EU AI Act GPAI 규칙은 언제 실제로 집행 가능해지나요?

EU AI Act Chapter V 하의 범용 AI 모델 프로바이더에 대한 실질적 의무는 2025년 8월 2일에 적용에 들어갔습니다. 그러나 정보 요청, 평가 수행, 시정 조치 명령, Article 101 하의 벌금 부과를 포함한 유럽 위원회의 집행 권한은 2026년 8월 2일에야 행사 가능해집니다. 2025년 8월 2일 이전에 시장에 배치된 GPAI 모델 프로바이더는 더 긴 준수 활주로를 가지며 2027년 8월 2일까지 적합성을 갖춰야 합니다.

GPAI 모델에 대한 시스템적 위험 한계점은?

EU AI Act의 Article 51(2) 하에서, 범용 AI 모델은 학습에 사용된 누적 컴퓨트가 10^25 부동소수점 연산(FLOPs)을 초과할 때 고영향 역량을 가져 시스템적 위험을 제기하는 것으로 추정됩니다. 추정은 반박 가능합니다. 한계점 이상의 프로바이더는 Article 52(2) 하에서 모델이 사실상 시스템적 위험을 제기하지 않는다는 입증된 주장을 제출할 수 있습니다. 위원회는 한계점 미만의 모델을 지정할 수도 있고, 기술 상태가 진화함에 따라 위임법을 통해 한계점 자체를 갱신할 수도 있습니다.

GPAI Code of Practice에 서명해야 하나요?

아니요. 2025년 7월 10일 발표된 Code of Practice는 자발적입니다. 서명은 관련 Article 53과 (시스템적 위험 프로바이더의 경우) Article 55 의무와의 적합성 추정을 부여하며, 이는 AI Office 평가 동안 행정 마찰을 줄입니다. 2025년 중반 기준, Anthropic, Google, Microsoft, OpenAI를 포함한 26개 조직이 서명했습니다. Meta는 서명을 거부했습니다. 비서명자는 대안 적정 수단을 통해 컴플라이언스를 입증해야 하고 Article 101 집행이 시작될 때 더 면밀한 조사를 예상할 수 있습니다.

GPAI 미준수에 대한 최대 벌금은?

EU AI Act의 Article 101 하에서, 유럽 위원회는 GPAI 의무의 의도적이거나 과실 침해 또는 요청된 정보 제공 실패에 대해 GPAI 모델 프로바이더에게 글로벌 연간 매출의 최대 3% 또는 1,500만 유로 중 더 큰 금액의 벌금을 부과할 수 있습니다. 이는 금지된 AI 관행에 대해 최대 3,500만 유로 또는 매출 7%를 포함하는 더 광범위한 Article 99 티어와 별도로 위치합니다. SME와 스타트업은 백분율 또는 절대 금액 중 낮은 것으로 상한됩니다.

← News

ANNOUNCEMENT · 2026-05-07

EU AI Act: 2026년 8월 GPAI 집행 권한 발효

2026년 8월 2일, 유럽 위원회의 AI Office는 GPAI 모델 프로바이더에 대해 글로벌 매출의 최대 3% 또는 1,500만 유로의 벌금을 포함한 완전한 집행 권한을 획득합니다. 2025년 이전 모델은 2027년 8월 2일까지 준수해야 합니다.

2026년 8월 2일 이정표가 실제로 잠금 해제하는 것

GPAI 의무 자체는 **2025년 8월 2일**에 적용에 들어갔지만, 프로바이더에게는 유럽 위원회가 감독과 집행을 행사할 수 있기 전 1년의 조정 윈도우가 주어졌습니다. 그 윈도우는 **2026년 8월 2일**에 닫히며, 이때 AI Office의 Chapter V 하의 집행 권한이 발효됩니다.

