EU AI법 8월 2일, 챗봇과 딥페이크에 공개의무가 생긴다

Executive Summary

2026년 8월 2일, EU AI법의 투명성 조항(Article 50)이 전면 시행된다. 이날부터 챗봇은 자신이 사람이 아니라 AI임을 첫 대화에서 밝혀야 하고, AI가 만든 딥페이크와 합성 미디어에는 "인위적으로 생성·조작됨"이라는 표시가 붙어야 한다. 고위험 AI가 아니어도, 우리 회사 시스템이 그 범주에 들지 않아도 적용된다. 이 글은 그 의무가 누구에게, 언제, 무엇을 요구하는지를 한국·미국 기업의 시점에서 정리한다.

많은 기업이 5월에 타결된 AI Omnibus 소식을 듣고 "규제가 미뤄졌다"고 안심했다. 정확히는 고위험 AI 의무만 2027년 12월로 연장됐고, 챗봇 공개와 딥페이크 라벨링은 8월 2일 그대로다. 게다가 그보다 앞선 7월 22일에는 Code of Practice 서명 마감이 있다. 서명한 기업은 투명성 의무를 지켰다는 추정을 받아, 입증 책임이 당국으로 넘어간다.

적용 대상의 78%가 아직 의미 있는 준수 조치를 시작하지 않았다는 조사가 있다. 같은 숫자를 뒤집으면, 지금 6주를 쓰는 기업이 EU 시장의 조달 경쟁에서 앞설 수 있다는 뜻이기도 하다. 공포가 아니라 점검의 시점이다.

8월 2일

Article 50 전면 시행

챗봇·딥페이크 의무, AI Omnibus 연장 제외

7월 22일

Code of Practice 서명 마감

초기 서명자 명단 + 준수 추정 효과

1.5%

투명성 위반 과징금 상한

전 세계 매출 또는 €750만 중 높은 쪽

78%

미준수 조직 비율

얼리무버에게 열린 6주의 창

1

8월 2일, 달라지는 것과 그대로인 것

EU AI법은 2024년 8월 1일에 발효됐고, 의무는 위험 등급별로 시차를 두고 적용되도록 설계됐다. 2025년 2월에 금지 AI 관행과 AI 리터러시 의무가, 같은 해 8월에 범용 AI(GPAI) 모델 공급자의 의무가 먼저 켜졌다. 2026년 8월 2일은 그다음 단계로, 투명성 조항과 고위험 AI 의무가 적용될 예정이던 날이다.

그런데 2026년 5월 7일, EU 이사회·의회·집행위가 이른바 'AI Omnibus' 간소화 패키지에 정치적으로 합의했다. 기업의 준수 부담을 덜기 위해 일부 시한을 늦춘 것이다. 이 소식이 "EU AI법 시행 연기"로 단순화돼 퍼지면서 오해가 생겼다. 무엇이 미뤄졌고 무엇은 그대로인지를 정확히 갈라 보는 것이 이 글의 출발점이다.

1.1연장된 것: 고위험 AI

AI Omnibus로 시한이 늦춰진 핵심은 고위험 AI다. 채용·신용평가·교육 평가처럼 사람의 권리에 큰 영향을 주는 영역(Annex III)에 쓰이는 AI 의무는 2026년 8월에서 2027년 12월로 16개월 미뤄졌다. 의료기기·기계설비 같은 제품에 내장된 고위험 AI(Annex I)는 2027년 8월에서 2028년 8월로 1년 늦춰졌다. 설명가능성, 기록 보관, 인간 감독, 데이터 거버넌스 같은 무거운 의무를 준비할 시간이 그만큼 더 생긴 셈이다.

1.2그대로인 것: 투명성

반대로, 챗봇 AI 공개(50조 1항)와 딥페이크 라벨링(50조 4항), 감정인식·생체분류 고지(50조 3항)는 AI Omnibus의 연장 대상이 아니다. 8월 2일 그대로 켜진다. 한 가지 예외만 부분 유예를 받았는데, 합성 콘텐츠에 기계가 읽을 수 있는 표식을 새기는 50조 2항이다. 8월 2일 이전에 이미 시장에 나와 있던 시스템에 한해 2026년 12월 2일까지 4개월의 여유를 준다. 8월 2일 이후 새로 출시하는 시스템은 처음부터 적용된다.

