인공지능 개발 및 육성, 인공지능 윤리 및 신뢰성 확보를 위한 정부 지원 거버넌스 체계를 수립하고, 인공지능사업자에게 투명성∙안정성 확보 의무 등 구체적 의무를 부과하는 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 “AI기본법”)과 동법 시행령이 2026년 1월 22일 시행되었습니다. 

이하에서는 AI기본법 및 시행령의 주요 내용, 기업들의 대응 방안 및 향후 법무법인(유) 세종의 세미나 추진계획에 대해 말씀드리도록 하겠습니다.

1.  AI기본법 및 시행령의 주요 내용

▶ 규율 대상 – 인공지능사업자

• AI기본법은 인공지능사업자를 대상으로 각종 의무를 부과하고 있으며, 사업자가 제공하는 인공지능의 형태와 종류에 따라 부과하는 의무를 달리하고 있습니다.

※ 제공하는 서비스 특성에 따라 병렬적 지위를 가질 수 있음 
(예: 직접 생성형 인공지능을 개발하여 대출심사 서비스를 제공할 경우 인공지능 개발사업자이자 인공지능 이용사업자인 동시에 생성형 인공지능사업자이자 고영향 인공지능사업자에 해당)

• 한편, AI기본법은 인공지능사업자와 구분되는 개념으로 인공지능제품·서비스를 제공받는 자를 이용자로 정의하고 이용자를 규율 대상에서 제외하고 있습니다.

2. 주요 의무 

AI기본법령 시행에 따라 인공지능사업자에게 아래와 같은 의무가 부과되며, 사업 형태 및 제공하는 제품·서비스 종류에 따라 중첩적으로 의무를 부담하게 될 수 있습니다.

▶ 투명성 확보(법 제31조, 영 제23조)

• 대상: 고영향 인공지능사업자, 생성형 인공지능사업자
• 내용: 사전 고지 및 표시

✔ 사전 고지 의무: 제품·서비스가 고영향 AI나 생성형 AI에 기반하여 운용된다는 사실을 이용자에게 사전에 고지*
* 기재(제품, 계약서, 사용설명서, 이용약관 등), 표시(서비스 화면), 게시 등

✔ 표시 의무: 결과물이 생성형 인공지능에 의하여 생성되었다는 사실 표시*
* 일반 생성물의 경우 사람이 인식할 수 있는 표시 등의 방법, 워터마크 등 기계가 판독할 수 있는 방법이 가능하며, 딥페이크 경우 이용자가 명확하게 인식할 수 있는 표시 등의 방법만이 가능

• 예외: 고영향 AI 또는 생성형 AI를 활용한 사실이 명백한 경우*나 인공지능사업자의 내부 업무 용도로만 사용되는 경우 등에는 사전 고지 의무 내지 표시 의무의 전부 또는 일부가 면제
  * 제품∙서비스명, 이용자 화면이나 제품 겉면 및 결과물에 표시된 문구 등에 비추어 보았을 때 명백한 경우
   
• 제재: 시정명령* 또는 3천만원 이하의 과태료**(제40조 제3항, 제43조)
  * 표시의무 위반시
  ** 사전 고지 의무 위반시

▶ 고영향 인공지능 확인 및 안전성·신뢰성 확보(법 제33조~제35조, 영 제25,27,28조)

• 대상: 인공지능사업자
• 내용: 고영향 인공지능 확인 및 (고영향 인공지능에 해당 시) 안전성·신뢰성 확보

✔ 고영향 인공지능 확인: AI 또는 AI를 활용한 제품·서비스 제공 시 고영향 AI에 해당하는지 여부 사전 검토*
* 서비스 개요서 등 관련 서류를 첨부하여 과기정통부 장관에게 확인 요청 가능

✔ 안전성·신뢰성 확보: 안전성·신뢰성 확보 조치* 이행 및 게시**
* 위험관리방안의 수립∙운영, 인공지능 설명 방안 수립∙시행, 이용자 보호 방안의 수립∙운영, 고영향 인공지능에 대한 사람의 관리∙감독, 안정성∙신뢰성 확보 조치 확인 문서 작성과 보관(5년)
** (i) 위험관리방안의 주요 내용, (ii) 인공지능 설명 방안의 주요 내용, (iii) 이용자 보호 방안, (iv) 고영향 인공지능을 관리ㆍ감독하는 사람의 성명 및 연락처를 사업장 또는 홈페이지에 게시하되 영업비밀은 제외 가능

• 제재: 시정명령(법 제40조 제3항)
• 기타: 인공지능사업자는 사전에 고영향 AI가 사람의 기본권에 미치는 영향을 평가할 수 있으며, 국가기관 등은 영향평가를 실시한 제품·서비스를 우선적으로 고려