*본 문서는 일반 가이드이며 법률 조언이 아닙니다. 컴플라이언스 결정에는 자격 있는 EU 법률 자문가와 상담하십시오.*

그 날부터 AI Office는 공식적으로 문서와 정보를 요청하고, 모델 평가를 수행하며, 컴플라이언스 조치(위험 완화, 시장 제한, 회수, 철회 포함)를 요구하고, 규정의 **Article 101** 하에 벌금을 부과할 수 있습니다. GPAI 프로바이더에 대한 최대 벌금은 의도적이거나 과실 침해에 대해 **글로벌 연간 매출의 최대 3% 또는 1,500만 유로 중 더 큰 금액**입니다. 최대 3,500만 유로 또는 매출 7%의 더 좁은 Article 99 티어는 GPAI 의무가 아니라 금지된 AI 관행에 적용됩니다. 따라서 2026년 8월 2일은 새 의무 날짜가 아니라, 기존 의무가 위원회에 의해 직접 집행 가능해지는 날짜입니다.

GPAI 프로바이더로 간주되는 자(와 시스템적 위험 한계점)

범용 AI 모델은 광범위한 데이터로 학습되어 상당한 일반성을 나타내고, 시장에 어떻게 배치되든 다양한 별개 작업을 유능하게 수행할 수 있는 모델로 정의됩니다. 프로바이더는 모델을 개발하거나 개발하게 하여 자기 이름이나 상표 하에 EU 시장에 배치하는 주체입니다.

두 번째 더 좁은 범주인 **시스템적 위험이 있는 GPAI 모델**은 Article 55와 56의 더 무거운 의무를 트리거합니다. **Article 51** 하에서, 학습에 사용된 누적 컴퓨트가 **10^25 부동소수점 연산(FLOPs)**을 초과할 때 모델이 고영향 역량을 갖는 것으로 추정됩니다. 이것은 반박 가능한 추정입니다. Article 52(2) 하에서, 한계점 이상의 프로바이더는 모델이 사실상 시스템적 위험을 제시하지 않는다는 입증된 주장을 제출할 수 있으며, 위원회는 다른 기준에 기반하여 한계점 미만의 모델을 지정할 수도 있습니다. 위원회는 위임법으로 한계점을 갱신할 수 있습니다.

결정적으로, 위원회의 2025년 7월 가이드라인은 **수정에 사용된 학습 컴퓨트가 원래 학습 컴퓨트의 1/3을 초과하면 다운스트림 행위자가 새 GPAI 프로바이더가 된다**는 점을 명확히 했습니다. 사소한 파인튜닝은 역할을 뒤집지 않지만, 대규모 지속 사전 학습은 그럴 수 있습니다.

투명성, 저작권, 다운스트림 문서화 의무

모든 GPAI 프로바이더는 시스템적 위험 상태와 무관하게 **Article 53** 하에서 네 가지 기본 의무를 집니다.

1. **기술 문서(Annex XI)**: 모델의 설계, 학습 프로세스, 데이터셋, 에너지 소비, 의도된 작업, 아키텍처, 라이선싱을 기술하고, 요청 시 AI Office에 유지하고 제공. 2. **다운스트림 문서(Annex XII)**: 통합자에게 모델의 역량과 한계, 의도된 사용, 통합 제약을 이해하는 데 필요한 정보 제공. 3. **저작권 정책**: Directive 2019/790 텍스트 및 데이터 마이닝 옵트아웃을 포함한 EU 저작권법과 일치. 이는 웹 크롤링 중 기계 판독 가능한 권리 유보(예: robots.txt)를 존중하고 합법적으로 접근 불가능한 소스를 회피하는 것을 의미합니다. 4. **공개 학습 콘텐츠 요약**: AI Office의 의무 템플릿을 따르며, 권리 소유자와 대중이 어떤 범주의 콘텐츠가 사용되었는지 이해할 수 있을 만큼 광범위.

시스템적 위험을 제시하지 않는 완전 무료 오픈소스 모델은 의무 1과 2에서 면제되지만, 저작권 정책이나 공개 학습 요약에서는 **면제되지 않습니다**.

2025년 이전 모델 유예 기한

규정은 2025년 8월 2일 이후 시장에 배치된 모델(처음부터 준수해야 함)과 **2025년 8월 2일 이전 시장에 배치된 레거시 모델**을 구분하며, 후자는 문서와 정책을 정렬할 시간으로 **2027년 8월 2일**까지가 있습니다.

