Contents
AI 기본법은 어떤 법이고, 시행 일정은 어떻게 되나요?우리 회사도 적용 대상인가요?기업이 이행해야 할 의무는 무엇인가요?시행 첫해, 무엇부터 준비해야 하나요? 체크리스트 10가지자주 묻는 질문 (FAQ)Q1. 직원들이 업무에 생성형 AI를 쓰기만 하는 회사도 적용 대상인가요?Q2. 계도기간 1년 동안에는 대응을 미뤄도 되나요?Q3. 우리 서비스가 고영향 AI인지 애매하면 어떻게 확인하나요?Q4. AI로 만든 마케팅 이미지나 블로그 글에도 표시 의무가 적용되나요?Q5. 법무팀이 없는 회사에서 보안 담당자가 먼저 할 수 있는 일은 무엇인가요?조직 차원의 답: 의무를 이행하는 주체는 결국 직원입니다계도기간 1년은 면제가 아니라 준비 기한입니다우리 조직의 AI 기본법 대응, 어디서부터 시작할지 막막하다면AI 기본법은 2026년 1월 22일부터 시행된 국내 첫 AI 종합 법률입니다. 고영향 AI나 생성형 AI로 제품·서비스를 제공하는 기업이라면, 이용자에게 사전에 알리고 결과물에 표시를 붙이는 의무를 지게 됩니다. 과태료 계도기간이 최소 1년으로 예고된 만큼, 사실상 이 기간이 준비 기한이죠.
한 가지 먼저 짚어 둘 게 있어요. 모든 기업이 똑같은 수준의 규제를 받는 건 아닙니다. 의무의 강도는 우리 회사가 AI를 "어떤 방식으로, 어느 영역에서" 쓰느냐에 따라 달라져요. 그래서 대응의 출발점은 법 조문을 외우는 게 아니라, 지금 사내에서 AI를 어떻게 쓰고 있는지 현황을 파악해 우리 회사의 위치를 확인하는 일입니다.
이번 블로그에서 확인할 수 있는 내용 4가지
- 공포부터 계도기간까지, 보안·컴플라이언스 담당자가 알아야 할 시행 일정 타임라인
- 우리 회사가 적용 대상인지 가르는 고영향·생성형 AI 판단 기준
- 투명성·안전성 등 의무 조항과 과태료, 그리고 계도기간의 정확한 의미
- 시행 첫해에 실행할 10항목 대응 체크리스트와 임직원 교육 연계 방법
AI 기본법은 어떤 법이고, 시행 일정은 어떻게 되나요?
AI 기본법의 정식 이름은 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」입니다. 2024년 12월 26일 국회를 통과해 2025년 1월 21일 공포됐고, 1년의 유예기간을 거쳐 2026년 1월 22일부터 시행령과 함께 본격 시행되고 있어요.
이 법은 AI 산업을 키우는 동시에 신뢰 기반을 함께 만든다는 두 가지 목표를 담은 기본법이에요. 포괄적인 AI 법률을 만든 건 EU에 이어 두 번째인데요. EU가 고위험 AI 규제 적용을 단계적으로 늦추고 있는 상황이라, 규범을 실제로 전면 적용하는 국가로는 한국이 가장 이른 사례가 될 것이라는 평가가 나옵니다. 국내 기업 입장에서는 참고할 해외 선례가 거의 없는 상태에서 첫 적용 연도를 보내고 있는 셈이죠.
보안·컴플라이언스 담당자가 기억해야 할 일정은 아래와 같습니다.
시점 | 내용 |
2024-12-26 | 국회 본회의 통과 |
2025-01-21 | 공포 법률 제20676호 |
2025-11-12 ~ 12-22 | 시행령 제정안 입법예고 (과학기술정보통신부) |
2026-01-21 | 「인공지능 투명성 확보 가이드라인」 공개 |
2026-01-22 | 법·시행령 동시 시행 |
2026-01-22 이후 | 과태료 계도기간 최소 1년 이상 운영 계획 |
한 가지 유의할 점이 있어요. AI 기본법은 시행 이후에도 하위 고시·가이드라인 정비와 보완 입법이 계속 이어지는, 살아 움직이는 규범입니다. 실제로 2026년 5월에도 산업 진흥 중심의 시행령 개정안이 입법예고됐어요.
이 개정안에서 고영향·투명성 등 기업 의무 체계의 변화는 확인되지 않았습니다. 이 글의 일정과 기준 역시 작성 시점(2026년 6월) 기준입니다. 실제 대응 시에는 과기정통부 공식 안내로 최종 확인이 필요해요.
우리 회사도 적용 대상인가요?