 ▶ 국내 대리인 지정 (법 제36조, 영 제29조)

• 대상: 일정 규모 이상* 또는 시정명령 위반으로 과태료를 부과받은 국내에 주소 또는 영업소가 없는 인공지능사업자
  * 전년도 매출액이 1조원 이상 또는 인공지능서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 말 기준 AI제품 등에 대한 직전 3개월 간 국내 이용자 수가 1일 평균 100만명 이상
   
• 내용: 국내에 주소 또는 영업소가 있는 대리인*을 지정
  * 국내 대리인은 (i) 대규모 인공지능 안전성 확보조치 결과 제출, (ii) 고영향 인공지능 확인요청 및 (iii) 고영향 인공지능 안전성·신뢰성 확보조치 이행 지원을 대리
   
• 제재: 3천만원 이하의 과태료(법 제43조 제1항 제2호)

한편, 학습에 사용된 누적 연산량이 10의 26승 부동소수점연산 이상이고, 최첨단 인공지능기술을 적용하며, 사람의 기본권에 광범위하고 중대한 영향을 미칠 우려가 있는 소위 대규모 인공지능의 경우, 인공지능 수명주기 전반에 걸친 위험의 식별∙평가 및 완화와 인공지능 관련 위험관리체계 구축 결과를 과기정통부장관에게 제출하여야 합니다(법 제32조, 영 제24조).

3. AI기본법 및 시행령에 따른 규제 적용 유예(1년+α)

AI기본법 소관부처인 과학기술정보통신부(이하 “과기정통부”)는 기업의 혼란을 최소화하고 현장의 준비 시간을 충분히 보장하기 위하여 AI기본법 및 시행령에 따른 규제의 적용을 최소 1년 이상 유예하기로 하였습니다. 규제 유예 기간에는 사실조사 및 과태료 부과와 관련된 계도기간을 운영하며, 사실조사는 인명사고나 인권 훼손 등 중대한 사회적 문제가 발생한 경우와 같은 극히 예외적인 경우에 한해서만 실시될 예정입니다(보도자료, 추가 설명자료). 

한편, 과기정통부는 기업의 원활한 법 준수를 지원하기 위해 「인공지능 기본법 지원 창구」를 개설∙운영하고, AI기본법 및 시행령과 관련된 구체적이고 실무적인 자문을 제공할 예정입니다(인공지능기본법지원데스크).

4. 규제 리스크 최소화를 위한 종합적 거버넌스 구축 필요

기업들은 AI기본법 시행에 따라 현재 제공 중인 또는 제공하고자 하는 AI 제품·서비스 개발 및 이용에 따른 리스크를 분석하고 이를 최소화하기 위하여 아래와 같은 사항을 고려한 종합적인 리스크 관리 체계를 구축할 필요가 있습니다.

• (종합적·체계적 규제 준수 도구 마련) 우선 제공하고자 하는 AI 제품·서비스가 AI기본법의 규제 대상인지, 규제 대상이라면 어떠한 규제가 적용되는지 파악하여야 합니다. 아울러 금융·의료·통신·유통 등 개별 산업 영역에 적용되는 각종 법령과 AI 서비스 제공에 있어 필연적으로 수반되는 데이터 및 개인정보의 처리에 관한 법령상의 규제 또한 파악하여야 합니다. 
  이를 위해서는 우선 다층적 규제 체계를 파악하고 준수할 수 있는 체크리스트와 같은 체계적인 규제 준수 도구를 마련할 필요가 있습니다.
  (예: 이용자가 입력한 콘텐츠를 AI를 이용하여 변형하는 서비스를 제공하고자 할 경우 AI기본법상 표시 의무를 어떻게 이행할 것인지, 만약 이용자가 입력한 콘텐츠가 개인정보일 경우 그 처리에 관한 근거를 어떻게 확보할 것인지, AI 기본법에 따른 표시의무와 개인정보 보호법 제15조제1항제4호에 따른 수집 시 고지 사항을 어떻게 하나의 화면에 표시할 것인지 등에 대한 종합적인 체크리스트 마련) 
   
• (사전적·지속적 규제 준수 거버넌스 구축) 예기치 못한 규제 리스크 발생을 관리·감독할 수 있도록 AI 기획·개발·운영 단계 전반에 걸쳐 규제준수 거버넌스를 구축하여야 합니다.
  이를 위해서는 우선 기존 내부 조직을 진단하고 그 역할과 책임소재를 명확히 하는 한편 규제 이행을 위해 필요한 사항을 문서화하는 방안과 아울러 특히 AI 서비스 제공과 관련하여 개인정보를 처리하는 경우라면 수집, 보관, 이용, 파기 등 생성주기에 기반한 개인정보 처리 흐름을 파악하여 적법한 개인정보 처리 근거를 마련할 필요가 있습니다.
  