이 유예 기간은 두 가지 면에서 좁습니다. 첫째, 2025년 8월 이후 모델에 대한 집행을 지연시키지 않습니다. AI Office는 2026년 8월에 권한이 활성화되면 즉시 추적할 수 있습니다. 둘째, 전환 전 존재했던 *모델*에 적용됩니다. 위에 기술된 1/3 컴퓨트 트리거를 초과하는 모든 재학습을 포함한 상당한 전환 후 수정은 레거시 모델을 2025년 이후 체제로 끌어들이고 시계를 재설정할 수 있습니다.

레거시 윈도우에 의존하는 프로바이더는 2025-2027년 동안에도 AI Office와의 비공식 약속을 예상해야 합니다. 위원회는 조정 기간 동안의 선의 협력이 Article 101이 사용 가능해진 후 집행 재량이 행사되는 방식의 요소임을 신호했습니다.

GPAI Code of Practice: 옵트인 혜택과 위험

**General-Purpose AI Code of Practice**는 **2025년 7월 10일** 발표된 자발적 도구로, 다중 이해관계자 프로세스를 통해 독립 전문가가 작성했습니다. 세 챕터가 있습니다: **Transparency**와 **Copyright**는 모든 GPAI 프로바이더에 적용되고, **Safety and Security**는 시스템적 위험 프로바이더에만 적용됩니다.

Code 서명은 해당 AI Act 의무와의 **적합성 추정**을 부여합니다. 서명자는 평가 시 더 가벼운 행정 부담과 더 큰 법적 확실성의 혜택을 받습니다. 2025년 중반 기준, Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI, OpenAI를 포함한 **26개 조직**이 서명했습니다. **Meta는 서명을 거부했습니다.** xAI는 Safety and Security 챕터에만 서명했으며, 이는 AI Office 평가의 대상이 되는 대안 수단을 통해 투명성과 저작권 준수를 입증해야 함을 의미합니다.

다운스트림 배포자를 위한 실용적 컴플라이언스 체크리스트

준수하는 GPAI 모델 사용은 다운스트림 의무를 면제하지 **않습니다**. GPAI 모델 기반 AI *시스템*의 프로바이더는 자체 의무를 집니다. 특히 결과 시스템이 Annex I 또는 III 하의 고위험인 경우, 또는 Article 50 투명성 의무가 적용되는 경우(예: 챗봇, 딥페이크, 감정 인식 시스템).

현실적인 배포자 체크리스트:

통합하는 모든 GPAI 모델로부터 **Annex XII 정보 패키지를 요청하고 보관**하고, 업스트림 프로바이더의 Chapter V 컴플라이언스 자세를 검증.
시스템이 고위험인지 결정하기 위해 **의도된 사용 사례를 Annex III에 매핑**. 그렇다면 Chapter III 하의 적합성 평가 증거 준비.
**업스트림 모델 카드와 한계를 자체 기술 문서**, 위험 평가, 출시 후 모니터링 계획에 통합.
생성형 또는 인터랙티브 출력이 사용자 대면일 때 **Article 50 투명성 공지 구현**.
시스템 위험에 비례하는 **감사 로그와 인간 감독 통제 유지**. Article 4 하의 AI 리터러시 의무는 2025년 2월부터 적용되어 왔습니다.

배포자 의무는 모델 프로바이더의 상태와 독립적이므로, 불완전하거나 모호한 업스트림 모델 카드는 자체 문서화를 지연시킬 이유가 아니라 *귀하가* 에스컬레이션할 문제입니다.

셀프 호스팅과 BYOK 경로가 감사 추적을 단순화하는 이유

배포자 의무는 두 가지 질문에 즉시 답할 수 있다는 것을 전제합니다. *어떤 모델이 어떤 구성 하에서 누구의 인프라에서 이 출력을 생성했는가*, 그리고 *어떤 데이터가 거기에 도달하기 위해 환경을 떠났는가*. 공유 멀티테넌트 추론 엔드포인트는 두 질문을 모두 더 어렵게 만듭니다. 로깅, 보존, 라우팅 표면이 Annex XII 패키지와 일치할 수도 있고 일치하지 않을 수도 있는 제3자의 소유이기 때문입니다.

