- EU AI Act의 고위험 시스템 마감일은 2026년 8월 2일 — 5개월 남음 — 이며 벌금은 최대 3,500만 유로 또는 전 세계 매출의 7%
- Colorado의 AI법은 2월 1일부로 이미 시행 중이며, 채용, 대출, 보험 AI에 대한 영향 평가 요구
- Trump 행정부는 AI 규제와 관련해 주를 고소하기 위한 DOJ 태스크포스를 만들었지만 — 아직 아무것도 제소하지 않아, 주법은 유효
- 73%의 엔터프라이즈가 모르는 사이에 적어도 하나의 활성 또는 대기 중 AI 규제에 비준수
- 미중 AI 경쟁은 근본적으로 전환 — DeepSeek과 ByteDance의 DAPO가 수출 통제가 항복이 아닌 효율성 혁신을 이끈다는 것을 입증
2026년에 엔터프라이즈 IT 조직을 운영 중이고 아직 AI 거버넌스 기능을 구축하지 않았다면, 시간이 빠르게 닫히고 있습니다.
이것은 흔한 “규제가 온다"는 안절부절이 아닙니다. EU AI Act의 고위험 조항이 8월에 활성화됩니다. Colorado의 포괄적 AI법은 6주 전에 시행되었습니다. 연방 기관은 이미 AI 워싱과 알고리즘 차별에 대해 벌금을 부과하고 있습니다. 그리고 미중 간의 지정학적 경쟁은 모델을 어디에 배포할 수 있는지, 누구의 칩을 살 수 있는지, 어느 데이터가 어느 국가에 머무는지를 재형성하고 있습니다.
전체 그림 — 무슨 일이 일어나고 있고, 무엇이 오고, 그것에 대해 무엇을 해야 하는지 — 을 살펴봅니다.
규제 환경: 3가지 철학, 하나의 컴플라이언스 문제
세계의 3대 주요 AI 규제 블록이 근본적으로 다른 접근 방식을 선택했으며, 조직이 이 중 어느 두 곳에서든 운영된다면 이미 컴플라이언스 매트릭스 안에 살고 있는 것입니다.
EU: 규범적이고 영토 외 적용
EU AI Act는 지구상에서 가장 야심 찬 AI 규제이며, 더 이상 이론적이지 않습니다. 금지된 관행 — 사회 점수, 조작적 AI, 표적화되지 않은 안면 인식 스크래핑 — 은 2025년 2월에 금지되었습니다. GPAI 모델 의무는 작년 8월에 시행되었습니다. 큰 이정표는 2026년 8월 2일, 고위험 AI 시스템 의무가 완전히 활성화되고 집행 권한이 살아나는 때입니다.
고위험은 엔터프라이즈에 가장 중요한 사용 사례를 다룹니다: 채용, 신용 평점, 교육, 의료, 법 집행, 핵심 인프라의 AI. 이 범주 중 어느 곳에서 AI를 배포하고 EU 고객이나 시민에게 서비스한다면, 위험 관리 시스템, 기술 문서, 편향 테스트, 인간 감시 메커니즘, 적합성 평가 — 모두 문서화되고 감사 가능해야 합니다.
벌금 프레임워크는 GDPR 규모입니다: 금지된 AI 배포 시 3,500만 유로 또는 전 세계 연간 매출의 7%, 고위험 비준수 시 1,500만 유로 또는 3%.
GDPR처럼 이 법은 영토 외로 적용됩니다. AI 시스템이 EU 영토에 닿으면, 회사 본사 위치와 관계없이 범위 내에 있습니다.
미국: 혁신 우선, 빠르게 분열
미국에는 포괄적 연방 AI 입법이 없습니다. 대신, 컴플라이언스 패치워크를 만드는 3개 층의 규제 활동이 있습니다:
연방 행정 조치: Trump 행정부는 2025년 1월 Biden의 신중한 AI 행정명령을 철회했고, 12월에 주법에 이의를 제기하기 위한 DOJ AI 소송 태스크포스를 설립하고, 상무부에 “부담스러운” 주 규제를 식별하도록 지시하며, 약 210억 달러의 BEAD 광대역 자금을 주가 상충하는 AI법을 유지하지 않는 조건으로 조건화하는 명령으로 에스컬레이션했습니다. 명시된 목표: “최소한의 부담을 갖는 국가 정책 프레임워크를 통한 글로벌 AI 지배력.”
