EU AI Act가 바꾸는 기업 리스크 지형

"AI가 만들었다"고 표시하는 것만으로는 부족하다. 8월 2일부터, 기업은 AI 생성물의 책임 소재를 증명해야 한다.

---

서론: 규제의 핵심은 '표시'가 아니라 '책임'이다

EU AI Act 50조가 단순한 라벨링 의무처럼 보이는 건 표면만 본 것이다. 이 규제의 실질적 무게는 "누가 AI 생성물에 책임지는가"를 묻는 데 있다. 텍스트, 이미지, 영상, 음성, 딥페이크, 챗봇 출력물 전반에 표시 의무가 부과되는 것은 시작에 불과하다. 진짜 문제는 기업이 AI 생성물의 출처와 책임 주체를 언제든 증명할 수 있는 체계를 갖췄는지 여부다.

8월 2일부터 적용되는 이 규정은 위반 시 최대 1,500만 유로 또는 글로벌 매출 3% 과징금이 부과된다. 숫자보다 더 중요한 것은, 규제의 사정권이 EU 역내 기업에 국한되지 않는다는 점이다. AI 출력물이 EU에서 사용되기만 해도 역외 기업에도 규제가 적용된다. 오픈소스 AI 또한 예외가 없다.

---

리스크 영역 1: 공시·IR·ESG 문서 — 내부 검토 체계가 없으면 위반이다

이 규제에서 가장 즉각적인 기업 리스크가 발생하는 지점이 공시 영역이다. AI가 생성하거나 조작한 텍스트를 공익 목적 정보로 활용할 경우 표시 의무가 생긴다. 신문 기사 요약, 학술 논문, 공공 경보는 물론이고 상장사 투자자 정보 보고서도 대상이다.

단, 인간이 실질적으로 검토·편집 책임을 지면 예외가 인정된다. 그러나 단순한 맞춤법이나 형식 수정은 '검토'로 인정되지 않는다. 즉, AI가 초안을 작성하고 담당자가 내용을 전면적으로 판단·수정한 경우에만 예외가 적용된다. 현재 많은 기업이 AI를 초안 작성 도구로 활용하면서 가벼운 교정만 거치고 있다면, 그 프로세스는 규제 위반 가능성이 있다.

리스크 관리 관점에서 보면, IR팀과 ESG 공시팀은 당장 두 가지를 점검해야 한다. 첫째, AI 활용 여부와 활용 범위를 문서화하는 내부 프로세스가 있는가. 둘째, '실질적 검토'의 기준을 내부적으로 어떻게 정의하고 있는가. 이 두 가지가 없으면 감독기관 조사 시 방어 논리를 세울 수 없다.

---

리스크 영역 2: 딥페이크 광고 — '예술적 표현'이라는 방어막은 좁다

딥페이크 규제는 기업 마케팅팀에 직접적인 부담으로 작용한다. 딥페이크는 첫 접촉 시점부터 명확히 표시해야 하며, 정의도 넓게 적용된다. 실제 인물이나 사건을 모사하고 현실적으로 존재 가능해 보이면 딥페이크로 간주된다.

예술이나 풍자, 허구 목적은 일부 허용되지만 상업 광고는 개별 심사 대상이다. 이는 광고 목적의 AI 생성 영상이나 음성 콘텐츠에 자동으로 안전지대가 없다는 의미다. 해외 광고회사에 제작을 위탁한 경우에도 EU에서 집행되기만 하면 규제 대상이 된다.

실무적으로 보면, 광고 캠페인 승인 프로세스에 AI 생성 여부 확인 단계를 반드시 추가해야 한다. 외주 제작물이라도 최종 집행 책임은 브랜드에 있다는 전제로 접근해야 한다.

---

리스크 영역 3: 기술적 탐지 체계 — '표시했다'는 것만으로는 부족하다

이 규제에서 가장 과소평가되는 요건이 기술적 탐지 체계다. 단순히 'AI 생성'이라고 표기하는 것을 넘어, 기계가 읽을 수 있는 탐지 기술이 요구된다. 워터마크, 메타데이터, 암호학 기반 출처 증명, 디지털 지문이 그 예다.

이는 기업의 AI 운용 방식 자체를 바꾸는 요건이다. 지금처럼 AI 툴을 단순 생산성 도구로 활용하고 출력물을 그대로 배포하는 방식은 더 이상 통하지 않는다. 생성 시점부터 출처를 기록하고, 외부에서 검증 가능한 형태로 보관하는 체계가 필요하다. 이는 IT 인프라 투자 없이는 충족하기 어려운 요건이다.