셀프 호스팅 추론과 BYOK 배포 패턴은 표면을 유용한 방식으로 좁힙니다. 모델이 통제하는 인프라에서 실행될 때, 추론 로그, 데이터 거주 자세, 그리고 결국 집행 요청이 요구할 감사 추적을 소유합니다. BYOK가 호출을 계약 조건 하에서 테넌트로부터 업스트림 프로바이더로 직접 라우팅할 때, 메타데이터 경로는 엔드 투 엔드로 감사 가능합니다. 이 패턴을 중심으로 설계된 플랫폼, 예를 들어 **osFoundry**는 감사 로그, 데이터 거주 통제, 프라이버시 우선 디폴트를 부가 옵션이 아니라 오케스트레이션 계층의 일부로 다룹니다.

이 중 어느 것도 업스트림 프로바이더의 실질적 Article 53 의무를 대체하지 않지만, 규제 당국이 요청할 때 조립해야 할 증거 사슬을 실질적으로 단축시킵니다.

Frequently asked questions

EU AI Act GPAI 규칙은 언제 실제로 집행 가능해지나요?: EU AI Act Chapter V 하의 범용 AI 모델 프로바이더에 대한 실질적 의무는 2025년 8월 2일에 적용에 들어갔습니다. 그러나 정보 요청, 평가 수행, 시정 조치 명령, Article 101 하의 벌금 부과를 포함한 유럽 위원회의 집행 권한은 2026년 8월 2일에야 행사 가능해집니다. 2025년 8월 2일 이전에 시장에 배치된 GPAI 모델 프로바이더는 더 긴 준수 활주로를 가지며 2027년 8월 2일까지 적합성을 갖춰야 합니다.
GPAI 모델에 대한 시스템적 위험 한계점은?: EU AI Act의 Article 51(2) 하에서, 범용 AI 모델은 학습에 사용된 누적 컴퓨트가 10^25 부동소수점 연산(FLOPs)을 초과할 때 고영향 역량을 가져 시스템적 위험을 제기하는 것으로 추정됩니다. 추정은 반박 가능합니다. 한계점 이상의 프로바이더는 Article 52(2) 하에서 모델이 사실상 시스템적 위험을 제기하지 않는다는 입증된 주장을 제출할 수 있습니다. 위원회는 한계점 미만의 모델을 지정할 수도 있고, 기술 상태가 진화함에 따라 위임법을 통해 한계점 자체를 갱신할 수도 있습니다.
GPAI Code of Practice에 서명해야 하나요?: 아니요. 2025년 7월 10일 발표된 Code of Practice는 자발적입니다. 서명은 관련 Article 53과 (시스템적 위험 프로바이더의 경우) Article 55 의무와의 적합성 추정을 부여하며, 이는 AI Office 평가 동안 행정 마찰을 줄입니다. 2025년 중반 기준, Anthropic, Google, Microsoft, OpenAI를 포함한 26개 조직이 서명했습니다. Meta는 서명을 거부했습니다. 비서명자는 대안 적정 수단을 통해 컴플라이언스를 입증해야 하고 Article 101 집행이 시작될 때 더 면밀한 조사를 예상할 수 있습니다.
GPAI 미준수에 대한 최대 벌금은?: EU AI Act의 Article 101 하에서, 유럽 위원회는 GPAI 의무의 의도적이거나 과실 침해 또는 요청된 정보 제공 실패에 대해 GPAI 모델 프로바이더에게 글로벌 연간 매출의 최대 3% 또는 1,500만 유로 중 더 큰 금액의 벌금을 부과할 수 있습니다. 이는 금지된 AI 관행에 대해 최대 3,500만 유로 또는 매출 7%를 포함하는 더 광범위한 Article 99 티어와 별도로 위치합니다. SME와 스타트업은 백분율 또는 절대 금액 중 낮은 것으로 상한됩니다.