EU AI Act·범용 AI 규제 – 6월 ‘컴플라이언스 로드맵’

 

“AI GDPR 시대”가 현실이 됩니다. EU AI Act가 2025년 8월 2일부터 범용 AI(General-Purpose AI, GPAI) 모델에 본격 적용되면서, 글로벌 빅테크와 스타트업들은 6월부터 컴플라이언스 로드맵을 연달아 발표할 것으로 예고했습니다.^[1] 이번 글에서는 ▲AI Act 타임라인 ▲6월 발표 러시 배경 ▲기업별 전략 ▲준비 체크리스트 ▲산업별 대응 로드맵을 6,000자 넘게 정리했습니다.

목차

1. 1. EU AI Act & GPAI 규제 타임라인 한눈에 보기
2. 2. 6월 ‘로드맵 발표 러시’가 예고된 이유 TOP 3
3. 3. 빅테크 7사의 컴플라이언스 전략
4. 4. 스타트업 6사의 생존형 대응 시나리오
5. 5. GPAI Code of Practice 핵심 체크리스트
6. 6. 산업별 준비 로드맵 – SaaS·제조·금융·의료
7. 7. Q&A – 독자가 가장 궁금한 5문 5답
8. 8. 결론 & 다음 액션

1. EU AI Act & GPAI 규제 타임라인 한눈에 보기

EU AI Act는 2024년 8월 발효 이후 단계별로 의무가 적용됩니다. GPAI 모델 제공자는 2025년 8월 2일부터 ▲데이터·에너지·성능 정보 공개 ▲리스크 모니터링 ▲콘텐츠 워터마킹 등을 이행해야 합니다.^[1][2]

날짜	주요 의무	대상
2025-02-02	‘금지 AI(소셜 스코어링 등)’ 전면 금지	모든 사업자
2025-05-02	AI Office ‘GPAI Code of Practice’ 발표	GPAI 제공자
2025-08-02	GPAI 투명성·책임 의무 발효	GPAI 제공자
2026-08-02	고위험 AI 시스템 완전 준수 마감	지정사업자

위반 시 최대 3,500만 유로 또는 전세계 매출 7 % 벌금이 부과됩니다.^[3]

“GDPR 적용 첫해, 프라이버시 부서를 만든 회사가 살아남았다. AI Act도 똑같이 반복될 것.” – EU AI Office 관계자

2. 6월 ‘로드맵 발표 러시’가 예고된 이유 TOP 3

① AI Office Code 초안 피드백 기한 – 6월 30일까지 GPAI 제공자가 초안에 대한 ‘의무 이행 계획’을 제출해야 합니다.^[2]

② 미공개 리스크 평가 보고 요구 – 8월 투명성 의무를 맞추려면 최소 2개월 전부터 모델카드·데이터 요약본 공개를 준비해야 합니다.^[4]

③ 투자자·정부 조달 압박 – EU 회원국 공공조달은 2026년부터 ‘AI Act 준수 여부’를 평가 지표로 삼겠다고 선언했습니다.^[7]

 

 

 

3. 빅테크 7사의 컴플라이언스 전략

1) Microsoft – 4월 말 ‘European Digital Commitments’를 발표, EU 데이터 레지던시 확보와 AI 포트폴리오 리스크 평가 마감 시점을 6월로 제시했습니다.^[5] 2월 EU 데이터 바운더리 완성으로 모델 카드 → 데이터 국경 → 감사 API 순 단계 공개를 예고했습니다.^[6]

2) Google – DMA 준수 경험을 바탕으로 ‘AI Compliance Sandbox’ 오픈 베타(6월)를 통해 투명성 API와 워터마킹 SDK를 외부 파트너에 제공할 계획입니다.^[8]

3) OpenAI – 4월 업데이트된 Model Spec 문서를 AI Act GPAI 요건에 맞춰 확장하고, 6월 GPT-5 공개 시 함께 ‘EU Risk Card’를 동시 배포한다는 루머가 확산 중입니다.^[9]

4) Meta – Llama 4 EU 버전을 출시하며 가짜 뉴스 워터마킹 + 인퍼런스 로그 보존 6개월 정책을 선언할 예정.

5) Amazon – Bedrock Foundation Model은 ‘EU Partition’ 옵션을 7월 가용 영역에 추가, 라이브러리 차원에서 모델카드 템플릿을 제공.

6) Apple – WWDC 25에서 발표한 Private Cloud Compute를 EU 서버에 한정, 로그‐free 보증서를 AI Office에 사전 제출한다는 계획.^[4]

7) NVIDIA – NeMo Microservices에 ‘컨텍스트 워터마크 자동 주입’ 기능을 6월 말 릴리스해 GPAI 모델 제공사에 맞춤 지원.

