나는 EU AI법 완화에 찬성한다 — 빅테크가 원하는 이유와 정반대 이유로

당장 앞으로 6개월, 그러니까 2026년 하반기에 벌어질 일을 좀 따져보자. 디지털 옴니버스 합의는 아직 EU 의회 본회의와 이사회 최종 투표를 통과해야 한다. 이 과정에서 시민사회와 좌파 정당들의 반발이 거세질 가능성이 높다. 유럽의회 내 녹색당과 좌파 블록은 이미 "빅테크에 대한 굴복"이라고 비판하고 있고, 127개 시민사회단체의 연명 성명이 의회 표결에 압박을 가할 것이다. 하지만 현실적으로 의회-이사회-집행위 3자 합의가 뒤집어진 전례는 극히 드물다. 나는 최종 투표에서 합의안이 통과될 확률을 85% 이상으로 본다. 통과 후 각 회원국의 국내법 전환 과정에서 해석 싸움이 벌어질 텐데, 프랑스와 독일이 완화를 적극 수용하는 반면 네덜란드와 벨기에 같은 국가들은 자국 내 추가 보호 장치를 마련할 가능성이 있다. 비동의 성적 AI 생성물(nudifier) 금지 조항은 2026년 12월 2일부터 발효되므로, 이 부분의 집행 체계 구축이 하반기 주요 과제가 될 것이다.

단기 시장 반응은 이미 나타나고 있다. EU AI법 완화 소식이 전해진 직후 유럽 AI 섹터에 대한 시장 기대감이 높아졌고, 프랑스의 Mistral AI를 비롯한 유럽 AI 챔피언들이 이 결정을 환영했다. Grand View Research에 따르면 유럽 AI 시장은 2024년 664억 달러에서 2030년 3,703억 달러로 연평균 33.2% 성장이 예상되는데, 이번 규제 완화가 이 성장 궤도를 가속화할 인센티브를 만들었다. 반면 개인정보 보호 비영리단체인 noyb의 맥스 슈렘스는 GDPR 제88조c에 대한 법적 도전을 준비하고 있다고 공개적으로 밝혔다. 슈렘스가 GDPR 관련 소송에서 이미 두 번이나 EU 최고법원에서 승소한 전력이 있다는 점을 감안하면, 이 법적 도전의 성공 가능성을 무시할 수 없다. 유럽 데이터보호이사회(EDPB)와 유럽 데이터보호감독관도 이 조항에 반대하는 공동 의견서를 발표한 만큼, CJEU가 제88조c에 제동을 건다면 디지털 옴니버스 패키지 전체의 법적 안정성이 흔들릴 수 있다.

한국 관점에서 이번 EU AI법 완화는 주목할 만한 시사점을 담고 있다. 한국은 2024년 1월 아시아 최초의 포괄적 AI 기본법(인공지능 기본법)을 제정했으며, EU AI Act를 핵심 참조 모델로 삼아 세부 시행령을 설계하고 있다. EU가 스스로 규제를 완화하는 방향으로 선회한다면 한국 과학기술정보통신부의 시행령 설계에도 영향이 불가피하다. 삼성전자와 SK하이닉스는 HBM(고대역폭 메모리) 등 AI 반도체를 유럽 AI 인프라에 대규모 공급하고 있어 EU AI법 준수 비용을 직접 부담해야 하는 입장이었는데, 기한 연장으로 단기 부담이 줄어들었다. 네이버의 하이퍼클로바X와 카카오의 AI 서비스가 유럽 시장 진출을 고려할 때 규제 복잡성 감소는 진입 비용 절감으로 직결된다. 반면 GDPR 제88조c처럼 개인정보 보호 수준이 낮아지는 방향이라면, 유사한 완화 압력이 한국의 개인정보보호법(PIPA) 체계에도 가해질 수 있다는 점은 경계해야 한다. EU와 한국 모두 "규제 강도 vs 혁신 촉진"이라는 동일한 딜레마에 직면해 있다는 점에서, 이번 EU의 선택이 한국 AI 거버넌스 논쟁에도 직접적인 참조점이 될 것이다.

