인공지능 기본법의 하위법령 제정 현황과 향후 과제

1. 서론

2024. 12. 26. 국회 본회의에서 인공지능 분야 기본법인 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 “AI 기본법”)이 통과되었고, 2025. 1. 21. 공포되었다. 이 법은 1년의 유예기간을 거쳐 2026. 1. 22. 시행될 예정이다. AI 기본법을 통해 의료, 금융, 제조 등 다양한 분야에서 활용되는 인공지능 기술의 투명성과 책임성이 강화되고 국민의 권리 보호와 AI 산업의 지속가능성도 확보될 수 있을 것으로 전망된다. 모든 인공지능 시스템 전반에 관하여 포괄적으로 규정한 전 세계 두번째 법률로 평가된다. 국가 차원에서 인공지능 기술을 진흥함과 동시에 신뢰 기반을 마련하여 AI 시대에 안전하고 책임 있는 기술 활용을 도모하려는 정책적 토대라고 볼 수 있다.

AI 기본법은 인공지능 등을 정의하고, 국가 AI 정책의 컨트롤타워로서 대통령을 위원장으로 하는 ‘국가인공지능위원회’를 설치하여 거버넌스를 확립하였으며, R&D, 데이터 구축, 인재 양성 등 산업 육성을 위한 포괄적인 지원 근거를 마련하였다. 아울러 인공지능 투명성 및 안전성 확보 의무, 고영향 AI(High-Impact AI)에 대한 사업자 책무, 고영향 AI 영향평가 등 국민의 안전과 기본권을 보호하기 위한 필수적인 규제 장치들을 도입하였다.

2. 하위 법령 제정 현황

AI 기본법 시행을 앞두고 정부는 법률에서 위임된 사항을 구체화하기 위해 하위법령 정비를 추진해왔다. 과학기술정보통신부는 2025년 초 관계부처 및 전문가들이 참여하는 하위법령 정비 TF를 구성하고 산업계·학계·시민단체 등으로부터 약 70여 차례 의견수렴을 거쳐 하위규정 초안을 마련하였다. 2025. 9. 이러한 시행령 초안과 가이드라인 방향을 사전 공개하여 업계 의견을 청취하였고 관련 설명회를 개최하였다. 과기정통부가 밝힌 제정방향에 따르면, AI 기본법 하위법령은 필요 최소한의 규제만을 담는 것을 원칙으로 하여 국제 동향과 국가 AI 경쟁력 강화를 모두 고려하는 방향으로 설계되었다. 이를 위해 시행령 외에도 2건의 고시 및 5건의 가이드라인이 패키지로 마련되었다. 즉 고시로서 △ 안전성 확보 고시, △ 사업자 책무 고시가 제시되었으며, 가이드라인으로서 ▲ AI 투명성 확보 가이드라인, ▲ AI 안전성 확보 가이드라인, ▲ 고영향 AI 판단 가이드라인, ▲ 고영향 AI 사업자 책무 가이드라인이 함께 제시되었다.

2025. 11. 12. 과기정통부는 AI기본법 시행령 제정안을 입법예고하였으며, 입법예고안은 9월 공개된 초안에서 일부 수정과 정비가 이루어졌다.¹ 입법예고 기간은 2025. 11. 12.부터 12. 22.까지 40일 간이며, 수렴된 의견을 반영해 2025년 말까지 시행령을 확정할 계획이다. 법 적용 예외, 투명성·안전성 확보 의무, 고영향 인공지능의 판단 기준, 영향평가 등 시행령(안)의 주요 내용은 다음 표와 같다.

3. 주요 쟁점

가. 규제체계

AI 규제체계 접근 방식은 국가별로 다소 상이하다. EU AI법은 대부분의 분야에 적용되도록 설계된 수평적 규제체계를 도입한 반면, 미국은 대체로 수직적 규제, 즉 AI가 적용되는 특정 부문별로 기존의 법률을 적용하는 것이 특징이다.

