"AI가 만들었다"고 표시하는 것만으로는 부족하다. 8월 2일부터, 기업은 AI 생성물의 책임 소재를 증명해야 한다.
서론: 규제의 핵심은 '표시'가 아니라 '책임'이다
EU AI Act 50조가 단순한 라벨링 의무처럼 보이는 건 표면만 본 것이다. 이 규제의 실질적 무게는 "누가 AI 생성물에 책임지는가"를 묻는 데 있다. 텍스트, 이미지, 영상, 음성, 딥페이크, 챗봇 출력물 전반에 표시 의무가 부과되는 것은 시작에 불과하다. 진짜 문제는 기업이 AI 생성물의 출처와 책임 주체를 언제든 증명할 수 있는 체계를 갖췄는지 여부다.
8월 2일부터 적용되는 이 규정은 위반 시 최대 1,500만 유로 또는 글로벌 매출 3% 과징금이 부과된다. 숫자보다 더 중요한 것은, 규제의 사정권이 EU 역내 기업에 국한되지 않는다는 점이다. AI 출력물이 EU에서 사용되기만 해도 역외 기업에도 규제가 적용된다. 오픈소스 AI 또한 예외가 없다.
리스크 영역 1: 공시·IR·ESG 문서 — 내부 검토 체계가 없으면 위반이다
이 규제에서 가장 즉각적인 기업 리스크가 발생하는 지점이 공시 영역이다. AI가 생성하거나 조작한 텍스트를 공익 목적 정보로 활용할 경우 표시 의무가 생긴다. 신문 기사 요약, 학술 논문, 공공 경보는 물론이고 상장사 투자자 정보 보고서도 대상이다.
단, 인간이 실질적으로 검토·편집 책임을 지면 예외가 인정된다. 그러나 단순한 맞춤법이나 형식 수정은 '검토'로 인정되지 않는다. 즉, AI가 초안을 작성하고 담당자가 내용을 전면적으로 판단·수정한 경우에만 예외가 적용된다. 현재 많은 기업이 AI를 초안 작성 도구로 활용하면서 가벼운 교정만 거치고 있다면, 그 프로세스는 규제 위반 가능성이 있다.
리스크 관리 관점에서 보면, IR팀과 ESG 공시팀은 당장 두 가지를 점검해야 한다. 첫째, AI 활용 여부와 활용 범위를 문서화하는 내부 프로세스가 있는가. 둘째, '실질적 검토'의 기준을 내부적으로 어떻게 정의하고 있는가. 이 두 가지가 없으면 감독기관 조사 시 방어 논리를 세울 수 없다.
리스크 영역 2: 딥페이크 광고 — '예술적 표현'이라는 방어막은 좁다
딥페이크 규제는 기업 마케팅팀에 직접적인 부담으로 작용한다. 딥페이크는 첫 접촉 시점부터 명확히 표시해야 하며, 정의도 넓게 적용된다. 실제 인물이나 사건을 모사하고 현실적으로 존재 가능해 보이면 딥페이크로 간주된다.
예술이나 풍자, 허구 목적은 일부 허용되지만 상업 광고는 개별 심사 대상이다. 이는 광고 목적의 AI 생성 영상이나 음성 콘텐츠에 자동으로 안전지대가 없다는 의미다. 해외 광고회사에 제작을 위탁한 경우에도 EU에서 집행되기만 하면 규제 대상이 된다.
실무적으로 보면, 광고 캠페인 승인 프로세스에 AI 생성 여부 확인 단계를 반드시 추가해야 한다. 외주 제작물이라도 최종 집행 책임은 브랜드에 있다는 전제로 접근해야 한다.
리스크 영역 3: 기술적 탐지 체계 — '표시했다'는 것만으로는 부족하다
이 규제에서 가장 과소평가되는 요건이 기술적 탐지 체계다. 단순히 'AI 생성'이라고 표기하는 것을 넘어, 기계가 읽을 수 있는 탐지 기술이 요구된다. 워터마크, 메타데이터, 암호학 기반 출처 증명, 디지털 지문이 그 예다.
이는 기업의 AI 운용 방식 자체를 바꾸는 요건이다. 지금처럼 AI 툴을 단순 생산성 도구로 활용하고 출력물을 그대로 배포하는 방식은 더 이상 통하지 않는다. 생성 시점부터 출처를 기록하고, 외부에서 검증 가능한 형태로 보관하는 체계가 필요하다. 이는 IT 인프라 투자 없이는 충족하기 어려운 요건이다.
결론: 리스크를 먼저 정의한 기업이 유리하다
EU AI Act의 투명성 의무는 단순한 컴플라이언스 체크리스트가 아니다. "AI 생성물의 책임 주체를 누가, 어떻게 증명하는가"라는 근본적인 질문에 기업이 답할 수 있는가를 테스트하는 규제다.
역외 기업까지 포함되는 광범위한 적용 범위, IR·ESG 공시까지 미치는 영향, 딥페이크에 대한 개별 심사, 그리고 기계 판독 가능한 탐지 체계 요건까지 — 이 네 가지를 동시에 충족하는 내부 체계를 갖추지 못한 기업은 8월 이후 상당한 법적·평판 리스크에 노출될 수 있다.
리스크 관리의 기본 원칙은 리스크를 먼저 정의하는 것이다. AI Act가 요구하는 책임 증명 체계를 지금 설계하는 기업이, 규제 이후 혼란 속에서 가장 빠르게 움직일 수 있다.