6개월에서 2년 사이, 그러니까 2027년 중반부터 2028년까지를 보면 구조적 변화가 가시화될 것이다. 독립형 고위험 AI 시스템(Annex III)의 준수 기한이 2027년 12월 2일이고, 규제 대상 제품 내장형(Annex I)은 2028년 8월 2일이므로 기업들은 이 기간 내내 준비에 돌입한다. 핵심은 EU AI 사무소(AI Office)의 역할이다. appliedAI 연구가 밝힌 대로 기업 AI 시스템의 40%가 위험 분류조차 불명확한 상태인데, AI 사무소가 이 분류 가이드라인을 어떻게 해석하고 집행하느냐에 따라 규제의 실질적 강도가 결정된다. 나는 AI 사무소가 초기에는 기업 친화적으로 운영되다가 첫 번째 대형 AI 사고가 발생하면 급격히 강경해지는 패턴을 밟을 것으로 예측한다. 이건 GDPR 초기 집행과 정확히 같은 궤적이다. GDPR이 2018년에 시행됐지만 의미 있는 대규모 과징금은 2019년 영국항공 사건(2억 유로)이 터진 후에야 본격화됐다. 2027년부터 2028년 사이에 AI 관련 대형 피해 사례가 발생할 확률을 나는 70% 이상으로 본다.

중기적으로 가장 흥미로운 시나리오는 '규제 경쟁(regulatory competition)'의 심화다. EU가 AI 규제를 완화하면 미국, 영국, 일본도 자국 규제를 재검토할 인센티브가 생긴다. 실제로 미국 Trump 행정부는 2025년 12월 AI 집행 유예와 주별 AI 입법 제한을 제안했고, 영국은 원칙 기반의 연성 규제를 표방하고 있다. Gartner에 따르면 2027년까지 35%의 국가가 지역 특화 AI 체계로 고착될 전망이며, 2030년까지 AI 규제가 세계 경제의 75%로 확대되면서 AI 거버넌스 준수 지출이 10억 달러를 돌파할 것이다. EU 완화는 글로벌 규제 하향 경쟁(race to the bottom)의 신호탄이 될 수 있다. 나는 2028년까지 최소 2개 주요국이 포괄적 AI 규제법을 제정할 것으로 보며, 그 과정에서 EU AI Act가 참고는 되되 "모범 사례"로 인용되지는 못할 것이라 본다. EU의 글로벌 AI 투자 비중이 현재 4%(Stanford HAI 기준)에서 점진적으로 늘어날 수 있지만, 미국이 글로벌 VC의 83%를 차지하고 빅테크 4사가 AI 인프라에만 연간 7,250억 달러를 투입하는 상황에서 그 격차를 좁히기엔 역부족이다. EU InvestAI가 2030년까지 2,000억 유로를 목표로 하고 있고 4~5개 AI 기가팩토리(각 10만 개 AI 칩)를 2027~2028년에 가동할 계획이지만, 빅테크 4사의 1년치 AI 지출과 비교하면 5년 투자 목표가 오히려 초라해 보인다.

2~5년 뒤인 2028년에서 2031년까지의 장기 전망은 훨씬 더 불확실하지만, 몇 가지 구조적 흐름은 이미 보인다. 가장 중요한 건 AI 규제의 패러다임 자체가 바뀔 수밖에 없다는 점이다. 지금처럼 "AI 시스템을 카테고리별로 분류하고 사전에 규제한다"는 접근은 기술 발전 속도 앞에서 구조적으로 실패할 수밖에 없다. 2028년쯤이면 범용 AI 시스템의 능력이 고위험 대 저위험이라는 분류 체계 자체를 무의미하게 만들 가능성이 높다. 하나의 모델이 의료 진단, 법률 자문, 채용 평가, 크리에이티브 작업을 모두 수행하는 상황에서 어떤 카테고리에 넣겠는가? McKinsey가 추산한 유럽 AI 주권의 연간 4,800억 유로 잠재 가치는 "규제가 혁신을 가로막지 않아야" 실현 가능한 수치다. EU는 결국 '시스템 기반 규제'에서 '결과 기반 규제'로 전환해야 할 것이다. 나는 2029년까지 EU AI Act의 두 번째 대규모 개정, 어쩌면 사실상의 전면 재작성이 불가피하다고 본다.

