블로그무료 검색
AI 윤리플랫폼 자율규제EU GPAI 실무강령

EU GPAI 실무강령 D-52 — 메타의 서명 거부·xAI 부분 서명·8월 집행 카운트다운, 26개사 자율규제는 딥페이크 피해자를 보호할 수 있는가

2026-06-11·13분 읽기
EU GPAI 실무강령 메타 서명 거부 8월 집행 카운트다운 2026

2026년 6월 11일 현재, EU AI 법의 범용 AI(GPAI) 실무강령 집행 시작까지 정확히 52일이 남았습니다. 2025년 7월 10일 유럽 AI 사무소(AI Office)가 최종 발표한 GPAI 실무강령에는 아마존·앤트로픽·구글·IBM·마이크로소프트·오픈AI·알레프 알파·코히어·미스트랄 AI 등 26개 주요 AI 기업이 서명했습니다. 그러나 세계 최대 소셜 미디어 기업 메타(Meta)는 유일하게 서명을 거부했습니다. 메타의 최고 글로벌 담당 임원 조엘 캐플런(Joel Kaplan)은 실무강령이 '법적 불확실성을 야기하고 EU AI 법의 위임 범위를 벗어난 규정을 포함하며 혁신을 저해한다'는 세 가지 이유를 들었습니다. 머스크의 xAI는 안전·보안 챕터에만 서명하는 부분 서명 전략을 택했습니다. 8월 2일 집행 개시 이후 위반 시 최대 €3,500만 또는 글로벌 연간 매출의 7%가 부과됩니다. 이 자율규제 프레임워크가 딥페이크 피해자 보호에 실질적인 의미를 갖는지, 한국 AI 기본법 시행 맥락에서 무엇을 시사하는지 완전 분석합니다.

GPAI 실무강령이란 무엇인가 — EU AI 법의 자율규제 축

EU AI 법(Regulation (EU) 2024/1689)은 GPT-4·Claude·Gemini·Llama 등 대규모 언어모델(LLM)처럼 다양한 작업에 범용으로 쓰이는 AI 모델을 '범용 AI(General-Purpose AI, GPAI) 모델'로 정의하고, 이들 모델의 공급자(provider)에게 투명성·저작권 준수·안전 의무를 부과합니다. 특히 고급 GPAI 모델(학습 연산량 10²⁵ FLOP 이상)은 '시스템적 위험'을 초래할 수 있다고 보아 추가적인 안전 평가·위험 완화·사건 보고 의무가 적용됩니다. 유럽 AI 사무소는 이 의무를 이행하는 구체적인 방법을 제시하기 위해 GPAI 실무강령(Code of Practice)을 개발했습니다.

GPAI 실무강령은 약 1,000명의 다중 이해관계자가 4차례의 초안 협의를 거쳐 2025년 7월 10일 최종본을 확정했습니다. 3개 챕터 구조로 이루어져 있습니다. ① 투명성(Transparency) 챕터: 모델 문서화 양식(Model Documentation Form) 작성 및 하위 공급자를 위한 정보 공개 의무. ② 저작권(Copyright) 챕터: 저작권 정책 수립, robots.txt 등 기술적 조치 준수, 권리자 연락처 지정. ③ 안전·보안(Safety & Security) 챕터: 시스템적 위험 GPAI 모델에만 적용되며, 안전·보안 프레임워크 수립, 시스템적 위험 분석, 심각한 사건 유럽 AI 사무소 보고. 실무강령에 서명하면 EU AI 법 준수에 대한 '적합 추정(presumption of conformity)'을 얻게 됩니다. 즉 서명하지 않은 기업은 '대안적 방법'으로 준수를 입증해야 하며, 이는 실질적으로 더 까다로운 증명 부담을 의미합니다.

26개사 서명 완료 — 누가 서명했고 무엇을 약속했나

2025년 7월 기준 GPAI 실무강령에 서명한 주요 기업은 다음과 같습니다. 아마존(Amazon), 앤트로픽(Anthropic), 구글(Google/Alphabet), IBM, 마이크로소프트(Microsoft), 오픈AI(OpenAI), 알레프 알파(Aleph Alpha, 독일), 코히어(Cohere, 캐나다), 미스트랄 AI(Mistral AI, 프랑스), 팔콘(Falcon/TII, 아랍에미리트) 등 26개 기업이 3개 챕터 모두에 서명했습니다. 단, 일론 머스크의 xAI는 안전·보안 챕터에만 서명하는 부분 서명을 택했습니다. 이는 투명성과 저작권 챕터는 서명하지 않았다는 의미로, xAI의 그록(Grok) 모델이 어떤 데이터로 학습됐는지, 저작권 보호 조치가 무엇인지 EU AI 사무소에 공개하지 않아도 된다는 뜻입니다. 다만 안전·보안 챕터를 서명함으로써 시스템적 위험 분석과 사고 보고 의무는 받아들인 셈입니다.