정리하면, 무거운 의무는 미뤄졌고 가벼워 보이는 의무가 먼저 도착했다. 그런데 이 "가벼워 보이는" 투명성 의무야말로 일반 챗봇·콘텐츠 생성 서비스를 쓰는 거의 모든 기업에 닿는다. 아래 표가 그 경계를 보여준다.

시점	의무	AI Omnibus 영향
2026-07-22	Code of Practice 서명 마감 (18:00 CEST)	신규 일정 — 자발적
2026-08-02	챗봇 AI 공개 (50조 1항)	변경 없음
2026-08-02	딥페이크 라벨링 (50조 4항)	변경 없음
2026-08-02	감정인식·생체분류 고지 (50조 3항)	변경 없음
2026-12-02	합성 콘텐츠 기계 판독 마킹 (50조 2항)	기존 출시 시스템만 4개월 유예
2027-12-02	고위험 AI 의무 (Annex III)	16개월 연장
2028-08-02	고위험 AI 의무 (Annex I 제품)	12개월 연장

▲ EU AI법 주요 시행 일정 (페블러스 원본 도식) | Source: artificialintelligenceact.eu

AI Omnibus는 2026년 5월 7일 정치적 합의 단계다. 공식 채택은 6~7월로 예정돼 있어, 이 글을 쓰는 6월 23일 시점에는 최종 발효 전이다. 연장 일정은 최종 텍스트에서 미세하게 바뀔 수 있다.

2

Article 50 — 우리 회사에 닿는 네 가지 의무

Article 50은 AI 시스템의 위험 등급과 무관하게 적용되는 투명성 의무를 네 갈래로 나눈다. 공급자(시스템을 만들어 시장에 내놓는 쪽)와 배포자(그 시스템을 업무에 쓰는 쪽)에게 각각 다른 의무가 떨어진다. 자사 서비스가 어디에 해당하는지 한 항목씩 짚어 보자.

50조 1항 · 공급자

대화형 AI — "지금 AI와 대화 중입니다"

챗봇, 가상 어시스턴트, 자율 에이전트처럼 사람과 직접 상호작용하는 AI는 사용자가 처음 마주하는 순간에 자신이 AI임을 알려야 한다. 약관 안쪽 작은 글씨나 푸터 주석으로는 부족하다. 고지는 즉각적이고, 접근 가능하며, 명확해야 한다.

예외는 두 가지다. 누가 봐도 AI임이 분명한 경우, 그리고 법집행 목적의 시스템. 이 의무는 8월 2일에 그대로 켜지며 AI Omnibus의 연장 대상이 아니다.

50조 2항 · 공급자

합성 콘텐츠 — 기계가 읽는 출처 표식

AI가 만든 오디오·이미지·비디오·텍스트에는 기계가 읽을 수 있는 형식으로 "AI 생성"이라는 표식을 새겨, 자동으로 감지 가능하게 해야 한다. Code of Practice가 권장하는 표준은 C2PA 암호화 서명 메타데이터와 SynthID 같은 비가시적 워터마킹을 함께 쓰는 방식이다. 둘 중 하나만으로는 효과적·상호운용·견고·신뢰라는 법적 요건을 채우기 어렵다.

문법 교정 같은 보조 편집 기능, 그리고 형사 감지 시스템은 면제된다. 기존에 시장에 나와 있던 시스템은 12월 2일까지 유예를 받지만, 신규 출시 시스템은 8월 2일부터 적용된다.

C2PA 서명과 워터마킹의 기술 구현, 데이터 출처 추적의 자세한 방법은 페블러스가 앞서 정리한 AI 생성 콘텐츠 표시와 프로비넌스 글에서 다뤘다. 이 글은 비즈니스 의무와 일정에 초점을 둔다.

50조 3항 · 배포자

감정인식·생체분류 — 노출된 사람에게 고지

표정·음성으로 감정을 읽거나 생체 정보로 사람을 분류하는 시스템을 운영한다면, 그 시스템에 노출되는 사람에게 사실을 알려야 한다. GDPR 준수도 함께 따라온다. 콜센터 음성 감정 분석, 매장 내 고객 반응 측정 같은 도구가 여기에 닿는다.

법집행 시스템은 면제다. 시행일은 8월 2일이다.

