부록 B. 한국 AI 규제 & 컴플라이언스 가이드 (2026-04 기준)
국내에서 AI 기능을 서비스에 도입할 때 반드시 확인해야 하는 법·고시·가이드라인을 한 페이지로 정리했습니다. 법률 자문은 아니며, 실무에서 "이 항목은 법무팀 확인이 필요하다"를 가려내는 사전 체크리스트로 쓰세요.
- AI 기본법 2026-01-22 본격 시행 — 영향평가·표시·안전 조치 3개월차 단속 대비
- 신설 B.7 주요 LLM 벤더 DPA·학습 옵트아웃 비교표 — Claude/OpenAI/Gemini/Azure/Bedrock
- 신설 B.8 EU AI Act 간접 영향 — 수출·다국적 기업 관점
- 신설 B.9 워터마킹 / C2PA·SynthID — 생성형 AI 표시 의무 구현 표준
- 신설 B.10 국내 AI 규제 제재·주목 사례
- 신설 B.11 확장 체크리스트(추가 18항) — 엔지니어링·벤더·감사 관점
- 신설 B.12 변경 이력 / B.13 추가 참고
B.1 국내 AI 규제 지형 한눈에 보기
| 법·가이드라인 | 소관 | AI 관련 핵심 | 2026 적용 |
|---|---|---|---|
| 개인정보보호법 | 개인정보보호위원회 | 학습·추론 데이터의 수집·이용·이전 | 전면 적용 |
| AI 기본법 (인공지능 발전과 신뢰 기반 조성 등에 관한 기본법) | 과기정통부 | 고영향 AI 영향평가, 생성형 AI 표시, AI 안전성 확보조치, 국외 사업자 적용 | 2026-01-22 시행 — 현재 3개월차 |
| 신용정보법·전자금융거래법 | 금융위원회 | 금융 AI의 설명가능성·차별금지 | 금융업 필수 |
| 의료기기법 시행령 | 식약처 | 진단·처방 보조 AI의 인허가 | 의료업 필수 |
| 교육부 AI 활용 가이드라인 | 교육부 | 초·중·고 생성형 AI 사용 기준 | 교육 서비스 필수 |
| 정보통신망법 | 방통위·개보위 | 자동화된 결정에 대한 설명·이의제기권 | 전면 적용 |
AI 기본법은 본문 단독이 아니라 시행령 1건 + 고시 2건 + 가이드라인 5건의 패키지로 구성됩니다. 시행령 입법예고는 2025-11-12 ~ 2025-12-22(40일)에 진행됐고, 2025년 말 확정 → 2026-01-22 본문과 함께 시행됐습니다. 실무에서 "AI 기본법 준수"는 본문만 보면 부족하며, 부속 고시·가이드라인을 같이 확인해야 합니다. 출처: 법제처 입법예고.
B.2 개인정보보호법 — AI 도입 시 6대 체크포인트
- 수집 시 동의
프롬프트·업로드 파일에 개인정보가 포함되면 이용자에게 AI 처리 사실을 명시하고 동의를 받아야 합니다. 동의 없는 수집은 과태료(최대 3천만 원) 또는 전체 매출 3% 과징금 대상.
- 가명/익명처리
학습용 데이터는 원본 식별자를 제거(가명)하거나 복원 불가능하게(익명) 가공. 가명정보는 통계/과학적 연구 목적에 한해 동의 없이 사용 가능.
- 국외 이전 동의
OpenAI·Anthropic·Google 등 해외 클라우드 LLM에 데이터를 전송할 때 국외 이전 동의 또는 데이터 처리 위탁 계약(DPA) 체결 필요. 2024 개정 이후 적정성 결정 국가 여부를 반드시 확인.
- 민감정보 처리
건강·종교·노조 가입·성적 취향 등 민감정보는 별도 동의 + 별도 암호화 보관. 프롬프트에 민감정보가 섞이지 않도록 DLP(Data Loss Prevention) 필터 필수.
- 자동화된 결정
채용·대출·보험 등에서 AI가 단독으로 결정할 경우 설명 요구권·이의제기권을 제공. UI에 "이 결정은 AI에 의해 이루어졌으며 재검토를 요청할 수 있습니다" 고지 필요.