연방 기관 집행: SEC는 “AI 워싱” — 투자자 자료의 거짓 AI 역량 주장 — 으로 기업에 벌금을 부과하고 있습니다. EEOC는 편향이 서드파티 벤더 도구에서 오더라도 AI 채용 차별을 집행하고 있습니다. FDA는 AI 의료 기기에 대한 승인을 요구합니다. FTC는 소비자 보호법하에 알고리즘 차별을 추구하고 있습니다. CFPB는 AI 신용 모델이 공정 대출 법규를 준수해야 한다고 경고합니다. 이 기관들은 의회를 기다리지 않습니다.
주 입법: 실제 행동은 여기 있습니다. 2025년 한 해에만 100개 이상의 주 AI법이 제정되었고, 2026년 1분기는 폭발적이었습니다:
- Colorado SB 205(2026년 2월 1일 시행) — “중대한 결정"에서 AI에 대한 영향 평가, 소비자 통지, 옵트아웃 메커니즘, 감사 추적을 요구하는 최초의 포괄적 주 AI법
- Oregon, Washington, Virginia, Utah, Florida — 모두 2026년 회기에서 AI 법안을 통과시키거나 진전시킴
- Illinois은 챗봇을 엄격 책임 제품으로 지정하는 법안을 포함하여 15개 이상의 활성 AI 법안 보유
- Texas TRAIGA는 생체 식별과 사회 점수를 위한 정부 AI 사용 제한
- New York RAISE Act(2027년 시행)는 프론티어 모델 개발자에게 광범위한 안전 보고 요구
핵심 긴장: 연방 정부는 소송과 자금 압박을 통해 주법을 선점하려 하지만, 아직 제소된 소송은 없습니다. 기업은 오늘 기존 주법을 준수하면서 해결에 수개월 또는 수년이 걸릴 수 있는 연방 도전을 주시해야 합니다.
중국: 통제되지만 경쟁적
중국은 알고리즘, 생성형 AI, 딥페이크, 데이터 보안을 다루는 표적 규칙을 통해 AI를 규제합니다 — 모두 사회 안정, 콘텐츠 통제, 국가 정렬을 강조합니다. 엔터프라이즈 IT 리더에게 진짜 이야기는 중국의 국내 규제가 아닙니다. 중국의 AI 생태계가 만들어내는 경쟁 압력입니다.
지정학적 차원: 수출 통제가 계획대로 작동하지 않는 이유
미국은 중국의 첨단 AI 칩 접근을 제한하면 결정적 기술 우위를 유지할 수 있을 것이라 베했습니다. 그 베팅은 워싱턴이 기대한 대로 지불되지 않았습니다.
DeepSeek의 스푸트니크 순간
DeepSeek, 헤지펀드 High-Flyer에서 분사된 중국 AI 연구소,는 2025년 1월 MIT 라이선스로 R1 모델을 발표했습니다. GPT-4와 o1 성능에 맞먹었으며 — 약 600만 달러에 훈련되었습니다, GPT-4의 보고된 1억 달러와 비교해, Meta의 비교 가능한 Llama 3.1 훈련의 10분의 1 컴퓨팅으로 더 오래된 수출 규정 준수 칩을 사용했습니다.
시장 반응은 즉각적이었습니다: Nvidia는 단 하루 만에 6,000억 달러의 시장 가치를 잃었습니다 — 미국 역사상 단일 기업 최대 주가 하락. DeepSeek은 미국에서 가장 많이 다운로드된 iOS 앱으로 ChatGPT를 잠깐 추월했습니다.
교훈: 칩 제한은 진행을 멈추기보다 중국을 알고리즘 효율성 혁신으로 이끌었습니다. 그리고 MIT 라이선스로 모델 가중치를 오픈소싱함으로써, DeepSeek은 자사 모델을 무역 정책을 통해 본질적으로 통제 불가능하게 만들었습니다.