장기적으로 더 근본적인 질문은 "국가 단위의 AI 규제가 과연 가능한가"이다. AI는 국경을 모른다. 유럽에서 규제하면 기업이 미국 서버에서 서비스하면 그만이다. 2030년까지 AI 서비스의 60% 이상이 클라우드 기반으로 제공될 것이고, 물리적 위치 기반 규제의 효력은 계속 약화될 수밖에 없다. European Business Review가 지적한 대로, 기업들이 단일 글로벌 제품 대신 관할권별 제품 분리를 선택하면서 브뤼셀 효과의 원천인 "높은 EU 기준의 글로벌 확산"이 약화되고 있다. EU가 Digital Omnibus로 스스로 기준을 낮추면 브뤼셀 효과의 근거 자체가 사라진다. 나는 궁극적으로 기후변화 대응의 파리협정처럼 AI 거버넌스의 글로벌 프레임워크가 필요할 것이라 본다. EU가 이 프레임워크의 주도권을 잡으려면 지금의 "과도하게 복잡한 규제를 만들고 빅테크 로비 앞에서 후퇴하는" 패턴을 깨야 한다. 대신 전 세계가 채택할 수 있는 단순하고 강력한 원칙, 예를 들어 AI 투명성 의무, 피해 발생 시 자동 배상 체계, 알고리즘 감사 의무 같은 것을 제시해야 한다. 유럽이 GDPR처럼 세계 표준을 다시 만들 수 있는 기회는 아직 남아있지만, 그 창은 빠르게 닫히고 있으며 2030년이면 완전히 닫힐 것이라 나는 본다.

시나리오별로 정리하면 이렇다. Bull 시나리오(확률 20%)에서는 EU가 이번 완화를 계기로 규제 체계를 전면 재설계해서 사후 책임 기반의 스마트한 규제 모델을 만들고 글로벌 표준이 된다. EU InvestAI의 2,000억 유로와 AI 기가팩토리가 계획대로 가동되면서 유럽 AI 투자 비중이 글로벌의 8~10%로 올라가고, McKinsey가 추산한 연간 4,800억 유로의 AI 주권 가치가 70% 이상 실현된다. 유럽이 미국-중국 양강 구도에 진정한 제3의 축으로 부상하는 시나리오다. Base 시나리오(확률 55%)에서는 현 합의대로 시행되지만 AI 사무소의 집행이 미약해서 실질적 효과는 제한적이다. 유럽 AI 시장은 연평균 33% 성장을 유지하지만 미국과 중국과의 절대 격차는 유지된다. GDPR 제88조c는 법원과 EDPB 해석을 통해 점진적으로 명확화되고, 2029년에 또 한 번의 대규모 개정 논의가 시작된다. Bear 시나리오(확률 25%)에서는 제88조c에 대한 법적 도전이 성공하고 대형 AI 사고가 터지면서 EU가 규제를 급격히 강화하는 방향으로 선회한다. 유럽 AI 스타트업의 미국 이전이 현재 25%에서 40% 이상으로 가속화되고, 글로벌 VC의 유럽 배분 비율이 더 줄어든다. 브뤼셀 효과는 완전히 사라지고 유럽이 AI의 "규제만 하는 대륙"으로 전락하는 최악의 시나리오다.

내 전망이 틀릴 수 있는 조건도 솔직히 짚어둔다. 만약 빅테크가 이번 완화를 기회로 유럽 시민의 개인정보를 대규모로 침해하는 사건이 2026년 하반기에 터진다면, 정치적 반발이 걷잡을 수 없이 커져서 합의 자체가 뒤집힐 수 있다. 캠브리지 애널리티카 스캔들이 GDPR 강화의 정치적 동력을 제공했던 것처럼, AI판 대규모 개인정보 유출 사건이 규제 강화의 방아쇠가 될 수 있다. 독자들에게 제언하자면, AI 규제의 "강화냐 완화냐" 프레임에 갇히지 말고 "누구를 위한 규제인가"를 따져보길 바란다. 스타트업 창업자라면 SME 간소화 혜택(직원 750명 이하, 연매출 1.5억 유로 이하)을 적극 활용하되 2027년 12월 데드라인은 반드시 로드맵에 반영해야 한다. 투자자라면 유럽 AI 섹터의 비중을 점진적으로 늘리되 제88조c 관련 법적 리스크를 헤지하는 게 현명하다. 시민이라면 자신의 데이터가 AI 학습에 사용되는 범위를 직접 확인하고, 옵트아웃 권리를 적극 행사해야 한다. 결국 규제가 아니라 시민의 자각과 행동이 최후의 방어선이다.