- 파기
목적 달성 후 즉시 파기. LLM 로그·프롬프트 이력도 파기 대상에 포함되는지 확인(대부분 포함).
B.3 AI 기본법 — 시행 현황 (2026-04 기준)
사업자가 지켜야 할 5대 의무 (요약)
- 고영향 AI 영향평가
인간 생명·안전·기본권에 중대한 영향이 있는 AI 서비스 개시 전 영향평가 보고서 작성·보관. 미이행 시 과태료.
- 생성형 AI 표시
AI가 생성했음을 이용자가 인식할 수 있도록 표시(워터마크·메타데이터·UI 고지). 딥페이크는 별도 강화 표시. 자세한 구현은 B.9 워터마킹.
- AI 안전성 확보조치
위험 식별·완화·모니터링 체계 운영. 사고 발생 시 즉시 보고 의무.
- 투명성·설명가능성
이용자 문의 시 AI 사용 여부·처리 근거 설명. 자동화된 결정은 개보법과 연동.
- 국외 사업자 적용
국내 이용자 대상 서비스 제공 시 해외 법인도 적용. 국내 대리인 지정 요건 확인.
고영향(High-risk) AI로 분류되는 예
- 채용 전형 자동 스크리닝
- 대출·보험 심사
- 의료 진단 보조
- 공공행정 의사결정 지원
- 교육 평가·입학 사정
- 본인 인증·생체 인식
생성형 AI 표기 의무
- AI 생성 이미지·영상·텍스트에 "AI 생성 콘텐츠" 워터마크/메타데이터 부착
- 딥페이크 사용 시 별도 고지 + 본인 동의
- 챗봇: 첫 응답 또는 UI 상단에 "AI와 대화 중입니다" 표시
B.4 산업별 추가 규제
🏦 금융 (신용정보법·전자금융감독규정)
- 설명가능성: 대출 거절 시 사유를 6하원칙으로 설명 가능해야 함 — 블랙박스 LLM은 내부 감독·보조용으로만 사용하고 최종 판정은 사람이 서명
- 차별금지: 성별·연령·지역 등 보호 속성에 대한 성능 격차(fairness metric) 분기별 모니터링 · 차이 10% 초과 시 시정
- 외주 LLM 금지 분야: 내부 고객정보가 프롬프트에 포함되면 원칙적으로 금융망 내부 VPC 배포만 허용(Azure/AWS의 프라이빗 엔드포인트 또는 온프레미스)
🏥 의료 (의료기기법)
- 진단·처방 보조 AI는 식약처 허가 필요(2등급·3등급 의료기기 분류)
- 임상 검증·지속 성능 모니터링 필수
- 건강 정보는 위에서 설명한 민감정보 규정 + 의료법 별도 보호 중첩 적용
🎓 교육 (교육부 가이드라인)
- 초·중등 수업 활용 시 연령 기준 준수(ChatGPT 13+, 학부모 동의 필요 연령대)
- 평가·채점 자동화는 교사 최종 확인 필수
- 학생 개인정보가 프롬프트에 들어가지 않도록 템플릿 설계
B.5 PM/PL 실전 체크리스트 (도입 기획 → 배포)
| # | 단계 | 확인 사항 | 담당 |
|---|---|---|---|
| 1 | 기획 | 영향평가(AIA) 해당 여부 판정 | PM + 준법팀 |
| 2 | 기획 | 개인정보 흐름도(PFD) 작성 | PM + CPO |
| 3 | 데이터 | 학습·RAG 데이터의 수집 근거 확인 | 데이터팀 |
| 4 | 데이터 | 가명/익명 처리 전략 수립 | 데이터팀 |
| 5 | 벤더 | LLM 벤더 DPA·국외 이전 문서 | 법무팀 |
| 6 | 벤더 | 학습 옵트아웃 설정(OpenAI·Anthropic 모두 가능) | 엔지니어링 |
| 7 | 설계 | DLP·프롬프트 스크러빙 레이어 | 엔지니어링 |
| 8 | 설계 | 사용자 UI에 AI 고지·설명권·이의제기 링크 | 디자인 + PM |
| 9 | 설계 | 생성물 워터마킹/라벨링 | 엔지니어링 |
| 10 | 운영 | 감사 로그(누가·언제·어떤 프롬프트) 보존 정책 | 운영팀 |
| 11 | 운영 | 사고 대응 플레이북(프롬프트 주입·데이터 유출) | 보안팀 |
| 12 | 운영 | 분기별 모델 성능·공정성 모니터링 리포트 | 데이터 + PM |
B.6 흔한 실무 질문 FAQ
Q1. 사내 직원이 ChatGPT에 고객 이메일을 붙여넣는 건 괜찮나요?