ByteDance의 DAPO: 정렬 비법 소스를 오픈소싱하다
ByteDance — 그렇습니다, TikTok 모회사 — 는 DeepSeek의 훈련 접근 방식을 개선하는 오픈소스 강화 학습 프레임워크 DAPO(Decoupled Clip and Dynamic Sampling Policy Optimization)를 발표했습니다. 기술적 개선은 중대합니다: clip-higher 제거를 통한 엔트로피 붕괴 제거, 동적 샘플링을 통한 “학습 프론티어"에 훈련 컴퓨팅 집중, 그리고 토큰 수준 정책 그래디언트 손실을 통한 더 세밀한 최적화.
DAPO를 오픈소싱함으로써(코드와 훈련 레시피는 GitHub), ByteDance는 글로벌 개발자 생태계 충성도를 구축하면서 중국 AI 연구가 강화 학습에서 — 추종이 아닌 — 선도하고 있음을 입증합니다. Alibaba의 Qwen 시리즈와 다른 중국 오픈 가중치 모델과 결합하면, 오픈소스 RL 생태계는 OpenAI와 Anthropic의 독점적 접근 방식과의 격차를 빠르게 좁히고 있습니다.
엔터프라이즈에 대한 의미: 멀티 모델 전략은 더 이상 비용 최적화만이 아닙니다. 지리적 제한, 주권 요구 사항, 그리고 프론티어급 오픈 모델이 이제 여러 국가에서 존재한다는 현실은 아키텍처적 유연성이 필요하다는 것을 의미합니다. 단일 제공자 또는 단일 국가의 AI 생태계에 고정되는 것은 실재하는 지정학적 위험을 수반합니다.
데이터 주권: 국경 없는 AI의 종말
어디서든 어떤 데이터로든 AI 모델을 훈련하고 배포하던 시대는 끝났습니다. 데이터 주권이 AI 배포 아키텍처의 주요 동력이 되었으며, 더 비싸지고 있습니다.
숫자가 말해줍니다:
- IDC는 2028년까지 **다국적 기업의 60%**가 주권 영역에 걸쳐 AI 스택을 분할하여, 통합 비용을 3배로 늘릴 것으로 예측
- 지정학적 사건으로 인해 이제 **조직의 63%**가 주권 클라우드 서비스 채택 가능성이 더 높음
- Forrester는 G20 국가의 절반이 공공 부문 서비스를 위해 국내 튜닝된 AI 모델을 의무화할 것으로 예측
AWS는 2026년 1월 독일 브란덴부르크에서 유럽 주권 클라우드를 시작했습니다 — 기존 리전과 물리적, 논리적으로 분리되며, 78억 유로의 계획된 투자. GAIA-X는 400개 이상의 인증된 주권 클라우드 제공자에 도달했습니다. “주권 AI 스택"은 더 이상 개념이 아닙니다; 인프라입니다.
실질적 영향: 모델이 어디서 훈련되었는지, 추론이 어디서 일어나는지, 데이터가 어디서 국경을 넘는지, 그리고 모델 제공자가 특정 지리를 서비스할 수 있는지조차 알아야 합니다. 오픈 가중치 모델(Llama, DeepSeek, Mistral)은 지리적 유연성을 제공하지만 모든 보안과 컴플라이언스 책임을 당신에게 이동시킵니다. 독점 모델은 운영 풋프린트와 정렬되지 않을 수 있는 지리적 제한이 따릅니다.
AI 이니셔티브의 36%만이 실제로 주권 접근을 필요로 합니다(Accenture에 따라) — 하지만 어느 36%인지 식별하는 것이 도전입니다.
AI 보안: 전통적 AppSec을 넘어서
보안 팀이 AI 시스템을 일반 애플리케이션처럼 취급하고 있다면, 노출되어 있는 것입니다. AI는 기존 보안 프로그램이 다루지 않는 새로운 공격 표면을 도입합니다.
표준 스택
NIST AI RMF 1.0은 미국의 기준선 — Govern, Map, Measure, Manage — 이지만 현재 행정부의 탈규제 태세 하에서의 미래는 불확실합니다.
ISO/IEC 42001:2023이 인증 가능한 거버넌스 벤치마크가 되어가고 있습니다. 금융 서비스, 의료, 정부에서 채택이 가속화되고 있습니다. 인증을 추구하는 조직은 동시에 EU AI Act 컴플라이언스에 필요한 문서를 구축하고 있습니다 — 일석이조 투자를 만듭니다.
