"우리는 직원들이 ChatGPT로 보고서 초안 쓰고, 가끔 이미지 생성 AI로 홍보 그림 만드는 정도인데… 이게 무슨 법이랑 상관이 있나요?" 요즘 AI 도입 담당자나 실무자분들에게 가장 많이 듣는 질문입니다. 그런데 2026년 1월 22일부터 상황이 달라졌습니다. 한국에서 '인공지능 발전과 신뢰 기반 조성 등에 관한 기본법'(약칭 'AI 기본법', 법률 제20676호)이 본격 시행됐기 때문입니다.
이름이 거창해서 "우리 같은 작은 회사와는 거리가 먼 이야기"라고 넘기기 쉽지만, 실제로는 AI로 만든 결과물을 외부에 내보내는 거의 모든 회사가 한 번쯤 점검해야 하는 내용이 담겨 있습니다. 이 글은 법 조문을 외우게 하려는 글이 아닙니다. IT나 법무 담당자가 아니어도 이해할 수 있도록, 무엇이 바뀌었고, 우리 회사가 규제 대상인지 어떻게 확인하며, 당장 무엇을 해두면 되는지를 2026년 6월 기준 최신 내용으로 정리했습니다.
30초 요약: AI 기본법은 2026년 1월 22일 시행됐고, 한국은 EU에 이어 세계 두 번째로 포괄적 AI 법을 가진 나라가 됐습니다. 핵심 의무는 ①AI 사용 사실을 미리 알리는 '투명성', ②생성형 AI 결과물에 'AI 생성' 표시(워터마크), ③채용·대출·의료 등 '고영향 AI'에 대한 안전·책임입니다. 직원이 사내 보조 도구로 AI를 쓰는 정도는 강한 규제 대상이 아니며, 외부에 공개되는 결과물과 사람의 권리·안전에 영향을 주는 결정이 핵심 점검 대상입니다. 위반 시 최대 3,000만 원 이하 과태료가 있으나, 최소 1년 이상 계도기간이 운영되어 실제 부과는 빨라야 2027년 이후로 예상됩니다.
- AI 기본법, 왜 지금 시행됐나 — 한눈에 보는 큰 그림
- 2026년 1월 22일, 정확히 무엇이 시작됐나
- "우리 회사도 규제 대상일까?" — 적용 범위부터 확인하기
- 핵심 의무 ① 'AI로 만들었다'고 알려야 합니다 (투명성)
- 핵심 의무 ② 생성형 AI 결과물엔 '표시(워터마크)'가 필요합니다
- 핵심 의무 ③ '고영향 AI'라면 책임이 더 무거워집니다
- 외국 기업도 예외 없다 — 역외적용과 '국내대리인'
- 안 지키면 어떻게 되나 — 과태료와 1년 계도기간
- 그래서 우리 회사는 지금 무엇을 해야 할까
- 실무자가 오늘부터 적용할 수 있는 5가지 습관
- 자주 묻는 질문(FAQ)
- 마치며
AI 기본법, 왜 지금 시행됐나 — 한눈에 보는 큰 그림
지난 2~3년 동안 우리 일터의 풍경은 빠르게 바뀌었습니다. 보고서 초안, 이메일 회신, 회의록 요약, 홍보 이미지와 영상까지 AI가 만들어 주는 일이 일상이 됐습니다. 편리해진 만큼 새로운 고민도 생겼습니다. "이 결과물이 사람이 만든 건지 AI가 만든 건지 어떻게 구분하지?", "AI가 잘못된 판단을 내려 누군가 피해를 보면 누가 책임지지?" 같은 질문들입니다.
AI 기본법은 바로 이런 질문에 사회적 약속을 만들어 두려는 법입니다. 한마디로 'AI 산업은 키우되, 사람에게 위험할 수 있는 부분에는 최소한의 안전장치를 두자'는 것이 핵심 취지입니다. 무조건 규제만 하는 법이 아니라, 진흥(산업 육성)과 규율(안전·신뢰)을 한 그릇에 담았다는 점이 특징입니다. 이 법은 2024년 12월 국회를 통과해 2025년 1월 21일 공포됐고, 1년의 준비 기간을 거쳐 2026년 1월 22일 시행됐습니다.