원칙적으로 부적합. ChatGPT 웹판(개인 계정)은 학습 데이터로 활용될 가능성이 있고, 고객 동의 없는 국외 이전에 해당. 대안: 사내 ChatGPT Enterprise / Claude for Enterprise(학습 미사용 + DPA) 또는 사내 프록시 경유 + DLP 필터.
Q2. RAG용 문서에 고객명이 들어가 있으면 어떻게 하나요?
인덱싱 전 PII 마스킹 파이프라인 적용(Microsoft Presidio·AWS Comprehend·사내 정규식). 마스킹 후에도 재식별 위험이 있는 조합(고유 직책+소속)은 추가 제거.
Q3. AI가 생성한 코드의 저작권은 누구에게 있나요?
현재(2026-04) 국내 판례·법 해석은 인간의 창작적 기여가 있어야 저작권이 성립한다는 입장. 단순 프롬프트만 제공한 경우 저작권 주장 곤란. 오픈소스 라이선스 흡수(GPL 코드를 AI가 복제) 위험도 존재 → 라이선스 스캐너(FOSSA·Black Duck) 필수.
Q4. 내부 전용이면 규제를 덜 받나요?
외부 노출이 없어도 개인정보 처리와 자동화된 결정 규정은 동일 적용. 내부라고 해서 DPA·동의·파기 의무가 면제되지 않습니다.
B.7 주요 LLM 벤더 DPA · 학습 옵트아웃 비교 (2026-04)
프롬프트·업로드 문서가 모델 학습에 사용되는지, 데이터가 어디 저장·얼마나 보존되는지는 요금제에 따라 다릅니다. 개별 계약 체결 전 아래 항목을 최신 공식 문서에서 재확인하세요.
| 벤더/상품 | 기본 학습 사용 | 옵트아웃 | DPA 제공 | 데이터 보존 | 국외 이전 |
|---|---|---|---|---|---|
| Claude (Pro/Team/Enterprise) | 미사용(기본) | 해당 없음 | Team/Enterprise 제공 | 기본 30일, 삭제 시 추가 30일 내 파기 | 미국 중심 — DPA에 SCC 포함 |
| Claude API | 미사용(기본) | 해당 없음 | Zero-data-retention(ZDR) 옵션 | 기본 30일 또는 ZDR 시 0일 | 미국 중심 |
| ChatGPT Free/Plus | 사용 | 설정 > Data Controls | 개인 제공 없음 | 30일(삭제 대화도) | 미국 중심 |
| ChatGPT Team/Enterprise | 미사용 | 해당 없음 | 제공 | 설정 가능 | DPA·SCC |
| OpenAI API | 미사용(기본) | 해당 없음 | ZDR 옵션 | 30일 또는 ZDR 시 0일 | 미국 중심 |
| Gemini Free | 사용 | Activity 끄기 | 개인 제공 없음 | 최대 18개월 | 글로벌 |
| Gemini for Workspace | 미사용 | 해당 없음 | Workspace DPA | 설정 가능 | 리전 선택(asia-northeast3 서울) |
| Azure OpenAI | 미사용 | 해당 없음 | Microsoft DPA | 콘텐츠 필터 로그 30일 기본·옵트아웃 가능 | 리전 선택(Korea Central) + EU 데이터 바운더리 |
| AWS Bedrock | 미사용 | 해당 없음 | AWS DPA | 저장 안 함(모델 호출 패스스루) | 리전 선택(ap-northeast-2 서울) |
※ 2026-04 기준 일반적 실무 요약이며 벤더의 약관 개정에 따라 변동될 수 있습니다. 상세 내용은 각 벤더의 Privacy/Data Usage/Trust Center 문서에서 확인 필수.
