중국 CAC, AI '디지털 휴먼' 전면 규제 초안 공개 — 동의 없는 얼굴·목소리 생성 금지, 미성년자 가상 연애 차단, 생체인증 우회 형사처벌

규정의 배경 — 디지털 휴먼 산업 폭발적 성장과 부작용

중국의 디지털 휴먼 산업은 2025년 기준 시장 규모 약 300억 위안(약 5조 7,000억 원)으로 추산됩니다. 방송·엔터테인먼트 분야에서는 실존 연예인의 디지털 분신이 24시간 라이브 커머스를 진행하고, 교육 분야에서는 AI 교사 아바타가 수백만 학생을 동시에 지도하며, 의료 분야에서는 AI 상담사가 정신건강 서비스를 제공합니다. 중국 정부 공식 승인 산업으로서 정부 서비스·노인 돌봄·장애인 지원에도 적극 도입되고 있습니다.

그러나 산업 성장과 함께 어두운 면도 급속히 확산됐습니다. 중국 공안부에 따르면 2025년 한 해 동안 AI 디지털 휴먼을 이용한 사기 사건이 전년 대비 340% 급증했습니다. 특히 '연예인 디지털 휴먼 투자 사기'는 유명인의 얼굴과 목소리를 무단으로 복제해 투자 권유 영상을 만든 뒤 소셜미디어로 배포하는 방식으로, 피해 규모만 2025년 기준 12억 위안(약 2,300억 원)에 달했습니다. 또한 실시간 딥페이크로 얼굴인식 시스템을 우회해 타인 계좌에서 자금을 이체하는 '바이오메트릭 해킹' 사례도 급증했습니다. 국가컴퓨터네트워크응급기술처리조정센터(CNCERT) 두취이란 부주임은 이 상황을 '디지털 휴먼은 극도로 기만적이며 루머 확산과 유해 콘텐츠 생성의 위험이 크다'고 경고했습니다.

핵심 조항 ①: 동의 없는 얼굴·목소리 디지털 휴먼 생성 금지

이번 초안의 가장 핵심적인 조항은 '명시적 사전 동의' 요건입니다. 서비스 제공자는 실존 인물의 얼굴 이미지, 목소리 녹음, 신체적 특징 데이터를 이용해 디지털 휴먼을 생성하기 전에 반드시 당사자의 서면 동의를 받아야 합니다. 이 규정은 유명인뿐 아니라 일반인에게도 동일하게 적용됩니다. 즉, 가족의 얼굴을 무단으로 AI 캐릭터화하거나, 직원의 목소리로 AI 응대 시스템을 만들거나, 사망한 친족의 디지털 분신을 생성하는 것 모두 이 조항의 규제 대상이 됩니다.

특히 '사후 동의'를 불허한다는 점이 주목됩니다. 기존 콘텐츠 규제는 이미 생성·배포된 콘텐츠에 대한 삭제 요청 권리를 보장하는 방식이었습니다. 그러나 이 규정은 '생성 전 동의'를 의무화함으로써, 동의 없이 이미 생성된 디지털 휴먼을 운영 중인 기존 서비스도 소급 적용받을 가능성이 있습니다. 실제로 공개 의견 수렴 과정에서 다수의 엔터테인먼트 기업들이 기존 계약 구조를 어떻게 소급 적용할지에 대한 우려를 표명했습니다. 중국 법률 전문가들은 '연예인과 맺은 기존 디지털 분신 계약이 이 규정의 동의 요건을 충족하는지 면밀히 검토해야 한다'고 경고합니다.

핵심 조항 ②: AI 디지털 휴먼으로 생체인증 우회 — 세계 최초 명시적 금지

이 규정이 기존 딥페이크 규제와 가장 차별화되는 부분이 바로 생체인증 우회 금지 조항입니다. 규정은 '디지털 가상인을 이용해 얼굴인식, 음성인식 또는 기타 신원 인증 메커니즘을 우회하거나 파괴하는 행위'를 명시적으로 금지합니다. 이는 딥페이크를 단순한 콘텐츠 문제가 아닌 '금융 보안 인프라 위협'으로 명확히 정의하는 최초의 국가 수준 규제 조항입니다.