OWASP Top 10 for LLM Applications은 AI 특정 취약점을 다룹니다: 프롬프트 인젝션, 훈련 데이터 중독, 모델 아티팩트에 대한 공급망 공격, AI 에이전트의 과도한 에이전시, 민감 정보 공개. 조직이 도구 사용 역량을 가진 AI 에이전트를 배포함에 따라, 공급망, 안전하지 않은 플러그인, 과도한 에이전시 위험이 결정적이 됩니다.
MITRE ATLAS는 위협 모델링 프레임워크를 제공합니다 — AI 시스템을 표적으로 하는 적대자 전술과 기술, ATT&CK처럼 구조화. 레드 팀이 이를 사용해야 합니다.
AI 공급망: 대두되는 위험
AI 공급망은 대부분 검증되지 않았습니다. Hugging Face는 500,000개 이상의 모델을 호스팅합니다. 오픈 가중치 모델 채택이 급증하고 있습니다. 위험:
- 공용 저장소에 백도어가 내장된 중독된 모델
- 손상된 패키지를 끌어오는 AI 파이프라인의 의존성 혼란
- 편향이나 취약점을 도입하는 서드파티 파인튜닝
- 제재된 관할권에서 유래한 모델 배포의 지정학적 노출
“AI Bill of Materials” 개념이 대두되고 있습니다 — 소프트웨어를 위한 SBOM과 유사 — 베이스 모델, 훈련 데이터, 파인튜닝 데이터셋, 의존성, 배포 구성을 카탈로그화. 연방 의무화는 아직 없지만, ISO 42001 인증 프로세스는 사실상 이것을 요구합니다.
저작권: 1,000억 달러 질문
AI가 저작권 데이터로 훈련되는 것이 공정 사용에 해당하는지 — 근본적 법률 질문 — 는 미해결 상태입니다. 주요 사례(NYT v. OpenAI, Authors Guild v. OpenAI, Getty v. Stability AI)는 모두 활성 소송 중이며, 2027년 이전에 결정적 항소 판결은 예상되지 않습니다.
해결된 것: 순수 AI 생성 작품은 미국에서 저작권을 가질 수 없습니다. 인간 저작이 필요합니다. AI 보조 작품 — 인간의 창조적 표현이 명확한 — 은 가능합니다.
미해결된 것: 훈련 데이터에 관한 모든 것. NYT 사례는 판례적 판결을 낳을 것으로 널리 예상됩니다. 결과는 AI 회사가 의존하는 “변형적 사용” 주장을 검증하거나, 전체 산업의 경제를 재형성할 수 있는 대규모 라이선스 의무를 만들 것입니다.
지금의 실용적 단계: AI 벤더에게 저작권 면책을 요구하세요. 훈련 데이터 출처를 평가하세요. 의회가 행동하지 않은 곳에서 주 수준의 출처 요구를 만들고 있는 Illinois AI Provenance Data Act와 Arizona SB 1786을 주시하세요.
딥페이크: 가장 빠르게 움직이는 규제 전선
딥페이크 규제는 주 수준에서 급증: Utah, Washington, Hawaii, Maryland, Missouri, California, Nebraska 등이 2025-2026년에 딥페이크 법안을 통과시키거나 진전시켰습니다. 초점 영역: 선거 무결성, 아동 보호(CSAM 특정 범죄화), 초상권, 광고 공개.
포괄적 연방 딥페이크법은 없지만, 의무적 출처 메타데이터를 향한 추세가 명확해지고 있습니다. AI 콘텐츠를 생성하는 조직은 지금 C2PA(Coalition for Content Provenance and Authenticity) 프레임워크에 투자해야 합니다 — 이것은 기술 표준 요구사항을 향해가고 있습니다.
부문별 규칙: 의료, 금융, 에너지, 고용
규제 산업에 있다면, 컴플라이언스 층은 곱셈적입니다:
의료: FDA는 1,200개 이상의 AI 의료 기기를 승인했습니다. CMS는 보장 결정을 위해 알고리즘 추천에 대한 인간 판단을 요구합니다. 건강 보험 청구를 위해 인간 결정권자를 요구하는 주가 증가하고 있습니다.