주목할 만한 사실은 한국이 유럽연합(EU)에 이어 세계에서 두 번째로 포괄적인 AI 법 체계를 갖춘 나라가 됐다는 점입니다. EU의 'AI Act'가 글로벌 기준을 먼저 제시했다면, 한국은 그 흐름을 빠르게 따라가며 자체 규범을 마련했습니다. 즉 이번 법은 한국만의 돌출 행동이 아니라, 전 세계가 비슷한 방향으로 움직이는 큰 물결의 일부입니다. 법 전문은 국가법령정보센터에서 직접 확인할 수 있습니다.
2026년 1월 22일, 정확히 무엇이 시작됐나
먼저 일정부터 정리하겠습니다. AI 기본법의 세부 내용을 규정한 시행령이 2026년 1월 20일 국무회의 의결을 거쳐 1월 22일 법과 함께 시행됐습니다. 법은 큰 원칙을, 시행령은 '구체적으로 누가, 어떤 기준으로, 무엇을 해야 하는지'를 채우는 역할을 합니다. 따라서 실무에서 중요한 디테일은 대부분 시행령과 고시·가이드라인에 담겨 있습니다. 과학기술정보통신부는 시행 준비를 위해 80여 명의 민간 전문가로 정비단을 꾸려 70여 차례 의견을 수렴했다고 밝혔습니다(정책브리핑, 2026.1.21.).
법이 다루는 범위는 생각보다 넓습니다. AI를 개발하는 기업, AI를 가져다 서비스로 제공하는 기업, 그리고 AI 기능이 들어간 제품을 파는 기업까지 모두 시야에 들어옵니다. 다만 모든 의무가 모든 회사에 똑같이 적용되는 것은 아닙니다. 위험이 큰 분야일수록 의무가 무거워지고, 위험이 작은 일반적인 활용은 부담이 가볍습니다. 이 '차등'의 원리를 이해하면 법 전체가 한결 쉽게 읽힙니다.
실무자가 기억할 핵심 의무는 크게 세 가지입니다. 첫째 투명성(AI를 썼다는 사실을 알리기), 둘째 생성형 AI 결과물 표시(워터마크 등), 셋째 고영향 AI에 대한 안전·책임 의무입니다. 아래에서 하나씩 풀어 보겠습니다.

"우리 회사도 규제 대상일까?" — 적용 범위부터 확인하기
가장 많은 분이 궁금해하는 부분입니다. 결론부터 말하면, "AI를 사내에서 보조 도구로만 쓰는 수준"이라면 무거운 의무는 대부분 비켜갑니다. 직원이 ChatGPT로 보고서 초안을 잡거나, 코파일럿으로 엑셀을 정리하는 정도의 '내부 업무 활용'은 그 자체로 강한 규제 대상이 아닙니다.
문제가 되는 지점은 AI가 만든 결과물을 외부 고객이나 일반 대중에게 내보낼 때, 그리고 AI가 사람의 권리나 안전에 직접 영향을 주는 결정에 쓰일 때입니다. 예를 들어 AI로 만든 광고 영상을 SNS에 올리거나, 챗봇으로 고객 상담을 제공하거나, 채용·대출 심사에 AI를 활용한다면 이야기가 달라집니다. 이때부터 '알릴 의무'와 '표시 의무', 경우에 따라 '안전 의무'가 따라붙습니다.
핵심은 '우리가 AI를 쓰느냐'가 아니라 '그 결과가 회사 밖의 누군가에게 닿느냐, 그리고 그 사람의 권리·안전에 영향을 주느냐'입니다. 이 두 질문에 '그렇다'가 많을수록 점검할 의무도 늘어납니다.
그래서 가장 먼저 해야 할 일은 거창한 컨설팅이 아니라, 우리 회사가 AI를 어디에 쓰고 있는지 목록부터 만들어 보는 것입니다. 마케팅팀의 이미지 생성, 고객센터의 챗봇, 인사팀의 이력서 분류 등 'AI 사용처 지도'를 그려 두면, 어느 영역이 의무 대상인지 한눈에 보입니다.
