EU 고위험 AI 규제와 Article 10: 채용 AI 데이터 거버넌스 의무

Executive Summary

EU가 고위험 AI 의무 시한을 미루려던 협상은 한 번에 매듭지어지지 않았다. 2026년 4월 28일 첫 3자 협상이 합의 없이 끝났고, 5월 7일에야 잠정 합의에 이르렀다. 하지만 잠정 합의는 EU 관보에 게재되기 전까지 효력이 없다. 그래서 2026년 6월 현재, 고위험 AI 의무의 원래 발효일인 8월 2일은 여전히 법적으로 살아 있는 시한이다. 그리고 그 시한은 채용·인사 AI를 쓰는 조직에 구체적인 준비를 요구한다.

잠정 합의가 그대로 채택되면 Annex III 고위험 AI의 시한은 2027년 12월 2일로 16개월 밀린다. 다만 미뤄지는 것은 날짜이지 의무의 내용이 아니다. 시한이 연장된 이유도 기업 준비가 끝나서가 아니라 기술 표준과 지침 문서가 아직 마련되지 않았기 때문이다. 즉 시간이 더 생기더라도 준비해야 할 항목은 똑같이 남는다.

채용 선별, 성과 평가, 근로자 모니터링에 쓰이는 AI가 '고위험'으로 분류되면, 규제가 가장 먼저 묻는 것은 어떤 모델을 쓰느냐가 아니다. 그 AI가 무슨 데이터로 학습했고 그 데이터의 출처·품질·편향을 어떻게 증명할 수 있느냐다. 이 글은 그 첫 과제가 모델 교체가 아니라 데이터 거버넌스 증빙임을 짚는다.

8월 2일

살아 있는 시한

관보 게재 전까지 고위험 AI 의무의 원래 발효일

2027-12-02

유예 시 새 시한

잠정 합의가 채택되면 Annex III 고위험 AI는 16개월 연장

8개 항목

Article 10 문서화

출처·전처리·편향 검사까지 요구되는 데이터 거버넌스 기록

매출 6%

비준수 과징금

최대 €3,500만 또는 글로벌 매출 6% 중 큰 금액, 역외 적용

1

유예는 멈췄고, 8월 2일은 살아 있다

2025년 11월, 유럽위원회는 'Digital AI Omnibus'를 통해 고위험 AI 의무의 시한을 2026년 8월 2일에서 2027년 12월 2일로 늦추자고 제안했다. 부담을 호소하던 산업계에는 반가운 소식이었다. 그러나 연장은 자동으로 확정되지 않았다. 의회·이사회·집행위가 모이는 3자 협상에서 합의가 필요했고, 첫 협상은 결렬됐다.

이후 흐름을 날짜로 정리하면 다음과 같다. 잠정 합의에 도달했지만, 그 합의가 효력을 가지려면 공식 채택을 거쳐 관보에 실려야 한다. 그 절차가 끝나기 전까지 원래 시한은 그대로 살아 있다.

2025-11-19 EC, Digital AI Omnibus 발의 — 고위험 AI 시한을 2026-08-02 → 2027-12-02로 연장 제안

2026-04-28 첫 3자 협상 결렬 — 합의 없이 종료

2026-05-07 두 번째 협상에서 잠정 합의 도달, 5월 13일 이사회 확인

2026-08-02 고위험 AI 의무의 원래 발효일 — 관보 게재 전까지 살아 있는 시한

2027-12-02 잠정 합의 채택 완료 시, Annex III 고위험 AI의 새 시한

EU 의회 스트라스부르에서 2,300만 명을 대표하는 단체들이 강력한 EU AI ACT를 지지하는 현수막을 들고 있는 장면 — ▲ EU 의회 스트라스부르에서 2,300만 명을 대표하는 시민단체가 강력한 AI Act를 촉구하는 장면 | Source: Wikimedia Commons (EKO, CC BY 2.0)

여기서 짚어야 할 것은 '연장'과 '면제'가 다르다는 점이다. 시한이 미뤄져도 의무 내용은 줄지 않는다. 게다가 같은 8월 2일에 함께 시행되는 투명성 조항(Article 50)은 이번 유예 대상이 아니다. AI 생성 콘텐츠 표시 의무는 예정대로 적용된다. 한 날짜에 두 종류의 의무가 걸려 있고, 그중 고위험 의무만 시한이 흔들리는 상황이다.