법 자체는 AI를 개발·활용하는 사업자 전반을 다루지만, 과태료가 걸린 강한 의무는 고영향 AI 또는 생성형 AI로 제품·서비스를 "제공"하는 사업자에 집중됩니다. 직원들이 외부 AI 도구를 업무에 이용하기만 하는 기업이라면, 이 의무의 직접 대상이 아닐 가능성이 높아요. 다만 어디까지가 "제공"인지는 사업 구조에 따라 따져봐야 합니다.
적용 범위에서 놓치기 쉬운 게 하나 있는데요. 바로 역외 적용이에요. 법 제4조는 국외에서 이루어진 행위라도 국내 시장이나 이용자에게 영향을 미치면 적용된다고 규정합니다. 해외 본사의 AI 서비스를 국내에 들여오거나, 해외 솔루션을 자사 서비스에 붙여 국내 이용자에게 제공하는 기업이라면 본사뿐 아니라 우리 쪽 의무도 함께 살펴봐야 해요.

그렇다면 무엇이 "고영향 AI"일까요? 법 제2조는 사람의 생명·신체 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 AI 시스템으로 정의하고, 다음 영역을 제시했습니다.
- 에너지 공급, 먹는물 생산·공급
- 보건의료 체계, 의료기기·디지털의료기기
- 핵물질·원자력시설의 안전 관리·운영
- 범죄 수사·체포 과정의 생체인식정보 활용
- 채용·대출 심사 등 개인의 권리·의무에 중대한 영향을 미치는 판단·평가
- 교통, 공공기관의 의사결정, 교육(학생 평가 등)
- 그 밖에 대통령령으로 정하는 영역
고영향 여부는 세 가지 질문으로 1차 판단해 볼 수 있어요. 열거된 영역에 해당하는가, 생명·기본권에 중대한 영향이나 위험 우려가 있는가, 그리고 사람의 개입 없이 AI 판단이 그대로 적용되는 구조인가입니다.
예를 들어 채용에 AI를 쓰더라도 사람이 최종 검토·판단을 하는 구조라면 고영향으로 규제하지 않는 방향이 보도된 바 있어요. 다만 이는 개별 사안별로 판단해야 하는 영역이라, 애매하다면 뒤에서 다룰 확인 제도를 활용하는 편이 안전합니다.
점검 질문 | 예 → 다음 단계 | 아니오 → 위치 |
AI를 제품·서비스로 외부에 제공하는가 | 고영향·생성형 해당성 검토 | 이용 기업 → 내부 가이드라인·교육 중심 대응 |
고영향 열거 영역에서 중대한 영향을 미치는가 | 고영향 사업자 책무 검토 | 생성형 AI 여부만 추가 확인 |
생성형 AI 기능이 서비스에 포함되는가 | 고지·표시 의무 적용 | 일반 AI → 기본 신뢰 확보 노력 |
기업이 이행해야 할 의무는 무엇인가요?
기업 의무의 핵심은 다섯 가지로 정리됩니다. 우리 회사가 앞 섹션의 어느 위치에 있느냐에 따라 적용되는 항목이 달라져요.
의무 | 근거 | 대상 | 핵심 내용 |
투명성 확보 | 제31조 | 고영향·생성형 AI 제공 사업자 | AI 기반 운용 사실 사전 고지, 생성형 AI 결과물 표시 |
안전성 확보 | 제32조 | 학습 누적 연산량 10^26 FLOPs 이상 시스템 | 위험 식별·평가·완화, 위험관리체계 구축·결과 제출 |
고영향 AI 사업자 책무 | 제34조 | 고영향 AI 제공 사업자 | 위험관리방안, 설명 방안, 이용자 보호, 사람의 관리·감독, 문서 보관 |
영향평가 | 제35조 | 고영향 AI 제공 사업자 | 기본권 영향평가 노력 의무 (국가기관 조달 시 우선 고려) |
국내대리인 지정 | 제36조 | 일정 기준 이상 해외 사업자 | 국내 주소·영업소 없는 경우 대리인 지정·신고 |
실무에서 가장 폭넓게 적용되는 건 투명성 확보 의무예요. 내용은 두 가지로 나뉩니다.
첫째, 고영향 또는 생성형 AI 기반 제품·서비스라는 사실을 이용자에게 먼저 알려야 해요. 둘째, 생성형 AI로 만든 결과물에는 AI가 만든 것임을 표시해야 하고, 딥페이크처럼 실제와 구분하기 어려운 음향·이미지·영상은 이용자가 명확히 알 수 있는 방식으로 알려야 합니다. 이 두 가지는 시행 첫날부터 유효한 의무예요.