실제로 이 조항이 겨냥하는 범죄는 이미 중국 사회에서 심각한 문제로 대두됐습니다. 2025년 중국에서 발생한 '실시간 AI 얼굴 교체 금융 사기'의 대표 사례에서, 범죄자들은 딥페이크 소프트웨어로 자신의 얼굴을 피해자와 대화를 나눈 적 있는 지인의 얼굴로 실시간 교체하면서 은행 앱의 얼굴인식 인증을 통과했습니다. 은행 시스템은 이를 정상 사용자로 인식했고, 범죄자들은 피해자 계좌에서 수백만 위안을 이체했습니다. 중국 인민은행(PBoC)은 2025년 말 이미 금융기관에 딥페이크 탐지 기술 도입을 권고했지만, 규정화된 금지 조항은 이번이 처음입니다.

핵심 조항 ③: 미성년자 가상 연애·가족 관계 서비스 전면 차단

세 번째 핵심 조항은 미성년자 보호입니다. 규정은 18세 미만 사용자를 대상으로 '가상 연인', '가상 가족 구성원' 등 감정적 의존 관계를 형성하는 AI 디지털 휴먼 서비스를 명시적으로 금지합니다. 이 조항은 최근 중국 청소년 사이에서 급속히 확산된 'AI 연애 앱' 문제를 직접 겨냥합니다. 2025년 중국 청소년 정신건강 연구원 보고서에 따르면, 중학생의 23%가 AI 대화 상대 앱을 '정서적 안정을 위해' 정기적으로 사용하고 있으며, 이 중 11%는 실제 인간관계보다 AI 상대방을 더 선호한다고 응답했습니다.

또한 규정은 미성년자가 디지털 휴먼 서비스에서 과도한 소비를 유발하는 콘텐츠, 신체적·정신적 건강을 해치는 행위, 유해한 행동 패턴을 조장하는 서비스를 금지합니다. 플랫폼은 2시간 연속 사용 후 반드시 '사용 시간 제한 알림'을 발송해야 하며, 미성년자 계정은 부모 동의 시스템과 연동해야 합니다. 이는 중국 정부가 게임 산업에 적용한 청소년 보호 프레임워크를 AI 상호작용 서비스 전반으로 확장한 것으로, 세계에서 가장 포괄적인 AI 미성년자 보호 규정으로 평가받습니다.

4단계 책임 구조 — 기술 제공자·서비스 제공자·사용자·전송 플랫폼 모두 책임

이 규정의 또 다른 혁신은 책임 주체를 다층화한 '4단계 책임 구조'입니다. 기존 콘텐츠 플랫폼 규제는 주로 '플랫폼'에 책임을 집중했습니다. 반면 이 규정은 기술 지원 제공자(AI 모델 개발사), 서비스 제공자(디지털 휴먼 서비스 운영자), 서비스 이용자(개인·기업 사용자), 전송 플랫폼(소셜미디어·방송 플랫폼) 모두에게 각자의 역할에 따른 책임을 부과합니다.

규모 기준도 명확합니다. 등록 사용자 100만 명 이상 또는 월간 활성 사용자(MAU) 10만 명 이상인 서비스 제공자는 성(省)급 규제 기관에 안전 평가 보고서를 의무적으로 제출해야 합니다. 이 기준에 미치지 못하는 소규모 서비스도 기술 제공자와 전송 플랫폼을 통해 규정의 적용을 받습니다. 사실상 중국 시장에서 디지털 휴먼 기술을 활용하는 모든 사업자를 규제망 안에 포함시키는 구조입니다.

글로벌 비교 — 미국·EU·일본의 AI 규제와 무엇이 다른가

• 미국: Take It Down Act(플랫폼 48시간 삭제 의무) + DEFIANCE Act(민사소송권) — '콘텐츠 배포 후 삭제' 중심, 생체인증 우회 규제 없음
• EU: EU AI법 제5조 누디파이 AI 금지, C2PA 라벨링 의무 — '위험 기반 분류' 접근, 생체인증 우회 AI 시스템은 허용 불가 AI로 분류
• 일본: 2026년 4월 개인정보보호법(APPI) 개정 — AI 훈련 데이터 동의 요건 완화, 얼굴 스캔 공유 설명 의무화 (opt-in → opt-out) — '규제 완화로 AI 투자 유치' 정반대 방향
• 중국: 생성 전 동의 의무·생체인증 우회 명시 금지·미성년자 감정 착취 차단·4단계 책임 구조 — '서비스 생성 단계'부터 규제, 세계 최광범위 디지털 휴먼 전용 규제