2

무엇이 '고위험' 채용 AI인가

EU AI Act는 위험도에 따라 AI를 분류하고, 가장 무거운 의무를 '고위험' 범주에 지운다. Annex III는 그 고위험 유스케이스를 분야별로 열거하는데, 고용·노동 영역이 한 축을 차지한다. 우리 조직이 쓰는 AI가 다음 중 하나에 해당하면 고위험 의무의 적용 대상이 될 수 있다.

• 채용 및 후보자 선발 — CV 소팅, 이력서 스크리닝 소프트웨어를 포함한다.
• 성과 평가 — 직원의 업무 성과를 점수화·등급화하는 시스템.
• 업무 할당 — 누구에게 어떤 일을 배정할지 결정하는 알고리즘.
• 근로자 모니터링 — 행동·생산성을 추적·분석하는 도구.
• 승진·해고 결정 — 인사 의사결정에 직접 개입하는 시스템.

EU 의회에서 생성형 AI 규제와 인간 복지 우선을 촉구하는 안내 책자를 읽고 있는 모습 — ▲ EU 의회 스트라스부르에서 AI 규제 필요성을 담은 안내 책자를 검토하는 장면 | Source: Wikimedia Commons (EKO, CC BY 2.0)

유럽위원회는 이 범주를 "고용, 근로자 관리, 자영업 접근을 위한 AI 도구(예: 채용용 CV 소팅 소프트웨어)"라고 설명한다. 주의할 점은 '채용 AI'라는 이름표가 붙은 전용 제품만 걸리는 게 아니라는 것이다. 국내 기업이 도입한 인사 관리 SaaS 안에 성과 점수화나 업무 배분 기능이 들어 있다면, 그 기능이 고위험 적용 대상이 될 수 있다. EU 사용자나 EU 내 근로자를 대상으로 운영한다면 본사가 한국에 있어도 적용 범위에 들어간다.

3

규제가 먼저 묻는 것 — Article 10

고위험 AI에는 리스크 관리(Article 9), 기술 문서(Article 11), 투명성(Article 13) 등 여러 의무가 동시에 걸린다. 그중 데이터 쪽에서 가장 직접적인 요건이 Article 10, 데이터 거버넌스다. 이 조항은 학습·검증·테스트 데이터가 "관련성 있고, 충분히 대표성을 갖추며, 가능한 한 오류가 없고 완전해야 한다"고 요구한다. 그리고 그것을 증명할 문서를 갖추라고 명시한다.

Article 10이 문서화를 요구하는 항목은 여덟 가지다. 설계 선택, 데이터 수집과 출처, 전처리 과정, 데이터 선택 가정, 데이터의 가용성과 적합성, 편향 검사, 편향 완화, 그리고 남은 격차와 결함이다. 라벨링을 외주에 맡겼다면 어노테이터의 자격과 작업자 간 합의 지표까지 기록 대상이 된다. "데이터를 검토했다"는 말은 증거가 되지 않는다. 규제가 보려는 것은 출처 기록부터 전처리 단계, 품질 검사, 편향 분석, 수정 내역까지 이어지는 추적 가능한 흔적이다.

브뤼셀 베를레몽 유럽위원회 본부 건물 — EU AI Act 데이터 거버넌스 규제의 발원지 — ▲ 브뤼셀 베를레몽 유럽위원회(European Commission) 본부 — EU AI Act Article 10을 포함한 데이터 거버넌스 의무의 발원지 | Source: Wikimedia Commons (Zairon, CC BY-SA 4.0)

3.1실무로 옮기면 다섯 가지 증빙

법 조항을 채용 AI를 운영하는 조직의 실무 언어로 풀면, 준비할 증빙은 다음 다섯 가지로 정리된다.

• 데이터 출처 명세서 — 학습 데이터가 어디서 왔는지. 내부 생성인지, 외부 구매인지, 웹에서 수집한 것인지.
• 데이터 품질 기록 — 어떤 필터링 기준을 적용했고 무엇을 제외했는지.
• 편향 분석 보고서 — 채용 AI라면 특히 성별·연령·국적 같은 보호 특성별 분석.
• 라벨링 방법론 문서 — 누가, 어떤 기준으로, 얼마나 일관되게 라벨링했는지.
• 업데이트 이력 — 재학습할 때마다 갱신되는 기록. 한 번 만들고 끝나는 문서가 아니다.