---

결론: 리스크를 먼저 정의한 기업이 유리하다

EU AI Act의 투명성 의무는 단순한 컴플라이언스 체크리스트가 아니다. "AI 생성물의 책임 주체를 누가, 어떻게 증명하는가"라는 근본적인 질문에 기업이 답할 수 있는가를 테스트하는 규제다.

역외 기업까지 포함되는 광범위한 적용 범위, IR·ESG 공시까지 미치는 영향, 딥페이크에 대한 개별 심사, 그리고 기계 판독 가능한 탐지 체계 요건까지 — 이 네 가지를 동시에 충족하는 내부 체계를 갖추지 못한 기업은 8월 이후 상당한 법적·평판 리스크에 노출될 수 있다.

리스크 관리의 기본 원칙은 리스크를 먼저 정의하는 것이다. AI Act가 요구하는 책임 증명 체계를 지금 설계하는 기업이, 규제 이후 혼란 속에서 가장 빠르게 움직일 수 있다.

셔터스톡, FTC에 3,500만 달러 합의 — "다크 패턴(Dark Pattern)"이 처벌의 대상

미국 연방거래위원회(FTC)가 세계 최대 스톡 이미지 플랫폼 중 하나인 셔터스톡(Shutterstock)을 정조준했다. 혐의의 핵심은 간단하다. 구독 요금제와 취소 절차에서 소비자를 조직적으로 속였다는 것. 셔터스톡은 결국 3,500만 달러를 지급하는 조건으로 합의했고, 잘못을 인정하지도, 부인하지도 않는 전형적인 기업식 마무리를 택했다.

문제로 지목된 행태는 꽤 구체적이다. 자동 갱신과 높은 해지 수수료를 제대로 고지하지 않았고, 취소 과정은 의도적으로 복잡하게 설계됐다 — 긴 전화 대기, 여러 단계의 이메일 절차, 심지어 8페이지짜리 문서 검토 요구까지. '일회성 프로젝트용'이라고 홍보한 콘텐츠 팩조차 1년 후 자동 갱신되고, 사용 시 자동 재충전되는 구조였다. FTC는 이번 합의가 소비자에게 "완전한 구제"를 제공한다고 평가했다.

한편 셔터스톡은 현재 게티 이미지(Getty Images)에 37억 달러 규모로 인수되기로 합의한 상태로, 미국과 유럽 규제 당국의 심사가 진행 중이다.

이 사건을 단순히 "대기업이 벌금 낸 이야기"로 읽으면 절반만 이해한 거다.

진짜 핵심은 "다크 패턴(Dark Pattern)"이 이제 법적 처벌의 대상이 됐다는 사실이다. 다크 패턴이란 사용자가 원하지 않는 행동을 유도하도록 의도적으로 설계된 UX를 말한다. 취소 버튼을 찾기 어렵게 숨기거나, 해지 직전에 끝없는 "정말 떠나실 건가요?" 화면을 반복하거나, 전화 연결을 유도한 뒤 대기 시간으로 지치게 만드는 것들이 모두 여기 해당한다. 셔터스톡의 8페이지 문서 검토 요구는 그 극단적 사례다.

구독 경제가 폭발적으로 성장하면서, 많은 기업들이 "가입은 쉽게, 탈퇴는 어렵게"를 암묵적 수익 전략으로 삼아왔다. 실제로 사용자가 해지 방법을 몰라서, 혹은 귀찮아서 요금을 계속 내는 경우는 생각보다 훨씬 많다. 기업 입장에서는 이 "마찰(friction)"이 곧 매출이었던 셈이다.

그러나 FTC가 이 지점을 정면으로 겨냥하기 시작했다는 건 게임의 규칙이 바뀌고 있다는 신호다. 미국뿐 아니라 EU의 디지털 시장법(DMA), 한국의 전자상거래법 개정 논의도 같은 방향을 향하고 있다. "불편하게 만들어서 붙잡아두는 전략"은 점점 더 큰 법적 리스크가 된다.

셔터스톡 사례에서 주목할 또 다른 지점은 타이밍이다. 37억 달러 규모의 게티 이미지 인수 심사가 진행 중인 시점에 FTC 제재가 터졌다. 인수·합병을 앞둔 기업에게 소비자 보호 관련 법적 리스크는 단순한 벌금 이상의 의미를 가진다 — 기업 가치 평가와 규제 승인에 직접적인 영향을 미칠 수 있기 때문이다.

결국 이 사건이 던지는 메시지는 명확하다. 구독 비즈니스를 운영하는 기업이라면, "취소 과정이 가입만큼 쉬운가?"를 지금 당장 점검해야 한다. 그게 도덕적 판단이 아니라, 순수하게 리스크 관리의 문제가 됐다.

