AI 기본법 적용 여부는 "AI를 쓴다"는 사실 하나로 판단하지 않습니다. 먼저 회사가 인공지능사업자인지 확인하고, 다음으로 서비스가 생성형 AI 또는 고영향 AI와 연결되는지, 마지막으로 규모·해외 본사·타법 이행 상태까지 순서대로 봐야 합니다.
AI 기본법과 시행령은 2026년 1월 22일부터 시행 중입니다. 시행령은 투명성 확보 방법, 고영향 AI 확인 절차, 안전성 확보 대상 시스템, 국내대리인 지정 기준까지 구체화했습니다.
1단계: AI 기능이 실제 서비스에 들어갔는가
첫 단계는 회사가 제공하는 제품·서비스 안에 AI 기능이 있는지 확인하는 것입니다. 챗봇, 자동 추천, 자동 분류, 자동 평가, 문서 요약, 번역, 이미지·음성·영상 생성, 음성 인식, 이상 탐지, 예측 기능은 모두 목록에 올려야 합니다.
단순 자동화와 AI 시스템은 구별해야 합니다. 정해진 규칙에 따라 버튼을 누르면 같은 결과만 나오는 기능인지, 입력값에 따라 예측·분류·생성·추천 결과가 달라지는 기능인지 먼저 나누는 것이 좋습니다.
2단계: 내부 이용인가, 외부 제공인가
두 번째 단계는 AI 기능이 내부 업무 보조인지, 외부 이용자에게 제공되는 제품·서비스인지 구분하는 것입니다.
내부 보고서 작성, 번역, 회의록 정리처럼 직원이 업무 도구로 AI를 쓰는 경우는 일반 이용에 가까울 수 있습니다. 반대로 고객이 회사의 앱, 웹사이트, API, SaaS에서 AI 결과를 직접 받는다면 인공지능제품 또는 인공지능서비스 제공 여부를 검토해야 합니다.
3단계: 인공지능개발사업자인가, 인공지능이용사업자인가
세 번째 단계는 제공 형태입니다. 직접 AI를 개발해 제공하면 인공지능개발사업자, 다른 개발사업자의 AI를 이용해 AI 제품·서비스를 제공하면 인공지능이용사업자에 해당할 수 있습니다. 인공지능사업자는 이 두 유형 중 어느 하나에 해당하는 법인·단체·개인·국가기관 등을 말합니다.
이 단계에서는 계약서와 서비스 화면을 함께 봐야 합니다. 고객이 누구와 계약하는지, 서비스 약관에 어느 회사가 표시되는지, AI 결과에 대해 누가 설명하고 수정할 수 있는지 확인해야 합니다.
4단계: 고영향 AI에 해당하는가
네 번째 단계는 고영향 AI 해당 여부입니다. 고영향 AI는 사람의 생명·신체 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 AI 시스템으로, 법에서 정한 영역에서 활용되는 경우를 말합니다. 국회도서관 해설은 에너지, 먹는 물, 보건의료, 의료기기·디지털의료기기, 원자력, 범죄 수사·체포 업무의 생체인식정보, 채용·대출 심사, 교통, 공공서비스, 유아·초중등교육 학생 평가 등을 예시로 정리합니다.
분야에 들어간다고 곧바로 결론이 나는 것은 아닙니다. 시행령은 고영향 AI 해당 여부를 판단할 때 사람의 생명·신체 안전 및 기본권에 초래할 수 있는 위험의 영향, 중대성, 빈도 등을 고려하도록 합니다.
5단계: 생성형 AI 또는 딥페이크성 결과물인가
다섯 번째 단계는 생성형 AI 여부입니다. 생성형 AI는 입력 데이터의 특성을 모방해 글, 소리, 그림, 영상 등 다양한 결과물을 생성하는 AI 시스템으로 설명됩니다.
생성형 AI 또는 이를 이용한 제품·서비스를 제공하는 경우 결과물이 생성형 AI로 생성되었다는 사실을 표시해야 하는 문제가 생깁니다. 시행령은 사람이 인식할 수 있는 방법 또는 기계가 판독할 수 있는 방법으로 표시하는 체계를 정하고 있습니다. 실제와 구분하기 어려운 가상의 음향, 이미지, 영상 등을 제공하는 경우에는 이용자가 쉽게 확인할 수 있도록 고지 또는 표시해야 합니다.