서명 기업들이 얻는 혜택은 구체적입니다. 첫째, 유럽 AI 사무소가 준수 여부를 조사할 때 '적합 추정'이 적용되어 피조사 기업의 증명 부담이 크게 줄어듭니다. 둘째, 위반 행위로 과징금이 부과될 경우 AI 사무소는 실무강령에 따른 이행 노력을 감경 사유로 고려합니다. 셋째, 서명 기업은 실무강령 거버넌스에 직접 참여하는 '서명자 태스크포스(Signatory Taskforce)'에 합류할 수 있어, 향후 규범 개정 과정에서 영향력을 행사할 수 있습니다. 반면 서명하지 않은 기업은 EU AI 법 준수를 '대안적 방법'으로 증명해야 하며, 이는 사실상 기업이 자체적으로 모든 규정을 충족한다는 것을 문서화해야 함을 의미합니다. 법률 전문가들은 이를 '더 어렵고 비용이 많이 드는 길'이라고 평가합니다.

메타의 거부 — 조엘 캐플런의 세 가지 이유와 그 이면

2025년 7월 18일, 메타의 최고 글로벌 담당 임원 조엘 캐플런은 회사가 GPAI 실무강령에 서명하지 않겠다고 공식 발표했습니다. 캐플런이 제시한 세 가지 이유는 다음과 같습니다. 첫째, **법적 불확실성**: 실무강령이 모델 개발자에게 'AI 법이 위임한 범위를 벗어난 법적 의무'를 도입했다는 것입니다. 특히 저작권 챕터의 구체적 조항들이 EU AI 법 본문에 명시적으로 규정되지 않은 의무를 부과한다고 주장했습니다. 둘째, **규제 과잉**: 실무강령의 일부 요건이 EU AI 법의 위임 범위를 벗어나 과도한 간섭(excessive interference)에 해당한다는 것입니다. 셋째, **혁신 저해**: 실무강령의 요건들이 '유럽에서의 최전선 AI 모델 개발과 배포를 억제할 것(throttle)'이라고 주장했습니다.

메타의 거부는 표면적 이유 이면에 더 복잡한 전략적 계산이 깔려 있다는 분석이 지배적입니다. 메타는 Llama 시리즈를 오픈소스로 공개하는 전략을 택해왔으며, 오픈소스 모델의 투명성 요건 적용이 영업 비밀 공개로 이어질 수 있다는 우려가 있습니다. 또한 메타는 EU 내 디지털 서비스법(DSA) 위반으로 이미 여러 조사를 받고 있는 상황에서, GPAI 실무강령이 또 다른 규제 리스크 창구가 될 것을 우려한다는 분석도 있습니다. 유로뉴스는 '메타가 서명을 거부한 것은 EU 규제 당국과의 전략적 협상 카드를 유지하려는 의도일 수 있다'고 보도했습니다. 유럽 위원회는 메타의 거부에 대해 '실무강령은 자발적이지만, 서명하지 않은 기업은 규제 당국의 더 철저한 조사를 받을 수 있다'고 경고했습니다.

D-52: 8월 2일 집행 카운트다운 — 최대 €3,500만 또는 연 매출 7%

EU AI 법 GPAI 관련 규정(제51조~제58조)은 2025년 8월 2일부터 시행에 들어갔지만, 유럽 위원회의 실제 집행 권한은 2026년 8월 2일부터 발동됩니다. 이 1년의 유예 기간 동안 기업들은 실무강령 서명과 준수 체계 구축을 마무리해야 했습니다. 2026년 6월 11일 현재 집행 시작까지는 정확히 52일이 남았습니다. 집행 개시 후 유럽 위원회는 문서 요청, 현장 접근, 모델 리콜 명령 등의 권한을 갖게 됩니다. 위반 시 제재는 두 가지 수준으로 나뉩니다. 일반 위반은 €1,500만 또는 전 세계 연간 매출의 3% 중 더 높은 금액이고, 잘못된 정보 제공 등 절차적 위반은 €750만 또는 매출의 1.5%입니다. 특히 위험 임계값을 가진 시스템적 위험 모델에 대한 중대한 의무 위반의 경우 €3,500만 또는 매출의 7%까지 올라갑니다.

메타·xAI처럼 실무강령 전체에 서명하지 않은 기업들은 집행 개시 이후 가장 먼저 조사를 받을 가능성이 높습니다. 로펌 Latham & Watkins는 '메타가 직면한 잠재적 과징금은 매출 규모를 감안할 때 수십억 유로에 달할 수 있다'고 경고했습니다. 2025년 기준 메타의 글로벌 연간 매출은 약 1,650억 달러(약 1,500억 유로)이므로, 7% 과징금은 최대 €105억(약 11.4조원)에 이릅니다. 물론 최대 과징금이 실제로 부과되는 사례는 드물지만, EU의 기록을 볼 때 — 구글(€8.25억), 메타(€13.2억 GDPR 위반) 등 — 상징적이지 않은 수준의 제재가 내려질 가능성은 충분합니다.