실무 권고
- 개인정보·기밀 포함 가능성이 있는 업무는 Team/Enterprise/API(ZDR) 수준부터 사용
- 한국 리전 필요 시 Azure OpenAI(Korea Central) 또는 Bedrock(ap-northeast-2)
- 직원 개인 계정(ChatGPT Plus 등) 이용은 원칙적 금지 가이드 명문화 권장
- 브라우저 확장·Zapier 등 간접 경로가 기본 ToS로 학습에 사용되는지 확인
B.8 EU AI Act 간접 영향 (수출·다국적 기업)
국내 기업이라도 EU 시장에 AI 제품/서비스를 제공한다면 EU AI Act(2024-08 발효, 단계적 적용)가 직접 적용됩니다. 국내 AI 기본법과 이중 적용되는 요구사항을 정리합니다.
| 시점 | 적용 대상 | 핵심 의무 |
|---|---|---|
| 2025-02-02 시행 | 금지된 AI(소셜스코어링·실시간 원격 생체 식별 등) | 즉시 시장 철수 |
| 2025-08-02 시행 | 범용 AI 모델(GPAI) 제공자 | 기술 문서, 저작권 준수 정책, 학습 데이터 요약 공개 |
| 2026-08-02 시행 | 고위험 AI(채용·교육·신용·법 집행 등) | 위험관리 시스템, CE 마킹, 시장 출시 후 모니터링 |
| 2027-08-02 시행 | 부록 I 제품 내장 AI(의료기기·차량 등) | 기존 제품 규제와 통합 적합성 평가 |
국내 AI 기본법 vs EU AI Act — 겹치는 요구
- 영향/위험평가 — 두 법 모두 요구. 한 번 작성 시 양쪽 템플릿을 매핑해 공통본 관리 권장
- 생성형 AI 표시 — 양쪽 모두 요구. 기술 표준(B.9 C2PA)으로 통합 가능
- 학습 데이터 투명성 — EU가 더 엄격(요약 공개). 국내 기본법은 원칙 수준
B.9 워터마킹 / 콘텐츠 증명 — 기술 구현 표준
생성형 AI 표시 의무를 실제 제품에 어떻게 구현할지 — 2026-04 기준 사실상 표준으로 자리잡고 있는 접근:
1) C2PA (Content Credentials)
- Adobe·Microsoft·OpenAI·Google·BBC 등이 참여하는 공개 표준
- 이미지·영상·오디오의 생성 출처·편집 이력을 암호 서명으로 매니페스트에 기록
- DALL·E 3, Midjourney, Adobe Firefly, Google Gemini 이미지, OpenAI Sora 등 자동 부착
- 검증: contentcredentials.org/verify 또는 브라우저 확장
2) SynthID (Google DeepMind)
- 이미지·오디오·텍스트·비디오에 지각 불가능한 워터마크 삽입
- 2024년 오픈소스화 — Hugging Face 등에서 활용 가능
- 텍스트 워터마크는 재편집·번역에 일정 수준 견딤
3) UI 고지 (최소 요건)
- 챗봇 첫 응답에 "AI가 생성한 답변입니다" 고정 문구
- 이미지·영상 하단에 "AI 생성" 라벨 + 메타데이터
- 딥페이크/합성 음성은 육안·청각 식별 가능한 고지 추가
B.10 국내 AI 규제 제재 · 주목 사례
실제 위반·행정조치·자율 시정 사례를 PM/PL이 리스크 감각을 잡는 참고 자료로 모았습니다. 기업명은 비공개인 경우 익명 처리.