6단계: 규모·해외 본사·타법 이행 상태를 확인했는가
여섯 번째 단계는 규모와 사업 형태입니다. 시행령은 안전성 확보 의무 대상 시스템으로 학습에 사용된 누적 연산량이 10의 26승 부동소수점 연산 이상이고, 최첨단 AI 기술을 적용하며, 사람의 생명·신체 안전 및 기본권에 광범위하고 중대한 영향을 미칠 우려가 있는 시스템을 규정합니다.
해외 사업자라면 국내대리인 지정 기준도 봐야 합니다. 시행령은 국내에 주소 또는 영업소가 없는 인공지능사업자 중 전년도 매출액 1조원 이상, AI 서비스 부문 전년도 매출액 100억원 이상, 또는 직전 3개월간 국내 일평균 이용자 수 100만명 이상 등의 기준을 제시합니다.
또한 디지털의료기기처럼 별도 법령의 품질관리체계가 적용되는 분야는 타법 이행 상태와 AI 기본법상 책무의 관계를 함께 정리해야 합니다. 시행령은 일정한 경우 별표에 따른 조치 이행을 법률상 조치 이행으로 볼 수 있는 내용을 두고 있습니다.
확인 요청과 지원데스크
고영향 AI 해당 여부가 모호하면 확인 요청 절차를 검토할 수 있습니다. 시행령은 과기정통부장관이 고영향 AI 해당 여부 확인 요청을 받은 경우 30일 이내에 결과를 회신하고, 이의가 있는 사업자는 회신을 받은 날부터 10일 이내 재확인을 요청할 수 있도록 합니다.
지원데스크도 실무 질문 정리에 활용할 수 있습니다. 지원데스크는 온라인 접수, 전문가 배정, 심층 검토, 결과 회신 절차를 안내하고, 심층 검토가 필요하지 않은 사항은 가급적 영업일 기준 72시간 내 회신한다고 설명합니다. 다만 지원데스크 답변은 인증이나 법적 기준 충족의 확정 판단이 아니라는 점을 함께 봐야 합니다.
자가진단 결과 보관
자가진단표는 한 번 작성하고 끝내는 문서가 아닙니다. 서비스 기능이 바뀌거나, 외부 AI 모델이 교체되거나, 이용자 규모가 커지거나, 고영향 분야로 서비스가 확장되면 다시 검토해야 합니다.
보관할 자료는 AI 기능 목록, 제공 형태 판단표, 고영향 AI 검토표, 생성형 AI 표시 방식, 국내대리인 검토표, 확인 요청 자료, 지원데스크 문의·회신 내역, 서비스 화면 캡처입니다. 계도기간 중 작성한 자료는 종료 후 사실조사나 자료 요청 단계에서 회사의 판단 과정을 설명하는 데 쓰일 수 있습니다.
자주 묻는 질문
AI 기본법 적용 여부는 어떤 순서로 확인하나요?
AI 기능 사용 여부, 외부 제공 여부, 인공지능사업자 유형, 고영향 AI 여부, 생성형 AI 여부, 규모·해외 본사·타법 이행 상태 순서로 확인하는 것이 안전합니다.
고영향 AI는 분야에 들어가면 바로 해당하나요?
아닙니다. 법에서 정한 영역에 활용되는지와 사람의 생명·신체 안전 및 기본권에 미치는 위험의 영향, 중대성, 빈도 등을 함께 봐야 합니다.
생성형 AI 표시 의무는 누구에게 문제 되나요?
생성형 AI 또는 이를 이용한 제품·서비스를 제공하는 인공지능사업자에게 문제 됩니다. 단순히 생성형 AI 결과물을 내부 업무에 쓰는 경우와 외부 이용자에게 생성 기능을 제공하는 경우는 구별해야 합니다.
국내대리인은 모든 해외 사업자가 지정해야 하나요?
아닙니다. 국내에 주소나 영업소가 없다는 사정만으로 바로 지정 대상이 되는 것은 아니고, 시행령이 정한 매출액, AI 서비스 매출액, 국내 이용자 수 기준 등을 함께 봐야 합니다.
지원데스크 답변을 받으면 확정 판단으로 볼 수 있나요?
아닙니다. 지원데스크는 전문가 자문 의견을 제공하는 창구이지 인증기관이나 법적 기준 충족 여부를 확정하는 기관이 아닙니다. 그래도 회사가 어떤 자료를 바탕으로 문의했고 어떤 답변을 받았는지는 보관할 가치가 있습니다.
작성: 조국환 변호사팀 | AUCTORITAS LAB