표시 방법은 2026년 1월 21일 과기정통부가 공개한 「인공지능 투명성 확보 가이드라인」이 구체화했어요. 서비스 안에서 제공되는 결과물은 화면 안내나 로고 표출 같은 방식이 허용되고, 외부로 내보내는 경우에는 사람이 인식할 수 있는 표시나 메타데이터 적용이 필요합니다. 실제와 구분하기 어려운 결과물이 아니라면 눈에 보이지 않는 디지털 워터마크 방식도 허용돼요.

안전성 확보 의무는 시행령이 "학습에 사용된 누적 연산량 10의 26승 FLOPs 이상" 시스템을 대상으로 정했습니다. 최첨단 대규모 모델을 직접 개발하는 극소수 기업에 해당하는 기준이에요. 국내 대부분의 기업은 이 의무보다 투명성·고영향 책무를 먼저 살피는 게 현실적입니다.
위반 시 제재는 3천만 원 이하의 과태료예요. 부과 대상은 사전 고지 의무 미이행, 국내대리인 미지정, 그리고 정부의 중지·시정명령 미이행 세 가지로 한정됩니다. 기업 의무 위반에 대한 제재가 비교적 절제된 구조이긴 하지만, 규제 이력 자체가 거래처 실사나 입찰에서 리스크로 작동할 수 있다는 점은 별도로 고려해야 해요.
정부는 시행 초기 혼란을 줄이기 위해 과태료 계도기간을 최소 1년 이상 운영하겠다고 밝혔습니다. 계도기간 중 사실조사는 인명사고나 인권 침해 같은 중대한 사회적 문제가 생긴 극히 예외적인 경우에만 실시될 예정이에요. 단, 계도기간은 의무의 면제가 아니라 과태료 부과의 유예라는 점을 꼭 기억해 두세요. 의무 자체는 2026년 1월 22일부터 이미 유효합니다.
시행 첫해, 무엇부터 준비해야 하나요? 체크리스트 10가지
계도기간이라는 준비 기한 안에 끝내야 할 일을 현황 파악, 체계 정비, 사람 준비의 3단계 10가지로 정리했어요. 앞 두 단계가 문서와 절차의 영역이라면, 마지막 단계는 그것을 실제로 작동시키는 사람의 영역입니다.
단계 | 번호 | 점검 항목 | 핵심 실행 |
1. 현황 파악 | 1 | AI 활용 인벤토리 작성 | 제품·서비스 탑재 AI와 내부 업무용 AI를 구분해 전수 목록화 |
ㅤ | 2 | 고영향 해당성 검토 | 열거 영역·중대 영향·사람 개입 3가지 질문으로 1차 판정, 애매하면 확인 신청 |
ㅤ | 3 | 고지·표시 현황 점검 | 서비스 화면·약관·생성물에 AI 사용 고지와 표시가 있는지 확인 |
2. 체계 정비 | 4 | 사내 AI 사용 가이드라인 수립 | 허용 도구·금지 데이터·검증 절차를 문서화 |
ㅤ | 5 | 고지·표시 프로세스 구축 | 투명성 가이드라인 기준을 서비스 기획·배포 절차에 내장 |
ㅤ | 6 | 위험관리·문서화 체계 | 고영향 해당 시 제34조 조치(위험관리·설명·감독)를 문서로 운영 |
ㅤ | 7 | 해외 연계·자문 채널 정리 | 역외 적용·국내대리인 해당성 검토, 법률 자문 창구 확보 |
3. 사람 준비 | 8 | 임직원 AI 리터러시 교육 | 표시 의무·데이터 보호를 전 직원의 실무 행동 기준으로 전환 |
ㅤ | 9 | 담당 조직·책임자 지정 | 보안·법무·현업을 잇는 AI 거버넌스 운영 주체 명시 |
ㅤ | 10 | 계도기간 로드맵 수립 | 분기별 실행 계획 설정, 고시·가이드라인 변경 모니터링 |
1단계의 핵심은 인벤토리예요. 의무 적용 여부가 "무엇을 어떻게 쓰는가"에 따라 갈리기 때문에, 부서별로 흩어진 AI 활용 현황을 모르는 상태에서는 어떤 판단도 시작할 수 없습니다. 이때 승인받지 않고 쓰는 도구까지 드러내야 인벤토리가 완성된다는 점에서, 첫 항목부터 섀도우 AI 관리와 맞닿아 있죠.