국내 AI 기본법은 특정 산업 분야를 가리지 않고 모든 AI 기술에 규율을 적용하는 수평규제체계를 채택하였다. 이에 대하여, AI는 용례·범주·생애주기별로 유발하는 사회문제들이 이질적이어서 이를 간과한 수평규제체계는 백화점식·저인망식 과잉규제에 빠지게 되고, AI의 활용으로 인한 사회문제는 기존 문제로부터 명확히 분리되지 않는 경우가 많아 AI기본법이 신설하는 수평규제는 기존 부문별 규제와 병립되어 중복·저촉을 일으킬 수 있다는 견해가 있다.² 반면, AI의 응용 분야가 다양함에도 불구하고 이들이 초래하는 위험은 투명성, 견고성, 책임성이라는 유사한 주제들을 포함하는 경우가 많은데 수평적 규제체계는 정부가 이러한 반복적인 쟁점들에 집중할 수 있도록 할 수 있으며, 규제의 일관성 및 예측 가능성을 제공하고, 분야별 규제기관들이 AI를 고려할 역량이 부족할 때 발생하는 규제 공백을 줄이는 장점이 있다는 견해도 있다.³

전 세계적으로 AI 규제는 이제 시작 단계라 실증된 바 없으므로, 어느 한 방식이 다른 방식들에 비해 우월하다고 추단하기는 어려우며, 유연하고 반응적인 입법과 행정이 요구된다. AI 기본법이 당장 내년 1월 시행을 앞두고 있으므로 전면적 법체계를 수정하는 대신 수평적 규제체계를 유지하되 단점을 보완하는 방식의 법령 운용을 고려할 수 있다. AI 기본법 제34조 제3항 및 시행령 제26조 제5항은 다른 법령에 따른 조치를 이행한 경우 AI 기본법상 책무를 이행한 것으로 간주하고 있으며, 시행령 별표1에서 이를 구체화하고 있다. 이처럼 분야별 특수성이 반영된 AI 규제가 AI 기본법보다 우선 적용되도록 하여 중복 규제 가능성을 줄일 수 있다.

향후 AI가 활용되는 부문과 맥락의 특징을 고려한 규제체계에 대한 논의가 필요하며, 예를 들어 원자력시설과 같이 안전이 중요한 분야와 채용･대출심사와 같이 국민의 권익이나 의무에 영향을 주는 분야를 구분하여 규제를 달리 정하는 방안을 고려할 수 있다.⁴

나. 적용 범위

국방 및 국가안보와 관련된 AI에 대한 적용 배제는 국가의 존립과 안전을 위해 기밀성이 요구되는 특수성을 반영한 것으로서 EU AI법 역시 군사, 방위, 국가안보목적으로만 사용되는 AI에 대해 법 적용을 배제하고 있다.

이에 더하여, 과학적 연구만을 목적으로 개발･이용되는 경우, 출시 전 또는 연구･개발 단계에 있는 인공지능에 해당하는 경우(시험 목적으로 제한된 범위에서만 공개된 경우 포함) 법 적용을 제외해야 한다는 견해가 있다.⁵

지나치게 엄격하고 경직된 접근 방식은 혁신을 저해하고 AI 도입을 지연시킬 수 있으며, AI 기술 자체를 규제하기 보다는 AI가 활용되는 맥락에 초점을 맞추는 것이 바람직하다는 점을 고려할 때,⁶ 과학적 연구만을 위해 개발･이용되거나 연구･개발 단계에 머물러 있는 경우 일반 국민에게 위험이 발생할 우려는 낮은 반면 이를 엄격하게 규율할 경우 연구개발이 위축될 수 있으므로 법 적용을 제외할 필요성이 있다.

