위에는 비가시적 워터마크를 병행하는 것이 바람직합니다. 합성 이미지·영상(딥페이크)의 경우 연령대·접근성을 고려한 명확한 표시가 요구되므로, 뷰어·플레이어 내 상시 노출과 다운로드 파일 메타데이터 병행 설계가 분쟁 가능성을 줄이는 안전한 방안입니다. 내부업무용 예외를 검토하더라도 결과물의 외부 반출 가능성을 고려한다면 기본값은 ‘표시’로 두는 것이 리스크 관리에 유리합니다.

 

    나. 해외 LLM API를 연동해 서비스하는 기업

 

해외 API를 활용하더라도 최종 사용자 접점에서의 사전고지·표시 책임은 전적으로 국내 서비스 제공자에게 귀속됩니다. 따라서 프런트엔드 차원의 고지·표시 라우팅과 로그·증빙 관리 체계를 자체적으로 마련해야 합니다. 고영향 가능성이 있는 워크플로우의 경우, 공급계약에서 벤더가 위험관리·설명·이용자 보호 의무를 지속적으로 이행하도록 명시하고, 모델 변경 시 ‘중대한 기능 변경’ 여부를 사전 심사·통지 절차에 포함하는 것이 필요합니다.

 

    다. 자체 LLM을 개발·학습하는 기업

 

규제 대응의 분기점은 누적 학습 연산량(10의 26승 부동소수점 연산) 임계 도달 여부입니다. 따라서 모델별·버전별 연산량 산정 로직을 문서화하고, 임계치 도달 전 단계부터 △위험 식별·평가·완화 △독립 위험평가팀 운영 △비상 대응계획 수립 등을 순차적으로 가동해야 합니다. 생성형 기능을 외부에 제공하는 경우에는 고지·표시와 함께 워터마크의 내구성을 실제 편집·압축·플랫폼 유통 환경에서 검증해 유지율을 높이는 것이 중요합니다. 또한 모델 적용 분야가 고영향 판단 영역에 걸쳐 있는 경우, 초기 기획 단계에서 규제 지위 확인 절차를 선제적으로 수립해야 합니다.

 

    라. AI 페르소나·버추얼 인플루언서 제작 기업

 

현실 인물의 음성·이미지·영상을 기반으로 실제와 유사한 결과물을 제공하는 경우, 이는 딥페이크에 해당할 수 있어 명확한 고지·표시 체계가 필수적입니다. 이용자 연령대·접근성을 고려한 고지 강도와 노출 위치를 세밀하게 설계해야 하며, 예술적·창의적 표현물이라 하더라도 전시·향유를 저해하지 않는 범위에서 표시가 요구됩니다. 광고·커머스 연계 시에는 표시 누락이 곧 평판·법적 분쟁 리스크로 직결 되므로, 대행사·플랫폼과의 계약에서 고지·표시 책임과 증빙 보관 의무를 명확히 하는 것이 안전합니다.

 

    마. B2B 시스템통합(SI) 및 내부용 AI 솔루션 제공 기업

 

고객사의 내부업무용 활용은 투명성 의무의 예외 사유에 해당할 수 있으나, 결과물이 외부 고객이나 일반 국민에게 제공되는 순간 의무가 부활합니다. 따라서 제안·계약 단계에서 활용 범위와 외부 반출 조건을 엄격히 정의하고, 출력물 외부 전송 시 자동 표시가 활성화되도록 기본 설계를 해두는 것이 바람직합니다. 또한 에너지·교통·교육 등 고영향 가능성이 높은 산업의 고객사에는 초기 단계에서 고영향 사전진단 및 확인 요청 절차를 포함하는 프로젝트 거버넌스를 제안하는 것이 리스크 예방에 유리합니다.

 

    바. 공공시장·규제 산업 납품 기업

 

공공부문은 검·인증 수검 제품·서비스와 고영향 영향평가 이력이 있는 제품을 우선 고려합니다. 따라서 기업은 검·인증 참여 및 영향평가 수행을 조달 전략의 전면에 배치해야 합니다. 또한 제안서·계약서 단계에서 고영향 사업자 책무 이행, 설명방안·이용자 보호 체계, 문서 보관 및 홈페이지 공개 항목을 구체적으로 명시해 평가 단계에서 신뢰성을 입증할 필요가 있습니다.