편향 분석을 두고 흔히 나오는 오해가 하나 있다. 성별이나 인종 같은 민감 정보를 건드리면 개인정보 규제에 걸리니 아예 손대지 말자는 것이다. 이번 잠정 합의는 그 반대를 분명히 했다. 편향을 탐지하고 줄일 목적이라면 인종·건강·성적 지향 같은 특수 범주 데이터도 처리할 수 있다고 명확히 했다. 채용 AI에서 편향 분석은 피해야 할 위험이 아니라, 규제가 오히려 길을 열어 둔 의무에 가깝다.

이 다섯 가지는 '모델 카드'나 '시스템 카드' 수준의 자발적 설명서를 넘어선다. 규제 기관이 점검할 때 제출해야 하는, 법적 효력을 가진 감사 추적이다. 좋은 모델을 골랐다는 사실만으로는 이 요건을 채울 수 없다. 무엇으로 학습했는지를 증명하지 못하면, 그 AI는 컴플라이언스 관점에서 설명되지 않은 시스템이 된다.

비준수의 대가도 작지 않다. 고위험 의무 위반은 최대 €3,500만 또는 글로벌 매출의 6% 중 큰 금액이 과징금으로 부과되고, EU 시장에서 쓰이는 AI라면 역외 기업에도 적용된다. 채용·인사처럼 사람의 기회를 좌우하는 영역일수록 규제의 시선은 더 깊이 데이터로 향한다.

4

콜로라도·캐나다와 같은 질문

데이터 출처를 먼저 묻는 건 EU만의 방식이 아니다. 미국 콜로라도의 SB 26-189(ADMT)는 자동화된 의사결정 기술에 영향 평가와 알고리즘 감사를 요구한다. 캐나다 개인정보위원회의 PIPEDA Findings #2026-002는 학습 데이터에 대한 사후 동의가 불가능하다고 판정했다. 동의를 얻을 수 없는 데이터라면 그 데이터로 학습시킬 수 없다는 원칙이다.

유럽연합 깃발 — EU AI Act, 콜로라도 SB 26-189, 캐나다 PIPEDA로 이어지는 글로벌 AI 데이터 규제의 중심축 — ▲ EU 규제는 글로벌 AI 데이터 거버넌스 표준의 기준점 역할을 한다 | Source: Wikimedia Commons (Council of Europe, Public Domain)

표현과 관할은 달라도 세 규제가 처음에 던지는 질문은 같다. "이 AI 시스템은 어떤 데이터로 학습했는가." 같은 날 시행되는 EU의 Article 50 표시 의무까지 합치면, AI 규제의 무게중심이 모델의 성능에서 데이터의 출처와 기록으로 옮겨가고 있음이 분명해진다. 어느 한 규제에 맞춰 데이터 거버넌스를 정리해 두면 나머지 대응의 상당 부분이 함께 풀리는 이유다.

그래서 고위험 AI 시한이 16개월 미뤄진다 해도, 그 시간을 쓰는 방향은 정해져 있다. 더 나은 모델을 찾는 데 쓰기보다, 지금 운영 중인 AI가 무슨 데이터로 학습했고 그 데이터를 어떻게 검증했는지를 증명할 기록을 쌓는 데 쓰는 편이 낫다. 8월 2일 이후 누군가 "이 채용 AI는 어디서 온 데이터로 배웠는가"라고 물었을 때, 답할 준비가 되어 있는 조직과 그렇지 못한 조직의 거리는 모델이 아니라 데이터 거버넌스에서 갈린다.

R

참고문헌

공식 문서

1.European Commission. "Regulatory Framework for AI." Shaping Europe's Digital Future.
2.EU AI Act. "Article 10: Data and Data Governance."
3.EU AI Act. "Annex III: High-Risk AI Systems."

법률·업계 분석

4.DLA Piper. (2026). "The Digital AI Omnibus: Proposed Deferral of High-Risk AI Obligations under the AI Act."
5.Gibson Dunn. (2026). "EU AI Act Omnibus Agreement — Postponed High-Risk Deadlines and Other Key Changes."
6.Covington (Global Policy Watch). (2026). "EU AI Act Update: Timeline Relief, Targeted Simplification, and New Prohibitions."
7.AI Governance Desk. (2026). "Article 10 Decoded: EU AI Act Data Governance Rules for High-Risk AI."