다. 규제 대상

AI 기술은 하루가 다르게 발전하고 있으며, 전 산업 분야에 걸쳐 폭 넓게 적용되고 있다. 이런 동적인 환경에서 AI와 관련된 용어들을 정의하고 규제 대상 사업자를 특정하는 것은 쉬운 일이 아닐 것이다. 또한 AI가 개발되고 활용되는 양상은 최근 수 년간 변화하고 있어, AI 생태계에 참여하는 이해관계자들 간 법적인 의무를 어떻게 배분하는 것이 효율적인지 명확하지 않다.

그러나 고성능 AI 시스템에 대해 안전성 확보 등 일정한 의무 부과가 필요하다는 점, 생성형 AI나 고영향 AI에 대하여 투명성이 확보되어야 한다는 점, 고영향 AI 사업자에 대하여 위험관리방안 마련 등 일정한 책무가 필요하다는 점에 대해서는 이론의 여지가 적으며, 관련 조항이 AI 기본법에 규정되었으므로 시행 과정에서 규제 대상과 규제 수준을 조정하는 방식이 가능하다고 생각된다.

더욱이 전 세계적으로 AI 규제보다 진흥에 중점을 두는 경향을 고려하면, 시행 초기 단계에는 대상 사업자의 범위를 최소한으로 정하고 이후 운용 과정에서 필요에 따라 법령의 개정이나 해석을 통해 대상 사업자의 범위를 넓히거나 구체화하는 방안을 고려할 수 있다.

이와 관련하여 규제 대상 사업자의 범위를 합리적으로 한정하면서도 규제의 실효성을 높이기 위해 개발사업자, 이용사업자, 이용자, 영향받는 자의 정의와 대상 범위를 재검토하고 각 주체 간 의무의 조정이 필요하다는 견해가 힘을 받고 있어, 정부, 업계, 학계, 시민단체 간 활발한 논의가 요구된다.⁷

라. 규제 보완과 유연한 접근

2025. 11 19. EU 집행위원회는 디지털 규제의 복잡성을 해소하고 기업의 혁신을 촉진하기 위해 ‘디지털 옴니버스 패키지 Digital Omnibus Package’를 발표했다. AI법(AI Act), 데이터법(Data Act), GDPR, 디지털서비스법(DSA) 등을 간소화하고 법률 간 중복 요소를 통합하여 기업 부담을 완화하고 행정 절차를 간소화하도록 하였다.⁸

디지털 옴니버스 패키지에는 AI법의 일부 조항 적용 시점을 연기하고 간소화 조치를 확대 적용하는 방안이 포함되어 있다.

EU 집행위원회는 표준·지원도구 개발 지연을 인정하며 고용 및 법 집행 등 민감 분야(부속서 III)의 고위험 AI 규정 시행은 2026. 8.에서 2027. 12.로 최대 16개월 연기하며, 의료기기 등의 제품에 내장된(부속서 I) 고위험 AI 규정 시행은 2027. 8.로 최대 12개월 연기할 것을 제안함

기존에 중소기업(SME)*에 한해 적용되던 기술문서 작성 의무 완화, 과징금 상한 등의 조치를 중견기업(SMC)**으로 확대 적용함 * SME : 직원 250명 미만, 연 매출EUR 5,000만(약850억 원) 또는 자산총액 EUR 4,300만(약730억 원) 이하 ** SMC : 직원 750명 미만, 연 매출EUR 1.5억(약2,500억 원) 또는 자산총액 EUR 1.29억(약2,200억 원) 이하

생성형AI 출력물 표시의무에 대하여 2026. 8. 2. 이전 이미 해당 시스템을 시장에 출시한 제공자에게 6개월(2027. 2. 2.까지)의 경과규정 도입

제공자(provider)가 고위험이 아니라고 판단한 부속서 III의 AI 시스템에 대하여 EU 데이터베이스 등록 의무를 면제함

AI 모델 학습에 개인정보를 사용하는 것을 GDPR상 ‘정당한 이익(Legitimate Interest)’으로 명시하여 데이터 활용의 법적 근거를 마련했고, 편향성 제거를 위해 민감 정보 처리를 예외적으로 허용함

AI 규제에 가장 앞선 것으로 평가되는 EU가 규제 완화 움직임을 보여주며, 이는 AI 기본법 시행을 앞둔 우리나라에도 시사점을 준다.