개인정보보호위원회 관련
- 2023년 OpenAI 사건 — 국내 이용자 687명의 결제 정보가 버그로 타인에게 노출. PIPC 과징금 360만 원 + 시정조치. 교훈: 로컬 캐싱·세션 격리 테스트 강화
- 챗봇 '이루다' 사건 (2021) — 카카오톡 대화 무단 학습. 과징금·시정. 교훈: 가명처리도 재식별 가능성 점검 필수
- 2024 채용 AI 이슈 — 특정 성별·연령 점수 편향으로 권고 사례. 교훈: 분기별 공정성 감사 의무화
금융감독원 · 금융보안원 가이드
- 2024~2025 공개 사례로 외부 LLM에 고객 식별정보를 포함한 프롬프트 전송이 지적 → 내부망 배포·프록시 + DLP 구축이 사실상 기본
- 신용평가 AI는 설명서(주요 변수·가중치) 제출 의무 강화
교육부 · 식약처
- 초·중등 생성형 AI 자율 사용은 교사 감독 원칙 재확인(2025)
- 식약처: 진단 보조 AI는 SaMD(Software as a Medical Device) 허가 필수 재고지
B.11 확장 체크리스트 — 엔지니어링 / 벤더 / 감사 관점 (추가 18항)
B.5의 PM/PL 12항에 더해, 실제 구현 단계에서 자주 누락되는 체크포인트:
🛠 엔지니어링 (6항)
- 프롬프트·응답 로그의 보존 기간 정책을 코드 레벨에 명시(예:
retention_days=30) - DLP 필터를 전송 전·수신 후 양쪽 배치(프롬프트 인젝션 대비)
- 요청마다 사용자 ID·목적 태그를 메타데이터로 기록
- 외부 LLM 호출은 API 게이트웨이 경유 — 직접 호출 금지
- 개발·스테이징·프로덕션 환경 간 실데이터 유출 차단(dev는 합성 데이터만)
- 모델 업그레이드 시 회귀 테스트셋으로 공정성 지표 재측정
🤝 벤더 관리 (6항)
- DPA + SCC(표준계약조항) 또는 적정성 결정 근거 문서 보관
- 학습 옵트아웃 설정 캡처(스크린샷)를 연 1회 갱신
- 서브프로세서 목록을 벤더로부터 받아 사내 DPO와 공유
- Zero-Data-Retention 옵션 적용 시 계약상 명시·결제 항목 확인
- 벤더의 보안 인증(SOC 2 Type II, ISO 27001, ISMS-P) 유효 기간 추적
- 서비스 종료·장애 시 데이터 반환·삭제 절차 사전 합의
🔍 감사 · 거버넌스 (6항)
- AI 처리 활동 목록(ROPA)에 AI 시스템을 별도 라인 아이템으로 등재
- 내부 감사 스코프에 AI 프롬프트·출력 샘플링 포함(분기 1회)
- 사고 발생 시 72시간 내 신고 절차 문서화(GDPR·개보법 기준선)
- AI 윤리위원회 또는 책임자 지정(최소 분기 1회 회의)
- 사용자 권리 요청(열람·정정·삭제) 처리 SLA 정의
- 신규 AI 기능 런칭 Go/No-Go 체크리스트에 영향평가·표시·DPA 항목 포함
B.12 변경 이력
- 2026-04-17 — 신설: B.7 LLM 벤더 DPA 비교 / B.8 EU AI Act / B.9 C2PA·SynthID / B.10 제재 사례 / B.11 확장 18항. B.1 지형표 시행일 보강, B.3 AI 기본법 5대 의무 구체화.
- 2026-04-13 — 초판 작성 (B.1~B.7).
B.13 추가 참고
- 개인정보보호위원회 — pipc.go.kr
- 국가법령정보센터(AI 기본법 전문) — law.go.kr
- 과기정통부 AI 정책/AI 안전연구소
- 한국인터넷진흥원(KISA) — AI 보안 가이드
- 금융보안원 — 금융 AI 활용 가이드
- C2PA 공식 — c2pa.org / 검증: contentcredentials.org/verify
- EU AI Act 공식 요약 — artificialintelligenceact.eu
- Anthropic Privacy — privacy.anthropic.com
- 관련 모듈: 9.2 AI 보안 필수 가이드, 9.3 AI 거버넌스 프레임워크, 부록 G. 로컬 LLM (규제 회피·내부망 배포)