전국 공장의 절반이 '불쏘시개' 위에 세워져 있다

사건의 발단 — 대전 안전공업 공장 화재

2025년 3월 23일, 대전의 한 공장에서 불이 났다. 불길은 순식간에 번졌고, 진화에 상당한 시간이 걸렸다. 이 화재가 계기가 됐다. 정부는 뒤늦게 전국 공장 2,916개를 대상으로 합동 점검에 나섰다.

그리고 결과는 예상보다 훨씬 심각했다.

---

조사 결과 — 공장 10곳 중 4곳은 '불량'

점검 결과, 전체의 56%만 '양호' 판정을 받았다. 나머지 44%는 소방관계법령 위반 등으로 '불량' 판정이었다. 절반 가까운 공장이 지금 이 순간에도 기본적인 소방시설조차 제대로 갖추지 않은 채 돌아가고 있다는 뜻이다.

소화기가 없거나, 스프링클러가 고장났거나, 비상구가 막혀 있거나. 이유는 다양하지만 결론은 하나다. 불이 나면 막을 수단이 없다.

---

진짜 문제 — 샌드위치 패널

소방시설 문제보다 더 근본적인 위험 요소가 있다. 바로 샌드위치 패널이다.

점검 대상 공장 건축동 9,051개 중 54.3%가 샌드위치 패널로 지어진 것으로 확인됐다. 샌드위치 패널은 시공이 쉽고 가격이 저렴해 공장, 창고, 물류센터에 광범위하게 쓰인다. 문제는 내부 단열재가 가연성 소재일 경우, 불이 붙으면 벽체 안쪽으로 불길이 타고 들어가며 순식간에 건물 전체로 퍼진다는 것이다.

2020년 이후 준불연 기준이 강화됐지만, 기존에 지어진 노후 공장들은 여전히 구형 패널을 그대로 사용하고 있다. 법 개정 이전에 지은 건물은 소급 적용이 안 되기 때문이다.

---

이게 처음 드러난 사실이냐고?

아니다. 이미 수십 년째 반복되어 온 일이다.

2008년, 경기 이천 냉동창고 화재. 샌드위치 패널로 지어진 창고에서 불이 나 40명이 사망했다. 당시에도 패널의 위험성이 집중 조명됐고, 대책 마련 목소리가 높았다.

2020년, 경기 이천 물류창고 화재. 38명이 목숨을 잃었다. 이번에도 샌드위치 패널이 화재 확산의 주범으로 지목됐다. 불과 12년 만에 같은 지역에서, 같은 원인으로, 더 많은 사람이 죽었다.

2021년, 경기 광주 물류창고 화재. 또다시 대형 화재. 또다시 샌드위치 패널. 또다시 대책을 마련하겠다는 발표.

사고가 날 때마다 같은 말이 반복된다. "재발 방지 대책을 마련하겠다." 그리고 잊혀진다. 그다음 사고가 날 때까지.

---

그렇다면 이제 어떻게 할 것인가 — 업체와 소방청이 함께 움직여야 한다

정부는 이번 점검 결과를 바탕으로 샌드위치 패널 관리 방안, 불법 증축 단속, 유증기 관리 등 부처 합동 재발 방지 대책을 마련 중이라고 밝혔다. 그런데 대책 마련을 '부처'만 하면 안 된다. 현장이 바뀌지 않으면 아무 의미가 없다.

실질적인 변화를 만들려면 두 가지 방향의 협력이 필요하다.

첫째, 소방청과 업체의 정기 협력 체계 구축. 현재는 단속과 피단속의 관계다. 소방청이 점검하러 오면 업체는 임시방편으로 가리고, 점검이 끝나면 원상복구된다. 이 구조를 바꿔야 한다. 소방청이 업체에 자가 점검 체크리스트와 기술 지원을 제공하고, 업체가 자발적으로 개선 이력을 보고하는 협력 구조로 전환해야 한다.

둘째, 노후 패널 교체에 대한 실질적 지원. 중소 공장 입장에서 수천만 원에서 수억 원이 드는 패널 교체는 현실적으로 불가능에 가깝다. "바꿔라"는 명령만으로는 아무것도 안 바뀐다. 저금리 융자, 세제 혜택, 단계적 교체 유예 등 실질적인 지원책이 함께 나와야 업체가 움직인다.

---

마치며

불은 예고 없이 난다. 하지만 피해는 예고된 구조에서 커진다. 44%의 공장이 불량 소방시설을 갖고 있고, 54%가 화재 확산에 취약한 패널로 지어져 있다는 사실은 새로운 뉴스가 아니다. 이미 알고 있었고, 이미 사람이 죽었고, 이미 대책을 세우겠다고 했던 문제다.

이번만큼은 발표로 끝나지 않아야 한다. 다음 화재가 났을 때 또 같은 뉴스가 나오지 않으려면, 지금 현장이 바뀌어야 한다.

---