4. 스타트업 6사의 생존형 대응 시나리오

Anthropic – 5월 말 “Claude 3.5 EU Edition” 티저와 함께 EU AI Act 체크리스트를 공개하며, “Code first, paper later” 원칙을 제시.^[4]

Mistral AI – 파리 현지 규제 샌드박스 프로그램을 활용, 프랑스 정부와 공동 모델 카드를 작성해 6월 GitHub 리포 공개 예정.^[7]

Hugging Face – ‘Open Compliance Hub’를 6월 런칭, 모델 카드 자동 생성·리스크 태그 기능으로 중소 모델 빌더를 지원.

Aleph Alpha – 독일 정부 자금으로 독립 감사 보고를 진행, 결과를 7월 백서로 배포.

Scale AI – 6월부터 ‘Data Provenance API’ 무료 티어를 제공해 고객사 리스크 평가를 돕겠다고 밝혔습니다.^[7]

Inflection – ‘AI for EU’ 전략 발표 예정, EU 내 오픈소스 커뮤니티와 공동으로 컴플라이언스 체크리스트 오픈소스화.

5. GPAI Code of Practice 핵심 체크리스트

• 데이터 요약본 공개 – 전체 훈련 데이터셋 목록 X, 대신 “카테고리·출처·비중” 요약이 필수.^[1]
• 모델 카드 – 성능·한계·에너지 사용량·실제 사고 예시 포함.
• 워터마킹 & 디텍션 – 텍스트·이미지·오디오·비디오 모두에 ‘검증 가능한’ 워터마킹 또는 메타데이터.
• 사후 모니터링 – 고위험 사용 의심 로그 6개월 보존 + 보고.
• 사이버보안 – 모델 가중치·데이터 암호화, 취약점 공개 정책 의무.
• 생산 체계 분리 – 테스트·프로덕션 환경 분리, 롤백 절차 문서화.

6. 산업별 준비 로드맵 – SaaS·제조·금융·의료

업종	단기(6월~8월)	중기(9월~’26)
SaaS	모델 카드 작성, API 로그 익명화	EU 리전 운영, 고객 DPIA 템플릿 제공
제조	로봇·비전 고위험 분류 여부 파악	CE 마크 → AI Act DoC(적합성 선언) 통합
금융	설명가능성(Explainability) 리포트 초안	EC의 AI Barrier Test 파일럿 참여
의료	임상 AI CDx ‘사전 시장 허가’ 문서 보강	공인 인증기관(Notified Body)와 공동 감사

7. Q&A – 독자가 가장 궁금한 5문 5답

Q1. GPAI 의무는 모든 LLM 제공자에게 적용되나요?

모델이 ‘범용 목적’이라면 크기·매출과 무관하게 적용됩니다. 다만 매출 1억 유로 미만 + 직원 50명 미만 스타트업에는 1년 유예가 부여될 전망입니다.^[7]

Q2. 워터마킹은 텍스트에도 필수인가요?

예. 텍스트 출력물에 “EU 표준 인비저블 워터마킹” 또는 메타데이터 삽입이 권고되며, 미적용 시 위험 평가로 대체해야 합니다.^[1]

Q3. 6월에 로드맵을 발표하지 않으면 페널티가 있나요?

직접 벌금은 없지만, AI Office가 마련한 Code of Practice 최종본에 의견을 반영하기 어려워지고, 8월 의무 대비가 지연될 수 있습니다.^[2]

Q4. 미국·아시아 고객에게도 동일 의무를 적용해야 하나요?

EU 내 배포·사용이 가능한 모델이라면 글로벌 변경을 권장하지만, 리전을 분리해 EU 전용 모델만 규제 범위에 넣을 수도 있습니다.^[6]

Q5. 스타트업이 가장 먼저 해야 할 것은?

훈련 데이터 요약본 작성 → 위험 정량화 → 책임자 지명(Chief AI Compliance Officer) 순으로 ‘스몰 세트–스몰 리포트’ 방식을 추천합니다.

8. 결론 & 다음 액션

EU AI Act GPAI 규제는 “투명성·책임·보안”을 비즈니스 기본값으로 바꾸는 게임 체인저입니다. 6월 로드맵 발표 → 8월 투명성 의무 준수 → 2026년 고위험 시스템 완전 이행이라는 3스텝에 맞춰 준비하세요. 블로거·크리에이터라면 빅테크 발표 직후 ‘요약·체크리스트·산업별 영향’ 콘텐츠로 검색 선점을 노려 보세요. 궁금한 점은 댓글로 남겨 주세요!

참고 자료

1. EU Digital Strategy – AI Act 규정 요약 (2025-04-12)
2. AI Act Implementation Timeline 페이지 (2025-03-01)
3. Reuters – Europe sets benchmark with AI laws (2024-05-21)
4. Transcend – EU AI Act GPAI 의무 (2025-02-20)
5. Microsoft – European Digital Commitments (2025-04-30)
6. Microsoft – EU Data Boundary 완료 (2025-02-26)
7. Reuters – EU 스타트업 규제 부담 완화 검토 (2025-04-08)
8. Google – DMA Compliance Update (2025-01-10)
9. OpenAI – Model Spec (2025-04-11)
10. Goodwin Law – AI Act Implementation (2024-10-18)