먼저, 규제 시행에 대하여 속도 조절이 필요하다는 점이다. 우리나라 정부도 과태료 계도 기간을 운영하여 실질적으로 규제 유예 효과를 도모하고 있다. 사업자 책무 모범사례 제시 등을 통해 불확실성을 저감한 후에 시행을 본격화하는 유연한 접근이 요구된다.

또한 기업의 부담을 경감시킬 필요가 있다. 단순 규제 유예를 넘어, 위험이 적은 분야의 기업이나 부담능력이 적은 중소기업에 실질적으로 의무나 책무를 줄이는 방안을 도입해야 한다.

개인정보 등 AI 개발･활용에 부담이 되는 규제에 대한 완화도 필요하다. 우리나라 개인정보보호위원회는 가이드라인⁹ 을 통해 AI 개발 및 활용 시 개인정보 처리에 대하여 적극적인 유권해석을 내놓았는데, AI 개발을 위해 개인정보를 처리하는 사업자의 예측가능성을 높일 수 있도록 법 개정을 추진해야 한다.

4. 향후 과제

AI 기본법 제정은 우리나라가 AI 규범을 주도하는 첫걸음을 내디뎠다는 점에서 의미가 크다. AI 기술 개발 및 산업 육성과 함께 투명성, 안전성 등 신뢰성 확보를 위한 규정들이 균형 있게 반영되었다.

다만, 규제 체계, 적용 범위, 규제 대상 등에 대하여 추가 논의와 법령 정비가 필요하다는 목소리가 적지 않으며, 국가인공지능전략위원회도 최근 발간한 보고서에서 AI 기본법 하위 법령 및 가이드라인 보완과 AI 기본법상 규제 조항 개선을 권고하였다.¹⁰

AI기본법의 시행으로 시작될 새로운 규제 체계가 실효성과 합리성을 갖출 수 있도록 정부·기업·시민사회 간 소통과 협력적인 거버넌스가 중요하다. 법제도 역시 경직된 명령이 아니라 학습하고 진화하는 규범이어야 한다. 향후 국제 표준과 업계 동향을 반영하여 유연하고 탄력적으로 개정･시행되길 기대한다.

1. 과학기술정보통신부 보도자료, “인공지능 산업 발전과 안전·신뢰 기반 조성을 위한 「인공지능 기본법 시행령」 제정안 입법예고”, 2025. 11. 12. [본문으로]
2. 박상철, “인공지능 기본법의 시행 전 개정 필요성 – 규제 조항의 체계·축조상 문제점을 중심으로”, 정보법학, 2024. 12. 11면. [본문으로]
3. Matt O’Shaughnessy, Matt Sheehan, “Lessons From the World’s Two Experiments in AI Governance”, 2023. 2. [본문으로]
4. 위 박상철 논문. [본문으로]
5. 한국인공지능법학회, “AI 기본법 개정연구위원회 개정제안서”, 2025. 12. 9면. [본문으로]
6. 영국 과학혁신부, “AI regulation: a pro-innovation approach”, 2023. 3. [본문으로]
7. 위 박상철; 위 한국인공지능법학회; 김현경, “AI 규제 입법의 문제점에 대한 검토”, 성균관법학, 2025. 3. [본문으로]
8. EC, “Digital Omnibus Regulation Proposal”, 2025. 11. 19. <https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal 최종 방문일 2025. 12. 17.> [본문으로]
9. “인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서”, 2024. 7., “생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서”, 2025. 8. [본문으로]
10. 국가인공지능전략위원회, 『대한민국 인공지능 행동계획』(안), 2025. 12., 54-55면 [본문으로]