2단계에서 참고할 만한 숫자가 있어요. 국내 중소기업 대상 조사에서 AI 활용 가이드라인을 마련한 기업은 26.2%에 그쳤습니다. 법이 시행된 지금도 네 곳 중 세 곳은 직원이 무엇을 지켜야 하는지 정한 문서조차 없는 셈이에요. 가이드라인 수립은 법적 방어선인 동시에, 고지·표시 프로세스가 올라설 토대입니다.
3단계가 이 체크리스트의 핵심이에요. 규제 대응을 법무의 일로만 보면 4~7번에서 멈추게 되지만, 고지 문구를 붙이고 생성물 표시를 빠뜨리지 않고 금지 데이터를 가려내는 일은 결국 현업 실무자의 일상 업무에서 일어납니다.
실제로 스파르타 기업교육이 진행한 자체 서베이(n=330, 2026)에서 임직원의 AI 수준이 제각각이라는 응답이 54.8%였어요. 체계를 만들어도 그것을 이해하고 실행할 사람의 수준이 고르지 않으면, 문서는 있는데 현장은 위반하는 간극이 생기게 됩니다.
인벤토리 작성부터 AI 교육 설계까지 단계별로 어떻게 연결할지 막막하다면 전문 컨설턴트와 먼저 상담해 보세요. 👉 스파르타 기업교육 상담 문의하기
자주 묻는 질문 (FAQ)
Q1. 직원들이 업무에 생성형 AI를 쓰기만 하는 회사도 적용 대상인가요?
과태료가 걸린 고지·표시 의무는 고영향·생성형 AI로 제품·서비스를 제공하는 사업자를 대상으로 하므로, 외부 AI 도구를 업무에 이용하기만 하는 기업은 직접 대상이 아닐 가능성이 높습니다.
다만 두 가지는 꼭 점검해야 해요. 첫째, AI 기능을 자사 서비스에 붙여 고객에게 내보내는 순간 "제공"으로 성격이 바뀔 수 있어요. 둘째, 직접 의무가 없더라도 직원의 무단 AI 사용에 따른 정보 유출은 개인정보보호법 등 다른 규율의 문제로 남기 때문에, 사내 가이드라인과 교육은 별도로 필요합니다.
Q2. 계도기간 1년 동안에는 대응을 미뤄도 되나요?
권하기 어렵습니다. 계도기간은 과태료 부과와 사실조사를 유예하는 기간이지 의무를 면제하는 기간이 아니에요. 의무는 2026년 1월 22일부터 이미 유효합니다.
인벤토리 작성, 고영향 검토, 가이드라인 수립, 임직원 교육은 각각 수개월이 걸리는 일이라, 계도기간이 끝난 뒤 시작하면 시간이 부족해요. 계도기간을 "준비하라고 주어진 기한"으로 읽고, 분기별 실행 계획을 세우는 쪽이 안전합니다.
Q3. 우리 서비스가 고영향 AI인지 애매하면 어떻게 확인하나요?
법 제33조에 따라 사업자는 고영향 해당 여부를 사전에 검토해야 하고, 필요하면 과기정통부 장관에게 확인을 요청할 수 있어요. 확인 절차는 기본 30일이며 1회에 한해 30일 연장될 수 있습니다. 정부는 전문가 자문을 제공하는 지원 데스크도 운영 중이므로, 자체 판단이 어려운 경계 사례는 임의로 결론 내리지 말고 확인 제도와 자문 창구를 활용하는 게 좋아요.

Q4. AI로 만든 마케팅 이미지나 블로그 글에도 표시 의무가 적용되나요?
표시 의무의 적용 대상은 생성형 AI 제품·서비스를 제공하는 AI 사업자이고, 개인 이용자는 제외됩니다. 일반 기업이 외부 도구로 콘텐츠를 만들어 게시하는 행위가 곧바로 이 조항을 적용받는지는 사업 구조별 검토가 필요한 영역이에요.
다만 실제와 구분하기 어려운 이미지·영상이라면 명확한 인식 표시 대상이 될 수 있고, 그렇지 않은 결과물도 디지털 워터마크 같은 방식이 허용됩니다. 마케팅·콘텐츠 조직에 AI 결과물 표기 기준을 미리 정해 두면 평판 리스크도 함께 줄일 수 있죠.
Q5. 법무팀이 없는 회사에서 보안 담당자가 먼저 할 수 있는 일은 무엇인가요?
외부 자문 없이도 시작할 수 있는 일이 세 가지 있어요. 부서별 AI 활용 인벤토리 작성, 고영향 3가지 질문으로 1차 해당성 검토, 그리고 전 직원 AI 리터러시 교육과 사용 가이드라인 수립입니다.