 

    사. 국내 주소·영업소가 없는 해외 AI 기업

 

전년도 매출·국내 이용자 규모 등 일정 기준에 해당하면 국내대리인 지정·신고 의무가 발생합니다. 대리인의 위반은 곧 본사의 위반으로 간주되며, 대리인은 고성능 인공지능 이행결과 제출, 고영향 여부 확인 요청, 사업자 책무 이행 지원 등을 수행하게 됩니다. 따라서 계약 단계에서 대리인에 대한 통제·감사 권한, 자료 제출 SLA를 명확히 규정해야 합니다. 아울러 한국 내 파트너사와 협력할 때에도 투명성 고지·표시와 고영향 책무의 실행 주체를 명확히 구분하여 책임 공백을 방지해야 합니다.

 

마치면서

 

이번 하위법령은 투명성 고지·표시, 고성능·고영향 인공지능 규제 이원화, 영향평가 및 국내대리인 제도를 축으로 기업에게 ‘문서화 및 제출에 기반한 의무’를 요구하는 구조로 설계되었습니다. 시행 초기 과태료 계도기간이 운영되더라도, 사전고지·표시, 위험관리·설명·이용자 보호 그리고 누적 연산량 산정 및 보고 등은 모두 문서 보관·자료 제출·홈페이지 게시를 전제로 하므로, 기업의 내부 통제와 기록관리 체계가 곧 규제 대응 역량으로 직결될 것입니다.

 

특히 공공조달·B2B 영역에서는 인증 여부와 영향평가 이력이 향후 사업 경쟁력의 핵심 요소로 작용할 가능성이 큽니다. 이에 따라 규제 준수를 단순한 비용이 아닌, 영업 신뢰도 및 브랜드 가치 제고를 위한 전략적 투자로 인식할 필요가 있습니다.

 

또한 경계선상에 있는 활용 사례에 대해서는 기업의 리스크가 한층 가중될 전망입니다. 과거에는 내부 해석만으로 규제 대상 여부를 판단해 사업을 추진할 수 있었지만, 앞으로는 분쟁 가능성을 고려해 사전 확인 요청 절차를 내재화하고 보수적 해석을 전제로 한 선제적 거버넌스 설계가 불가피합니다.

 

결국 기업의 법무·컴플라이언스 조직은 △사전고지·표시 체계 △위험관리·설명·이용자 보호 절차 △누적 연산량 산정·보고 △국내대리인 지정 등을 제품·조직·계약 차원의 표준 운영절차를 조기에 내재화해야 합니다. 계도기간은 단순한 유예가 아니라 실질적인 준비 기간으로 활용해, 선제적으로 체계를 완비하는 것이 향후 경쟁력 확보의 핵심 과제가 될 것입니다.

 

 

화우 AI센터는 인공지능 산업에 전문성을 가진 전문가 및 유관기관에서 다양한 실무경험을 쌓은 전문인력으로 구성되어 있습니다. 인공지능 분야에 관한 모든 법률 문제에 신속하게 대응할 수 있도록 이슈를 선제적으로 안내하고, 그에 따른 적시 도움을 드리겠습니다. 이와 관련하여 문의사항이 있으신 경우 언제든지 연락하여 주시기 바랍니다.

관련 분야
#AI센터

관련 구성원

이광욱
이광욱
이근우
이근우
정호선
정호선
구소현
구소현
정종현
정종현
경기룡
경기룡
BACK TO LIST

웹접근성

법무법인(유한) 화우는 장애인 및 비장애인이 동등하게 웹서비스를 이용하실 수 있도록, 웹접근성 지침을 준수하여 웹사이트를 제작하였습니다. 앞으로도 고객의 편리한 이용을 위해 지속적으로 개선해 나갈 예정입니다.

국제정보보호인증 ISO 27001

국제정보보호인증 ISO 27001
최종제출 후 지원서를 수정하실 수 없습니다. 최종제출 전 미리보기로 출력할 수 있습니다. 작성하신 지원서를 최종제출 하시겠습니까?
최종제출 후 지원서를 수정하실 수 없습니다. 최종제출 전 미리보기로 출력할 수 있습니다. 작성하신 지원서를 최종제출 하시겠습니까?