  (예: AI 이용과 관련하여 이를 관장하는 조직을 식별, 지정하고 그 역할을 내부 규정으로 명확히 하는 한편, 윤리지침, 서약서 등의 내부 정책 문서와 외부 AI 서비스 제공자와의 계약 체결 시 참고할 수 있는 표준계약서를 마련. 아울러 전 주기에 걸친 개인정보 처리 흐름을 식별하고 도식화하여 AI 서비스를 포함하여 특정 서비스 제공 시 발생 가능한 개인정보 보호법상 리스크를 식별) 

5. 법무법인(유)세종의 향후 계획

AI기본법 및 시행령이 시행됨에 따라 기업들은 인공지능과 관련된 복합적인 규제 체계를 명확히 이해하고 이에 대한 사전 대응 역량을 강화하는 것이 매우 중요해졌습니다. 

법무법인(유) 세종은 그동안 단순 법령 해석을 넘어 AI센터를 중심으로 조직 진단, 데이터 처리 현황 파악 및 진단, 사고 대응 체계 구축, 종합적 규제 준수 도구 마련 등과 같은 종합적·체계적 자문을 제공해 왔습니다. 이와 같은 자문 경험과 축적된 역량을 바탕으로 세종은 향후 AI 도입과정에서 실제로 문제되는 규제 쟁점을 중심으로 기업의 실질적인 대응 역량 강화를 지원하기 위해 정기적으로 세미나를 개최할 예정입니다. 현재 아래의 사항을 주제로 한 세미나가 계획 중이며 앞으로 실무상 주로 문제되는 사항 위주로 규제 환경 변화, 법령 개정 등을 고려하여 순차적으로 세미나 주제를 정하여 알려 드릴 것입니다. 

• (AI와 개인정보·데이터) 우선 AI기본법상의 의무 사항을 출발점으로 하여 개인정보 보호법 등의 데이터 관련 규제가 실제 AI 서비스 기획·개발·운영 과정에서 어떻게 적용되는지를 중심으로 실무에서 유의 및 대비하여야 하는 사항에 대한 세미나를 개최하고자 합니다.  특히 해당 세미나에서는 AI 서비스 제공 과정에서 최근 대두되고 있는 개인정보 유출 ·보안 리스크를 최소화할 수 있는 방안도 소개하고자 합니다.
   
• (분야별 AI 활용) 아울러 금융·의료·유통·콘텐츠 등 각 산업 분야에서 AI 활용이 기존 규제 체계와 어떻게 결합되어 작동하는지를 살펴보고, AI 활용에 있어 유의할 사항을 안내하고자 합니다. 아울러 채용 등 각 산업에 공통적으로 적용되는 분야에서의 AI 활용에 있어 유의할 사항도 함께 안내하고자 합니다. 

본 세미나는 개인정보·금융·의료·HR·게임·콘텐츠 등 AI 및 데이터 활용도가 높고 규제 리스크가 집중되는 산업군 및 직군의 법무·컴플라이언스·전략 담당자를 주요 대상으로 하며, 외부 전문가의 실무 중심 강연과 세종 ICT그룹·AI센터 고문 및 변호사가 참여하는 심층 토론 및 Q&A 형식으로 운영될 예정입니다. 산업별 AI 도입에 따른 규제 리스크를 선제적으로 점검하고자 하는 기업은 본 세미나 시리즈를 통해 보다 실질적인 인사이트와 대응 방향을 모색할 수 있을 것으로 기대되며, 관심 있는 기업은 향후 안내될 세미나 일정에 따라 참여를 신청할 수 있습니다.

About Shin & Kim’s ICT Group

법무법인(유) 세종 ICT그룹은 ICT 분야에 차별화된 전문성과 인적 네트워크를 보유하고 있으며, 고객들로부터 최근 수년간 가장 높은 평가를 받고 있습니다. 방송과 통신, 개인정보, 인터넷 IT 분야에서 축적된 역량을 바탕으로 방송·통신·ICT 규제 동향 파악, 법제개선·입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 종합적인 법률자문을 제공하고 있습니다. 아울러 산업별 AI 도입·활용에 따른 법적 쟁점과 규제 리스크를 종합적으로 분석하고 대응하는 개인정보/AI 컴플라이언스 및 리스크 관리 분야에서도 풍부한 경험과 탁월한 전문성을 보유하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.

[English version] AI Basic Act Update: Enforcement and Key Implications