자율규제의 딜레마 — '적합 추정'은 실제로 피해자를 보호하는가

GPAI 실무강령이 강조하는 '투명성'과 '안전·보안'은 딥페이크 피해자 보호에 직접적인 연결 고리가 있습니다. 투명성 챕터는 GPAI 모델이 어떤 목적으로 사용될 수 있고 어떤 위험이 있는지 하위 배포자(deployer)에게 알리도록 요구합니다. 즉 누드화(nudification) 앱이나 딥페이크 생성 서비스를 만드는 기업이 API로 GPAI 모델을 사용한다면, 해당 GPAI 모델 공급자는 이런 사용이 모델의 허용 정책(acceptable use policy)을 위반한다는 것을 명확히 알려야 합니다. 안전·보안 챕터는 '악용 가능성이 있는 사용 사례'에 대한 시스템적 위험 분석을 요구합니다. 딥페이크 포르노 생성, 신원 사기, 선거 조작 등이 이에 포함됩니다. 서명 기업은 이러한 위험에 대한 완화 조치를 마련하고 유럽 AI 사무소에 사고를 보고해야 합니다.

그러나 비판론자들은 '자율규제의 근본적 한계'를 지적합니다. 핵심은 집행 가능성(enforceability)입니다. 실무강령을 준수하는 기업이 실제로 딥페이크 피해를 예방하지 못했을 때, 피해자는 어떤 법적 구제를 받을 수 있을까요? EU AI 법 자체는 개인의 직접 소송 청구권(private right of action)을 명시적으로 부여하지 않습니다. 피해자는 EU AI 법 위반을 이유로 GPAI 모델 공급자를 직접 고소할 수 없으며, 규제 당국에 신고한 후 당국이 조사를 진행하는 간접 경로만 가능합니다. 이는 미국의 DEFIANCE Act(개인 직접 민사소송권, 최대 $150,000 배상)나 영국의 Crime and Policing Act 2026(딥페이크 도구 공급자 형사책임)과 대비되는 구조입니다. 결국 GPAI 실무강령은 플랫폼이 악의적 사용을 방지할 인프라를 갖추도록 하는 '사전 예방 메커니즘'이지, 피해 발생 후 피해자를 직접 구제하는 '사후 구제 메커니즘'이 아닙니다.

한국 AI 기본법과의 비교 — 자율규제와 강행규범 사이

한국은 2024년 12월 세계 두 번째로 AI 전문 기본법(인공지능 발전과 신뢰 기반 조성 등에 관한 법률)을 국회에서 통과시켰으며, 2026년 1월 22일부터 시행에 들어갔습니다. AI 기본법은 '고위험 AI' 개념을 도입하여 신체·생명 안전 영역, 생체정보 처리, 선거 시스템 등에서 사용되는 AI에 대해 사전 적합성 평가, 위험 관리 시스템 구축, 인간 감독 기능 확보 의무를 부과합니다. 딥페이크와 직접 관련해서는 기존 성폭력처벌법·정보통신망법 등 특별법 체계가 유지되며, AI 기본법은 일반 원칙을 제공하는 구조입니다. EU GPAI 실무강령과 비교하면, 한국 AI 기본법은 강행규범(mandatory norm) 성격이 더 강합니다. 실무강령이 '자발적 서명 + 적합 추정'의 자율규제 인센티브 모델이라면, AI 기본법은 고위험 AI 사업자에게 법정 의무를 직접 부과합니다.

그러나 한국 AI 기본법 역시 한계가 있습니다. 법 시행 후 1년이 지났지만 고위험 AI 목록을 확정하는 대통령령이 아직 완전히 정비되지 않았으며, 딥페이크 성범죄 AI 도구가 명확하게 고위험 AI로 분류되는지에 대한 해석 논쟁이 남아 있습니다. 과학기술정보통신부는 2026년 상반기 AI 기본법 시행령 개정을 예고했지만, 구체적인 딥페이크 규제 조항은 여전히 미흡하다는 지적이 있습니다. 이런 맥락에서 EU GPAI 실무강령의 메타 거부 사태는 한국에도 중요한 시사점을 줍니다. 강행규범이냐 자율규제냐의 선택이 아니라, '실효성 있는 집행 메커니즘'을 갖추는 것이 핵심이라는 점입니다. EU 모델이 보여주는 것처럼, 자율규제도 강력한 집행 뒷받침(€35M·7% 과징금)이 있어야 실질적 의미를 갖습니다. 한국 AI 기본법의 실효성도 결국 이행 강제 메커니즘의 구체화에 달려 있습니다.

참고 자료 / References