EU 디지털 옴니버스 최종 합의 임박 — AI법 간소화·딥페이크 생성 금지·27개국 중 8개국만 준비 완료

디지털 옴니버스란 무엇인가?

디지털 옴니버스는 EU 집행위원회가 2026년 2월 제안한 "옴니버스 VII" 입법 패키지의 핵심 구성요소입니다. 2024년 발효된 EU AI법이 기업들에게 과도한 규제 부담을 준다는 산업계의 우려에 대응하여, AI 규칙을 간소화(streamline)하고 법적 확실성을 높이며, 회원국 간 일관된 이행을 보장하는 것이 목적입니다. 동시에, 최근 Grok AI 딥페이크 스캔들 등으로 드러난 새로운 위협에 대응하기 위해 금지 행위 목록을 확대하는 이중 전략을 취하고 있습니다.

핵심 변경 사항 5가지

1. 고위험 AI 이행 기한 대폭 연장

가장 주목할 만한 변화는 고위험 AI 시스템의 규정 준수 기한 연장입니다. 당초 2026년 8월 2일이던 시한이 크게 늘어났습니다.

새로운 이행 기한: 독립형 고위험 AI 시스템(고용, 교육, 법 집행 등)은 2027년 12월 2일, 제품 내장형 고위험 AI 시스템은 2028년 8월 2일, AI 규제 샌드박스 설치 기한은 2027년 12월 2일, AI 생성 콘텐츠 투명성·워터마킹 의무는 2026년 11월(의회안)입니다.

이는 특히 중소기업(SME)에게 추가 준비 시간을 제공하면서도, 투명성 의무는 비교적 이른 시점에 시행하여 AI 생성 콘텐츠의 출처 표시와 워터마킹을 우선적으로 확보하겠다는 전략입니다.

2. 비동의 성적 이미지·CSAM 생성 AI 명시 금지

EU 이사회는 협상 입장에서 AI 시스템을 이용한 비동의 성적·친밀한 이미지 생성과 아동 성착취물(CSAM) 생성을 명시적으로 금지하는 조항을 새롭게 추가했습니다. 이는 기존 AI법의 금지 행위 목록(제5조)에 없던 내용으로, 2026년 초 Grok AI가 11일간 300만 장의 성착취 이미지를 생성한 스캔들과 앱스토어에 유통되는 102개 누디파이 앱 문제가 직접적인 입법 동기가 되었습니다.

이 조항이 최종 확정되면, EU 역내에서 누디파이 앱이나 딥페이크 포르노 생성 도구를 개발·배포하는 행위 자체가 최대 3,500만 유로(약 500억 원) 또는 글로벌 매출의 7%에 해당하는 과징금 대상이 됩니다.

3. 민감 데이터 처리 기준 강화

집행위원회는 당초 AI 모델의 편향 탐지를 위해 민감 데이터(인종, 종교, 성적 지향 등) 처리 요건을 완화하려 했으나, 이사회와 의회 모두 이를 거부했습니다. 최종 입장은 민감 데이터 처리가 "엄격하게 필요한(strictly necessary)" 경우에만 허용되도록 하여, 기존 GDPR의 높은 보호 수준을 유지합니다.

4. 등록 의무 유지·절차 간소화

집행위원회가 제안한 등록 의무 전면 폐지안 대신, 이사회와 의회는 등록 의무를 유지하되 절차를 간소화하는 방향으로 합의했습니다. 저위험 AI 시스템에 대해서는 서류 요건을 줄이면서도, 고위험 시스템에 대해서는 EU AI 데이터베이스를 통한 투명성 확보를 지속합니다.

5. 국가 감독 기관 권한 유지

EU AI 사무소(AI Office)로의 권한 집중 대신, 각 회원국 국가 감독 기관이 분야별 감독 권한을 유지합니다. 이는 각국의 규제 특수성을 존중하면서도, EU AI 사무소가 범유럽 차원의 조율 역할을 수행하는 하이브리드 집행 모델을 확립한 것입니다.

27개국 중 8개국만 준비 완료 — 집행의 현실

EU AI법 집행 준비 현황(2026년 3월 기준): 집행 연락처(단일 연락 창구) 지정 완료는 8개국/27개국, 지정 기한은 2025년 8월(이미 7개월 초과), 완전한 집행 역량 구축 1호는 핀란드(교통통신청, 2026년 1월 운영 개시), 최대 과징금은 3,500만 유로 또는 글로벌 매출 7%입니다.