50조 4항 · 배포자

딥페이크와 공익 텍스트 — "인위적으로 만들었습니다"

AI로 생성·조작한 이미지·오디오·비디오가 실제처럼 보인다면 "인위적으로 생성·조작됨"을 공개해야 한다. 핵심은 기만 의도가 없어도, 특정 실존 인물을 묘사하지 않아도 적용된다는 점이다. 용이나 날아다니는 인간처럼 명백한 판타지는 범위 밖이고, 예술·풍자 작품은 감상을 방해하지 않는 방식으로 표시할 수 있다.

공공 사안을 다루는 AI 생성 텍스트를 대중에게 알리는 경우에도 공개 의무가 붙는다. 편집 검토 예외는 생각보다 좁다. 실질적인 사람의 편집과 명확한 편집 책임이 있을 때만 인정되고, 맞춤법 교정 정도로는 면제되지 않는다. 시행일은 8월 2일이다.

네 의무를 관통하는 한 가지 사실은, 이것이 "고위험 AI 규제"가 아니라는 점이다. 평범한 고객 챗봇 하나, 마케팅용 AI 이미지 하나만 써도 적용된다. 자사 AI가 고위험이 아니라는 이유로 8월 2일을 넘긴다면, 정작 닿는 의무를 놓치는 셈이다.

3

"우리 회사도 해당되나" — 역외 적용

가장 자주 받는 질문은 "EU에 법인도 없는데 우리가 왜?"다. EU AI법은 GDPR과 같은 구조로, 기업이 어디에 있느냐가 아니라 AI 시스템과 그 출력물이 EU 안에서 쓰이느냐를 본다. 아래 네 가지 중 하나라도 해당하면 적용된다.

• EU 시장에 AI 시스템을 상업적으로 출시·제공한다.
• EU 안의 사용자에게 AI 서비스를 제공한다.
• AI 출력물이 EU 안에서 사용된다 (기업 소재지 무관).
• EU 내 배포자·수입자를 통해 간접적으로 공급한다.

▲ EU AI법 역외 적용 구조 — 소재지 무관, EU 이용자에 서비스가 닿으면 적용 (페블러스 원본 도식)

3.1한국 기업의 경우

CMS Law가 든 사례가 직관적이다. 온라인 마켓플레이스에서 개인 AI 합성 사진 서비스를 제공하는 한국 기업이 있다고 하자. EU에 사는 사용자가 자기 사진을 올려 합성에 사용하면, 그 순간 EU AI법이 적용된다. 별도의 EU 진출 전략이 없어도, 글로벌 앱 하나로 충분히 적용 대상이 된다.

3.2미국 기업의 경우

구조는 같다. 캘리포니아나 텍사스에 본사가 있고 EU 자회사가 없어도, 서비스가 EU 사용자에게 닿으면 적용된다. GDPR이 미국 기업에 적용되던 방식 그대로다. 이미 GDPR 대응 경험이 있는 기업이라면 역외 적용 자체는 낯설지 않을 것이다.

3.3한국 기업의 이중 컴플라이언스

한국 기업에는 변수가 하나 더 있다. 한국의 AI 기본법(인공지능 발전과 신뢰 기반 조성 등에 관한 기본법)이 2026년 1월 22일에 시행됐다. EU와 비슷한 위험 기반 체계에 미국식 혁신 고려를 섞은 혼합형으로, 범주별로 의무를 나누는 EU와 달리 모든 AI 시스템에 기본 의무를 두는 차이가 있다. 외국 기업이라도 전 세계 매출 1조 원 이상, 국내 매출 100억 원 이상, 또는 일일 이용자 100만 명 이상이면 국내 대리인을 지정해야 한다. EU와 한국 양쪽을 동시에 보는 설계가 필요한 이유다.

3.4과징금 구조

벌금은 전 세계 연간 매출을 기준으로 삼는다. 투명성 의무(Article 50) 위반은 €750만 또는 전 세계 매출의 1.5% 중 높은 쪽이다. 금지 AI 관행은 €3,500만 또는 7%, 고위험 AI 의무 위반은 €1,500만 또는 3%로 더 무겁다. 중소기업과 스타트업에는 하한이 적용된다. 숫자의 크기보다 중요한 건, 기준이 "EU 매출"이 아니라 "전 세계 매출"이라는 점이다.