핵심 의무 ① 'AI로 만들었다'고 알려야 합니다 (투명성)
첫 번째 의무는 투명성입니다. 고영향 AI 또는 생성형 AI를 활용하는 제품·서비스를 제공하는 사업자는, 이용자에게 'AI가 활용된다는 사실'을 사전에 고지해야 합니다. 쉽게 말해 "지금 당신이 대화하는 상대는 사람이 아니라 AI입니다" 또는 "이 콘텐츠는 AI의 도움을 받아 만들어졌습니다"라고 미리 알려야 한다는 뜻입니다.
왜 이런 의무가 생겼을까요? 사람들은 상대가 사람인지 기계인지에 따라 정보를 받아들이는 태도가 달라지기 때문입니다. AI 챗봇이 마치 사람 상담원인 것처럼 행세하면, 이용자는 잘못된 신뢰를 갖게 될 수 있습니다. 그래서 법은 '속지 않을 권리'를 보장하는 차원에서, AI 사용 사실을 투명하게 밝히도록 했습니다. 다행히 고지 방법은 알림창, UI 안내 등 다양한 방식이 허용되어 기업이 이행하기 어렵지 않도록 설계됐습니다.
실무적으로는 챗봇 첫 화면에 "AI 상담사가 응대합니다"라는 안내를 넣고, AI로 생성·보정한 콘텐츠에는 "본 이미지는 생성형 AI로 제작되었습니다" 같은 문구를 덧붙이는 식입니다. 중요한 건 '나중에 들키지 않게' 숨기는 것이 아니라, '처음부터' 자연스럽게 알리는 습관을 만드는 것입니다.
핵심 의무 ② 생성형 AI 결과물엔 '표시(워터마크)'가 필요합니다
두 번째 의무는 가장 많은 직장인에게 직접 영향을 줄 수 있는 부분입니다. 바로 생성형 AI가 만든 결과물에 'AI 생성물'임을 표시해야 한다는 규정입니다. 이미지, 영상, 음성 등 생성형 AI의 산출물에는 그것이 AI로 만들어졌다는 사실을 이용자가 알 수 있도록 표시해야 합니다. 정부는 이를 두고 "딥페이크 오용 등 기술의 부작용을 막기 위한 최소한의 안전장치이자 이미 주요 글로벌 기업들이 도입한 세계적 추세"라고 설명했습니다.
표시 방식은 결과물의 성격에 따라 나뉩니다. 시행령은 두 가지를 구분합니다.
- 딥페이크처럼 사회적 부작용이 우려되는 결과물: 실제 사람·사건으로 오해할 수 있는 합성 영상·음성 등은, 이용자의 연령 등을 고려해 누구나 명확하게 인식할 수 있는 '눈에 보이는' 방법으로 표시해야 합니다. 화면 위 문구나 라벨처럼 확실히 드러나야 한다는 뜻입니다.
- 웹툰·애니메이션 등 부작용 우려가 작은 창작물: 이런 결과물은 눈에 보이는 표시뿐 아니라, 사람 눈에는 보이지 않는 '디지털 워터마크'로 표시하는 것도 허용됩니다. 콘텐츠 미관을 해치지 않으면서도 AI 생성 사실을 데이터에 새겨 두는 방식입니다.
마케팅·홍보·콘텐츠 부서라면 이 부분을 특히 눈여겨봐야 합니다. AI로 만든 광고 이미지나 SNS 영상을 외부에 게시한다면, 이제는 '표시'가 선택이 아니라 기본 절차가 됐기 때문입니다. 다만 회사 내부 회의용 자료나 외부에 공개하지 않는 초안까지 일일이 표시해야 하는 것은 아닙니다. '대중에게 공개되는 콘텐츠'가 1차 점검 대상이라고 기억하면 됩니다. 자세한 표시 기준은 과기정통부 정책브리핑에서 확인할 수 있습니다.