법은 만들어졌지만 집행할 수 있는 나라는 3분의 1도 되지 않습니다. 2025년 8월까지 모든 회원국이 지정해야 했던 단일 연락 창구(single contact point)를 2026년 3월 현재까지 설치한 나라는 겨우 8개국입니다. 핀란드가 2026년 1월 교통통신청(Traficom)을 통해 최초로 완전한 집행 역량을 갖추었으나, 나머지 19개국은 여전히 조직 구성, 인력 확보, 기술 역량 구축 단계에 머물러 있습니다.

이 격차는 규제 차익(regulatory arbitrage) 가능성을 높입니다. 집행 체계가 미비한 회원국에서 누디파이 앱이나 고위험 AI가 사실상 규제 없이 운영될 수 있다는 뜻입니다. 디지털 옴니버스가 이행 기한을 연장한 것은 이러한 현실을 반영한 불가피한 조치이기도 합니다.

미국과의 규제 대조 — 연방 선점 vs. EU 통합

흥미롭게도, EU가 디지털 옴니버스를 통해 27개국의 AI 규제를 통합·간소화하려는 시점에, 미국에서는 정반대 방향의 충돌이 벌어지고 있습니다. 트럼프 행정부가 3월 20일 발표한 AI 국가정책 프레임워크는 46개 주가 이미 제정한 딥페이크 규제법을 연방법으로 선점(preempt)하겠다고 선언했고, 이에 민주당 의원들은 같은 날 GUARDRAILS Act를 발의하며 정면 대응했습니다.

EU는 "규제를 간소화하되 보호는 강화"하는 방향인 반면, 미국은 "주(州)법 규제를 줄이되 연방 차원의 대안은 아직 없는" 상태입니다. 의회가 포괄적 연방 AI 선점 법안을 반복적으로 부결시키고 있어, 미국의 AI 규제는 당분간 주 단위의 패치워크(patchwork) 상태가 지속될 전망입니다.

한국에 미치는 영향

EU AI법의 변화는 한국 기업과 피해자 모두에게 직접적 영향을 미칩니다.

• 한국 AI 기업: EU 시장에 AI 서비스를 제공하는 기업은 새로운 기한과 금지 조항을 반드시 확인해야 합니다. 고위험 AI 시스템의 이행 기한이 2027년 12월로 연장되었으나, 투명성·워터마킹 의무는 2026년 11월부터 적용될 수 있습니다.
• 딥페이크 피해자: EU의 비동의 성적 이미지 생성 AI 금지가 확정되면, EU 역내에서 운영되는 누디파이 앱에 대해 직접적인 법적 근거로 삭제·차단을 요청할 수 있게 됩니다.
• 한국 AI 기본법: 2026년 1월 시행된 한국 AI 기본법은 EU AI법을 상당 부분 참조했습니다. EU의 이행 기한 연장과 금지 행위 확대는 한국의 후속 시행령·시행규칙 제정에도 참고가 될 것입니다.

앞으로의 일정

• 2026년 3월 13일: EU 이사회, 디지털 옴니버스 협상 입장 확정
• 2026년 3월 26일: 유럽의회 본회의, 위원회 입장 추인
• 2026년 4월 28일(목표): 이사회-의회 삼자 협상(trilogue) 최종 합의
• 2026년 8월 2일: AI법 투명성 의무 등 주요 규정 시행(기존 기한)
• 2026년 11월: AI 생성 콘텐츠 워터마킹 의무 시행(의회안)
• 2027년 12월 2일: 독립형 고위험 AI 시스템 규정 준수 기한(연장)
• 2028년 8월 2일: 제품 내장형 고위험 AI 시스템 규정 준수 기한(연장)

결론

EU 디지털 옴니버스는 "규제 간소화"와 "보호 강화"라는 두 마리 토끼를 동시에 잡으려는 시도입니다. 고위험 AI 이행 기한을 최대 2년 연장하여 산업계의 부담을 덜면서도, 비동의 성적 이미지와 CSAM 생성 AI를 명시적으로 금지하여 디지털 성범죄에 대한 규제 공백을 메우고 있습니다.

그러나 27개국 중 8개국만 집행 준비를 마친 현실은, 아무리 좋은 법이라도 집행 없이는 종이 위의 약속에 불과하다는 점을 상기시킵니다. 4월 28일 최종 합의를 앞두고, EU가 "규제의 속도"와 "집행의 현실" 사이에서 어떤 균형점을 찾을지 주목해야 할 시점입니다.

딥페이크 피해자에게 이번 개정안은 분명한 진전입니다. AI를 이용한 비동의 성적 이미지 생성이 EU 차원에서 명시적 금지 행위로 규정됨으로써, 피해자들이 법적 보호를 요청할 수 있는 근거가 한층 강화되었습니다. 만약 AI 딥페이크 피해를 경험하고 계시다면, 전문 팀의 도움을 받아 유포 현황 파악과 삭제 조치를 진행하시기 바랍니다.