이 세 가지는 내부 현황과 운영의 문제라 담당자 주도로 진행할 수 있어요. 이후 법률 검토가 필요해졌을 때도 이 자료가 자문의 출발점이 됩니다. 경계 사례 판단과 개별 법 적용은 법률 전문가 상담으로 확정하는 게 안전합니다.
조직 차원의 답: 의무를 이행하는 주체는 결국 직원입니다
AI 기본법은 임직원 교육을 직접 의무화하지 않습니다. 그런데도 대응 체크리스트의 마지막 단계가 사람 준비인 이유는 분명해요. 고지 문구 부착, 생성물 표시, 금지 데이터 차단, 위험 신고 같은 의무 이행의 실제 동작이 전부 직원의 손끝에서 일어나기 때문입니다.
거꾸로 말하면, 문서만 갖춘 대응은 계도기간이 끝나는 순간 가장 먼저 흔들리게 돼요. 가이드라인 보유율 26.2%라는 숫자의 이면에는 문서가 있어도 직원들이 그 존재나 내용을 모르는 조직이 적지 않다는 현실이 있습니다. 규정과 행동의 간극을 메우는 수단이 교육이고, 그래서 컴플라이언스 대응과 AI 역량 교육은 별개의 과제가 아니라 하나의 실행 계획이죠.
스파르타 기업교육은 코딩 교육 플랫폼에서 검증된 실전 커리큘럼을 바탕으로 AI 기본법 대응에 필요한 생성물 표기·데이터 보호 같은 규칙을 직무·수준별 실습으로 익히는 AI 리터러시·거버넌스 교육을 설계합니다. 보안·컴플라이언스 부서가 만든 가이드라인을 전 직원의 행동 기준으로 옮기는 단계에서, 조직 상황에 맞는 교육 체계를 잡는 출발점으로 활용할 수 있어요.
관련 가이드: 무단 AI 사용을 제도 안으로 끌어들이는 방법은 섀도우 AI 관리 가이드를, 가이드라인과 교육을 함께 설계하는 방법은 전직원 AI 리터러시 교육 가이드를 함께 참고하세요.
계도기간 1년은 면제가 아니라 준비 기한입니다
정리하면 이렇습니다. AI 기본법은 2026년 1월 22일 시행령과 함께 시행됐고, 강한 의무는 고영향·생성형 AI를 제공하는 사업자에 집중됩니다. 위반 시 3천만 원 이하 과태료가 예정돼 있지만 최소 1년 이상의 계도기간이 운영돼요. 우리 회사의 위치는 제공·고영향·생성형이라는 세 가지 질문으로 가려지고, 대응은 현황 파악, 체계 정비, 사람 준비의 순서로 진행됩니다.

오늘 시작할 수 있는 첫 행동은 단순해요. 부서별로 쓰고 있는 AI 도구와 서비스 탑재 AI 기능을 한 장의 인벤토리로 모아 보고, 고영향 3가지 질문에 답해 보는 것입니다. 그 한 장이 법무 자문의 출발 자료가 되고, 가이드라인의 범위가 되고, 교육 설계의 기준선이 됩니다.
우리 조직의 AI 기본법 대응, 어디서부터 시작할지 막막하다면
결국 체계를 만드는 것보다 그것을 실행할 사람을 준비하는 것이 중요합니다. 그렇다면 다음 질문은 하나로 좁혀집니다. 우리 조직의 대응 수준은 지금 어디에 있고, 직원들은 그 규칙을 실행할 준비가 되어 있는가.
여기서 중요한 게 하나 있어요. AI 기본법 대응 교육이라고 해서 이론 강의나 툴 사용법 소개로 끝나면 안 된다는 점이에요. 고지 문구를 붙이고, 생성물에 표시하고, 금지 데이터를 가려내는 일은 직원이 실제 업무 상황에서 판단하고 행동할 수 있어야합니다.

스파르타 기업교육은 AI 이론이나 툴 기능 소개에 그치지 않아요. 우리 회사의 산업, 직무, 직급을 깊이 이해한 뒤, 실제 업무에 바로 적용할 수 있는 실전 AI 교육으로 설계합니다. AI 기본법 대응에 필요한 생성물 표기·데이터 보호 같은 규칙도 직무별 실습 안에 자연스럽게 녹여 넣는 방식이에요.
AI 활용 가이드라인 수립 전이라면 현황 진단부터, 이미 가이드라인을 수립했다면 AI 활용 교육부터 시작할 수 있습니다. 우리 조직의 교육 체계의 큰 그림부터 잡고 싶다면, 2026 AX 교육 로드맵 자료집을 먼저 다운받아 보세요. AX 성숙도 자가진단(12문항)으로 우리 조직의 출발점을 확인할 수 있어요.
Share article