핵심 의무 ③ '고영향 AI'라면 책임이 더 무거워집니다
세 번째는 가장 무게가 큰 영역인 고영향 AI입니다. 고영향 AI란 사람의 생명·신체의 안전이나 기본권에 중대한 영향을 미칠 수 있는 AI를 말합니다. 같은 AI라도 단순히 글을 다듬어 주는 용도가 아니라, 누군가의 합격·대출·치료 같은 중요한 결정에 관여한다면 훨씬 엄격한 책임이 따른다는 뜻입니다.
법이 명시한 고영향 AI 영역
법과 시행령은 고영향 AI에 해당할 수 있는 분야를 구체적으로 열거하고 있습니다. 대표적으로 다음과 같은 영역이 포함됩니다.
- 에너지·먹는 물(수도)·원자력 등 국민 생활의 기반이 되는 공급 분야
- 보건의료·의료기기 등 생명과 직결되는 분야
- 생체인식 정보를 활용하는 분야
- 채용·인사 평가 등 고용에 영향을 주는 분야
- 대출 심사 등 금융·신용 평가 분야
- 교통수단의 운영 등 안전과 직결되는 분야
- 공공서비스 제공과 학생 평가 등 권리에 영향을 주는 분야
여기에 해당하는 AI를 개발·활용하는 사업자는 위험을 사전에 점검·관리하는 체계를 갖추고, AI가 어떤 근거로 판단했는지 설명할 수 있도록 하며, 이용자를 보호하고 사람이 최종적으로 감독할 수 있는 장치를 마련해야 합니다. 여기서 실무적으로 매우 중요한 단서가 하나 있습니다. 최종 의사결정 과정에 사람이 개입하면 '통제 가능한' 것으로 보아 고영향 AI 대상에서 제외된다는 점입니다. 예를 들어 AI로 이력서를 1차 분류하더라도, 최종 합격 판단을 사람이 책임지고 내린다면 위험이 통제되는 구조로 평가받을 수 있습니다.
한 가지 더, 매우 큰 연산 자원을 들여 학습한 '대규모(고성능) AI'를 개발하는 사업자에게는 별도의 안전성 확보 의무가 부과됩니다. 시행령은 그 대상을 누적 학습연산량 10의 26승(10²⁶) 부동소수점 연산(FLOPs) 이상이고, 최첨단 기술이 적용되며, 위험이 기본권에 광범위·중대하게 미칠 우려가 있는 경우를 모두 충족하는 AI로 규정했습니다. 다만 이 기준은 글로벌 빅테크나 대형 AI 개발사에 주로 해당하므로, 일반 기업이라면 '우리는 그 AI를 가져다 쓰는 입장'이라는 점만 명확히 해두면 됩니다.

외국 기업도 예외 없다 — 역외적용과 '국내대리인'
"그럼 해외 AI 서비스를 쓰면 법망을 피할 수 있는 것 아니냐"는 질문이 나올 수 있습니다. 하지만 AI 기본법에는 역외적용 조항이 있습니다. 즉 행위가 국외에서 이루어졌더라도 그 영향이 국내 시장이나 국내 이용자에게 미친다면 한국 법이 적용됩니다. 글로벌 서비스라고 해서 한국 이용자를 상대로 한 행위가 면제되지는 않는다는 뜻입니다.
나아가 일정 규모 이상의 외국 사업자는 국내에 '국내대리인'을 서면으로 지정해야 합니다. 시행령은 그 기준을 구체적으로 정했는데, 다음 중 하나에 해당하면 대상이 됩니다.
- 전년도 전 세계 매출액이 1조 원 이상인 경우
- 전년도 AI 관련 매출액이 100억 원 이상인 경우
- 직전 3개월간 국내 일일 평균 이용자 수가 100만 명 이상인 경우
이 기준을 보면 알 수 있듯, 오픈AI·구글 같은 글로벌 대형 AI 사업자가 주요 대상입니다. 국내대리인은 안전성 확보 결과 제출, 고영향 AI 확인 요청 대응 등 법적 창구 역할을 맡습니다. 우리 회사가 이런 해외 서비스를 '이용'하는 입장이라면 직접 대리인을 둘 의무는 없지만, 우리가 쓰는 해외 AI 서비스가 법을 어떻게 준수하고 있는지 살펴보는 것은 위험 관리 차원에서 의미가 있습니다.