완화 장치도 함께 왔다. AI Omnibus는 중소기업(SME)으로 인정받는 범위를 직원 750명·매출 1억 5천만 유로 이하의 '소규모 중견기업'까지 넓혔다. 이 범위에 들면 간소화된 서식, 낮은 벌금 하한, 규제 샌드박스 접근 같은 혜택을 받는다. 기계설비 규정(Machinery Regulation)으로 이미 규제받는 산업·제품 AI는 EU AI법 적용에서 빠진다. 한국·미국의 중견 제조·SaaS 기업이라면, 의무를 점검하기 전에 자사가 이 완화 범위에 드는지부터 확인하는 편이 실익이 크다.

4

7월 22일 — 4주 안에 할 수 있는 가장 큰 방어

8월 2일에 가려져 잘 보도되지 않은 날짜가 하나 있다. 7월 22일 18:00 CEST, Code of Practice on the Transparency of AI-Generated Content의 서명 마감이다. EU AI Office가 50조 2항·4항 준수를 돕기 위해 만든 자발적 강령으로, 2026년 6월에 최종 공개됐다. 서명 자체는 법적 의무가 아니지만, 서명 여부가 만드는 차이가 크다.

4.1준수 추정 — 입증 책임이 넘어간다

서명한 기업은 50조 2항·4항을 준수했다는 추정(presumption of conformity)을 받는다. 무슨 뜻이냐면, 문제가 생겼을 때 "우리는 준수했다"를 기업이 증명하는 게 아니라, "준수하지 않았다"를 당국이 입증해야 한다는 것이다. 입증 책임이 통째로 넘어간다. 집행 단계에서 과징금을 정할 때도 경감 요소로 고려된다. 반대로 서명하지 않은 기업은 당국의 정보 요청과 조사를 더 자주 받을 수 있다.

4.2서명 방법

제출처는 EU 집행위 AI Office의 전용 이메일(CNECT-AIOFFICE-CODE-OF-PRACTICE-TRANSPARENCY@ec.europa.eu)이다. 7월 22일 이후에도 서명은 가능하지만, 이 날까지 제출해야 초기 서명자 명단에 들어간다. 초기 명단은 그 자체로 시장 신호가 된다. 강령의 기술 요건은 앞서 본 대로 C2PA 메타데이터와 비가시적 워터마킹의 동시 적용을 최소 기준으로 삼는다. C2PA를 채택한 조직은 2026년 기준 6,000곳을 넘었고, Adobe·Google·Microsoft·OpenAI가 포함돼 있다.

8월 2일까지 모든 기술 구현을 끝내기는 빠듯하다. 그러나 7월 22일 서명은 4주 안에 결정할 수 있는 행동이고, 그 한 번의 서명이 입증 책임을 당국으로 넘긴다. 6주 안에 손에 잡히는 가장 큰 리스크 방어가 여기에 있다.

5

6주 체크리스트 — 만드는 쪽과 쓰는 쪽

의무는 공급자냐 배포자냐에 따라 갈린다. 자사가 AI 서비스를 만들어 파는 쪽인지, 남이 만든 AI를 업무에 쓰는 쪽인지부터 정한 다음 아래 목록을 따라가면 된다. 많은 기업은 두 역할을 모두 가진다.

생성 AI 서비스 공급자

• 챗봇·어시스턴트에 첫 상호작용 시점의 AI 고지를 넣었는가 (50조 1항).
• AI 생성 출력물에 C2PA 메타데이터 + 워터마킹을 적용했는가 (50조 2항).
• 7월 22일까지 Code of Practice 서명을 검토·제출했는가.

AI 서비스 배포자 (기업 사용자)

• 마케팅·홍보에 쓰는 AI 생성 이미지·영상에 딥페이크 라벨을 붙였는가 (50조 4항).
• 공공 사안을 다루는 AI 생성 텍스트에 공개 표시를 넣었는가, 편집 책임이 명확한가.
• 감정인식·생체분류 도구를 쓴다면 노출되는 사람에게 고지했는가 (50조 3항).
• 어떤 AI 시스템을 어디에 쓰는지 인벤토리가 정리돼 있는가 (조사 50% 이상이 미보유).

한국 AI 기본법 동시 점검

• 국내 대리인 지정 기준(매출·이용자 수)에 해당하는지 확인했는가.
• 생성형 AI 결과물 표시 의무를 EU·한국 양쪽 기준으로 함께 설계했는가.
• 한국은 모든 AI에 기본 의무를 두므로, EU 범주 분류만으로 안심하지 않았는가.