기존 CAC 규제 체계와의 연계 — 5개 규정의 AI 생성 콘텐츠 통합 관리

이번 디지털 가상인 관리 방법은 CAC가 2022년부터 구축해온 AI 생성 콘텐츠(AIGC) 규제 체계의 다섯 번째 주요 퍼즐 조각입니다. 앞서 ①인터넷 정보 서비스 알고리즘 추천 관리 규정(2022년), ②딥합성 인터넷 정보 서비스 관리 규정(2023년, 딥페이크 명시 금지), ③생성형 AI 서비스 관리 잠행 방법(2023년), ④AI 생성 합성 콘텐츠 라벨링 방법(2025년)이 순차적으로 시행됐습니다.

5개 규정이 층위별로 역할 분담을 하는 구조입니다. 알고리즘 추천 규정은 콘텐츠 유통 방식을 통제하고, 딥합성 규정은 딥페이크 생성을 규제하며, 생성형 AI 규정은 챗GPT류 서비스를 관리하고, 라벨링 규정은 AI 생성 콘텐츠의 식별 의무를 부과하며, 이번 디지털 휴먼 규정은 AI 인격체(personae) 서비스 전반을 포괄합니다. CAC의 목표는 AI 생성 콘텐츠의 생성→유통→식별→책임 전 주기를 규제하는 완결된 체계를 구축하는 것입니다.

한국 기업이 알아야 할 실무적 함의

중국 시장에 진출한 한국 엔터테인먼트·AI 기업들은 이 규정의 직접적인 영향권에 놓입니다. 특히 한국 아이돌 그룹과 제휴해 디지털 분신 서비스를 운영하는 중국 플랫폼들은 소속사와 체결한 기존 계약이 '명시적 사전 동의' 조항을 충족하는지 법적 검토가 필요합니다. 한류 콘텐츠를 AI로 재현·상업화하는 서비스도 동의 요건을 재점검해야 합니다. 규정이 최종 확정되면 위반 시 ①서비스 중단 명령, ②최고 100만 위안(약 1억 9,000만 원) 과징금, ③플랫폼 앱스토어 삭제의 3중 제재가 가해질 수 있습니다.

반면 국내 AI 기업에게는 새로운 기회이기도 합니다. 이 규정이 요구하는 '동의 관리 시스템', '디지털 휴먼 라벨링 기술', '실시간 딥페이크 탐지 솔루션', '미성년자 연령 인증 시스템'은 모두 기술 제품화가 가능한 영역입니다. 특히 CAC 규정 준수를 돕는 레그테크(RegTech) 솔루션 시장이 중국과 아시아 전역에서 급성장할 가능성이 높습니다. 한국의 딥페이크 탐지 기업들이 이 시장에 선제적으로 진입할 경우, 상당한 사업 기회가 열릴 수 있습니다.

향후 일정과 전망 — 5월 6일 의견 수렴 종료, 하반기 최종 시행 전망

공개 의견 수렴은 2026년 5월 6일 마감됩니다. 이후 CAC는 수집된 의견을 반영해 최종 규정을 확정할 예정이며, 업계에서는 2026년 하반기 내 공식 시행을 예상하고 있습니다. 관심 있는 국내외 기업 및 개인은 [email protected]으로 의견을 제출할 수 있습니다. 규정 시행 이후에는 90일의 유예 기간이 주어질 것으로 예상되며, 이 기간 내에 서비스 제공자들은 동의 관리 시스템, 라벨링 시스템, 연령 인증 시스템을 갖춰야 합니다.

이 규정은 단순히 중국 국내 문제가 아닙니다. 세계 AI 산업의 '공급망'을 고려하면, 중국 규정이 글로벌 디지털 휴먼 기술 개발 방향에 직접 영향을 미칠 수 있습니다. 많은 글로벌 AI 기업들이 중국 시장을 위한 별도 컴플라이언스를 구축하기보다 글로벌 제품 표준 자체를 중국 규정에 맞추는 방향을 선택할 가능성이 있습니다. EU AI법이 '브뤼셀 효과(Brussels Effect)'로 글로벌 AI 표준을 견인했듯, 중국의 디지털 휴먼 규정도 아시아 AI 시장의 새로운 표준으로 확산될 수 있습니다.