안 지키면 어떻게 되나 — 과태료와 1년 계도기간
가장 현실적인 질문, "안 지키면 어떻게 되나"를 짚겠습니다. AI 기본법 위반에 대해서는 최대 3,000만 원 이하의 과태료가 부과될 수 있습니다. 사전 고지 의무나 생성형 AI 표시 의무를 이행하지 않는 경우 등이 대표적인 과태료 대상입니다. 형사처벌 중심의 무거운 제재라기보다는, 의무 이행을 유도하는 행정적 성격이 강합니다.
여기서 안심해도 되는 부분이 있습니다. 정부는 기업이 충분히 준비할 시간을 갖도록 최소 1년 이상의 계도기간을 운영합니다. 이 기간에는 사실조사나 과태료 부과가 유예되며, 사실조사 역시 인명사고·인권훼손 등 중대한 사회적 문제가 발생하는 극히 예외적인 경우에만 실시할 예정입니다. 실제 과태료가 매겨지는 시점은 빨라야 2027년 이후가 될 것으로 전망됩니다. 다시 말해 지금 당장 처벌받을까 봐 겁낼 필요는 없지만, 이 1년을 '준비 기간'으로 알차게 쓰는 것이 핵심입니다.
정부도 손을 놓고 있는 것은 아닙니다. 과기정통부는 '인공지능기본법 지원데스크'를 운영해 기업의 문의와 애로사항을 전문가 컨설팅으로 해소하고, 영업비밀 유출을 우려하는 기업을 위해 익명 상담도 제공합니다. 보완된 가이드라인은 한국지능정보사회진흥원과 한국인공지능·소프트웨어산업협회 홈페이지에서 확인할 수 있습니다. 막막하면 혼자 끙끙대기보다 이런 공적 창구를 적극 활용하는 편이 좋습니다.
그래서 우리 회사는 지금 무엇을 해야 할까
막연한 불안만 키우는 글은 도움이 되지 않으니, 규모에 상관없이 바로 시작할 수 있는 행동 가이드로 정리하겠습니다.
- AI 사용처 목록부터 만드세요. 어느 팀이 어떤 AI를, 어떤 목적으로 쓰는지 표로 정리합니다. 'AI 사용 지도'가 모든 점검의 출발점입니다.
- '외부로 나가는 결과물'을 골라내세요. 고객·대중에게 공개되는 챗봇, 광고 이미지, 영상, 안내 문구를 찾아 표시·고지 의무 대상으로 분류합니다.
- '고영향' 영역에 닿는 활용이 있는지 확인하세요. 채용, 대출·신용, 의료, 학생 평가 등에 AI가 관여한다면 별도의 안전·설명 체계와 '사람의 최종 개입' 구조를 마련합니다.
- 간단한 사내 가이드를 만드세요. "AI 결과물을 외부에 낼 때는 표시한다", "AI 상담임을 먼저 알린다" 같은 한두 줄 규칙만 있어도 사고를 크게 줄입니다.
- 계약·약관을 점검하세요. 우리가 쓰는 외부 AI 서비스의 약관과 데이터 처리 방식을 확인하고, 필요하면 거래처와 책임 범위를 정리해 둡니다.
이 다섯 가지만 해둬도 계도기간 동안 충분한 준비가 됩니다. 한 번에 완벽하게 하려 하기보다, '우리가 AI를 어디에 쓰는지'부터 명확히 아는 것이 절반의 성공입니다.
실무자가 오늘부터 적용할 수 있는 5가지 습관
법은 회사가 지키는 것이지만, 실제로 매일 AI를 다루는 건 실무자 개인입니다. 부담 없이 몸에 익힐 수 있는 습관 다섯 가지를 제안합니다.
- 외부 공개 콘텐츠엔 'AI 제작' 한 줄을 다는 습관. 이미지·영상을 올릴 때 캡션이나 설명에 짧게 표기해 두면 나중에 문제 될 일이 없습니다.