6

비용이 아니라 기회로

컴플라이언스 이야기는 대개 비용으로 끝난다. 대기업의 준수 비용이 800만~1,500만 달러, AI 시스템당 제3자 인증이 5만 달러부터라는 숫자를 보면 그럴 만하다. 그런데 적용 대상의 78%가 아직 의미 있는 조치를 시작하지 않았다는 사실은 다르게 읽을 수도 있다. 절반 이상은 기본적인 AI 인벤토리조차 없다. 이 공백이 곧 먼저 움직이는 기업의 자리다.

GDPR이 그랬다. 초기에 데이터 보호를 갖춘 기업들이 유럽 시장에서 신뢰를 무기로 앞서 나갔다. AI 투명성도 같은 길을 따라간다. 규제 산업의 B2B 고객은 점점 "당신의 AI는 어떻게 만들어졌고, 어떤 데이터로 학습했는가"를 조달 기준으로 묻는다. 준수를 증명할 수 있는 기업이 그 거래에서 먼저 선택된다. PwC와 Deloitte가 EU AI법을 규제가 아닌 전략 우선순위로 다루라고 권하는 이유가 여기 있다.

투명성 의무의 바닥에는 결국 데이터가 있다. 챗봇 고지든 콘텐츠 출처 표식이든 GPAI 학습 데이터 요약이든, 공통적으로 요구되는 건 "이 출력이 어디서 왔는지를 추적하고 문서화할 수 있는 능력"이다. 출처를 추적하고 품질을 검증하는 데이터 거버넌스가 갖춰져 있으면, 8월 2일의 의무는 새로 쌓는 벽이 아니라 이미 깔린 토대 위의 한 줄이 된다.

페블러스 노트. 페블러스가 AI-Ready Data와 DataClinic에서 다뤄 온 데이터 출처 추적·품질 검증은, 마침 Article 50이 요구하는 투명성의 기술적 토대와 같은 자리에 있다. 규제가 만들어 낸 새로운 시장이라기보다, 데이터를 제대로 다뤄 온 기업이 규제 앞에서 덜 흔들린다는 오래된 사실의 한 사례에 가깝다.

R

참고문헌

공식 문서 (EU·법조항)

1.European Parliament and Council. (2024). "Regulation (EU) 2024/1689 — Article 50: Transparency Obligations." Official Journal of the European Union.
2.European Parliament and Council. (2024). "Transparency Obligations under Article 50 of the AI Act." Official Journal of the European Union.
3.European Commission. (2026). "Regulatory Framework on Artificial Intelligence." Shaping Europe's Digital Future.
4.European Commission. (2026). "Code of Practice on Transparency of AI-Generated Content." Shaping Europe's Digital Future.
5.European Commission. (2026). "Signing the Code of Practice on Transparency of AI-Generated Content." Shaping Europe's Digital Future — FAQ.
6.Council of the European Union. (2026). "Artificial Intelligence: Council and Parliament Agree to Simplify and Streamline Rules." Council of the EU Press Releases.
7.Future of Life Institute. (2026). "AI Act Implementation Timeline." artificialintelligenceact.eu.

법률·업계 분석

8.Gibson Dunn. (2026). "EU AI Act Omnibus Agreement: Postponed High-Risk Deadlines and Other Key Changes." Gibson Dunn Insights.
9.Greenberg Traurig. (2026). "Deepfakes, Chatbots, AI-Generated Text: European Commission Details Transparency Obligations under the AI Act." GT Law Insights.
10.CMS Law. (2026). "Guide to the EU AI Act for Businesses Outside the EU." CMS Expert Guides.
11.Cooley. (2026). "South Korea's AI Basic Act: Overview and Key Takeaways." Cooley Insights.
12.Future of Privacy Forum. (2026). "South Korea's New AI Framework Act: A Balancing Act Between Innovation and Regulation." FPF Blog.

컴플라이언스 가이드

13.Responsible AI Labs. (2026). "EU AI Act: August 2026 Compliance Countdown." Responsible AI Labs Knowledge Hub.
14.Adastra. (2026). "The EU AI Act Explained: A Complete Business Guide to Compliance, Penalties and Strategic Opportunities." Adastra Insights.