- 민감한 결정엔 AI를 '보조'로만 두는 습관. 사람을 평가하거나 돈·건강이 걸린 판단은 AI 의견을 참고하되, 최종 결정과 그 근거는 사람이 남깁니다.
- 회사 기밀·개인정보는 외부 AI에 넣지 않는 습관. AI 기본법과 별개로 개인정보보호법과도 직결되는 문제이니, 입력 전에 한 번 더 생각합니다.
- AI 결과물을 '검증'하는 습관. 그럴듯한 거짓(환각)을 그대로 내보내면 표시 여부와 무관하게 신뢰를 잃습니다. 사실관계는 꼭 사람이 확인합니다.
- 변화에 귀를 열어두는 습관. 시행령과 가이드라인은 계속 보완됩니다. 과기정통부 안내나 신뢰할 수 있는 매체를 가끔 확인하면 충분합니다.
자주 묻는 질문(FAQ)
직원이 ChatGPT로 보고서 초안만 써도 법 위반인가요?
아니요. 내부 업무를 돕는 보조 도구로 쓰는 것 자체는 강한 규제 대상이 아닙니다. 문제가 되는 건 그 결과물을 외부 고객·대중에게 공개하거나, 사람의 권리·안전에 영향을 주는 결정에 쓸 때입니다. '내부용'과 '외부 공개용'을 구분하는 것이 출발점입니다.
AI로 만든 이미지를 SNS에 올릴 때 꼭 표시해야 하나요?
대중에게 공개되는 생성형 AI 결과물에는 AI로 만들었다는 표시를 하는 것이 원칙입니다. 특히 사람·사건으로 오해할 수 있는 합성물(딥페이크 성격)은 눈에 잘 보이게 표시해야 합니다. 캡션이나 워터마크로 간단히 알리는 습관을 들이는 것이 안전합니다.
지금 안 지키면 바로 과태료를 무나요?
당장은 아닙니다. 최소 1년 이상의 계도기간이 운영되어, 그동안은 사실조사와 과태료 부과가 유예됩니다. 실제 부과는 빨라도 2027년 이후로 예상됩니다. 다만 이 기간을 미루는 시간이 아니라 준비하는 시간으로 쓰는 것이 핵심입니다.
채용에 AI를 쓰면 무조건 고영향 AI인가요?
꼭 그렇지는 않습니다. 채용은 고영향 영역에 포함되지만, 최종 의사결정에 사람이 개입하면 '통제 가능한' 것으로 보아 고영향 AI 대상에서 제외될 수 있습니다. 즉 AI는 보조로 쓰되 최종 판단과 책임을 사람이 지는 구조를 만드는 것이 중요합니다.
해외 AI 서비스를 쓰면 한국 법과 무관한가요?
그렇지 않습니다. 역외적용 조항이 있어, 국내 이용자에게 영향을 미치는 행위라면 한국 법이 적용됩니다. 일정 규모 이상의 외국 사업자는 국내대리인을 두어야 합니다. 이용자인 우리 회사 입장에서도, 쓰는 서비스가 법을 어떻게 준수하는지 살펴보는 것이 좋습니다.
마치며
정리하면, 2026년 1월 22일 시행된 AI 기본법은 'AI를 쓰지 말라'는 법이 아니라 'AI를 쓰되, 사람이 속거나 다치지 않도록 최소한의 약속을 지키자'는 법입니다. 직원이 보조 도구로 AI를 쓰는 일상적인 활용은 대부분 큰 부담이 없고, 외부에 공개되는 결과물의 '표시'와 '고지', 그리고 채용·대출·의료 같은 고영향 영역의 '책임'이 핵심입니다.
지금은 처벌의 시기가 아니라 준비의 시기입니다. 우리 회사가 AI를 어디에 쓰는지 지도를 그리고, 외부로 나가는 결과물부터 표시하는 습관을 들이고, 민감한 결정은 사람이 책임지는 구조를 만들어 두세요. 변화는 부담이 아니라, 더 신뢰받는 방식으로 일하는 기회가 될 수 있습니다. 우리 회사의 AI 활용을 한 단계 더 안전하고 똑똑하게 정비하기에, 지금이 바로 그 적기입니다.