금융 서비스: EU DORA는 모든 금융 기관에 대해 ICT 위험 관리와 사건 보고 — AI 실패 포함 — 를 의무화합니다. 주요 AI 제공자는 Critical Third-Party Provider로서 직접 DORA 감독 하에 올 수 있습니다. CFPB는 AI 신용 모델이 공정 대출 법규를 준수해야 한다고 경고합니다. AI를 사용하는 금융 기관의 40% 미만만이 포괄적 편향 탐지를 갖추고 있습니다.
에너지: AI-에너지 연계는 실재 — 2030년까지 새로운 국내 에너지 수요의 25%가 데이터 센터에서 올 것입니다. 연방 허가는 여러 법(SPEED, ePermit, PERMIT)을 통해 간소화되고 있습니다. 환경 책임 입법이 Missouri와 Tennessee에서 대두되고 있습니다.
고용: NYC Local Law 144는 자동화된 채용 도구에 대한 연례 편향 감사를 요구합니다. Colorado SB 205는 AI 채용을 “중대한 결정"으로 취급합니다. California는 고용주 통지 요구를 진전시키고 있습니다. EEOC는 36만 5천 달러 이상의 합의금으로 적극 집행 중입니다.
지금 해야 할 일
이번 분기
AI 인벤토리를 실행하세요. 조직의 모든 AI 시스템을 매핑하세요. EU AI Act 위험 프레임워크 하에서 각각을 분류하세요 — EU 기반이 아니더라도. 엔터프라이즈의 73%가 모르는 사이에 비준수 상태입니다.
Colorado SB 205를 평가하세요. 채용, 대출, 보험 또는 주택 결정에 AI를 사용한다면, 이 법은 지금 시행 중입니다. 영향 평가, 소비자 통지, 감사 추적이 의무입니다.
벤더 문서를 요구하세요. 훈련 데이터 출처, 저작권 컴플라이언스 표명, 모델 출처, AI Act 준비 문서. 벤더가 이것을 제공할 수 없다면, 그것은 위험 신호입니다.
AI 거버넌스 위원회를 구축하세요. 교차 기능적: 법무, IT, 보안, 위험, 사업 부문. 엔터프라이즈의 21%만이 성숙한 프레임워크를 갖추고 있습니다 — 앞서가는 것이 경쟁 우위입니다.
올해
멀티 모델 전략을 채택하세요. 한 제공자에 고정되지 마세요. 지리적 유연성을 위해 오픈 가중치 모델을 포함하세요. 필요한 곳에 주권 배포를 설계하세요.
ISO 42001 계획을 시작하세요. 인증은 EU AI Act 컴플라이언스에 필요한 문서와 프로세스를 동시에 구축합니다. 일석이조.
보안 프로그램에 AI를 통합하세요. AppSec 파이프라인에 OWASP LLM Top 10. 위협 모델링에 MITRE ATLAS. 표준 관행으로 AI 공급망 검증.
연방-주 충돌을 추적하세요. 상무부 평가, FTC 정책 성명, DOJ 태스크포스를 모니터하세요. 특정 주법이 도전되거나 유지되는 시나리오를 위한 비상 계획을 마련하세요.
전략적으로
처음부터 주권 AI를 설계하세요. IDC는 주권 영역에 걸쳐 AI 스택을 분할하는 것이 통합 비용을 3배로 늘릴 것이라 말합니다. 지금 이를 위해 아키텍처를 설계하세요, 나중에 개조하지 마세요.
AI 거버넌스를 위해 고용하세요. 편향 감사자, 공정성 전문가, 모델 위험 관리자. 2026년 8월이 다가오면서 인재 시장이 빡빡해집니다.
결론
2026년의 AI 거버넌스는 법적 미사여구가 아닙니다 — 확정적 마감일, 실제 벌금, 그리고 경쟁적 함의를 가진 운영 요구사항입니다. 지금 거버넌스 인프라를 구축하는 조직은 규제 시장에서 더 빠르게 움직이고, 스케일에서 더 낮은 컴플라이언스 비용을 직면하며, 분열하는 — 수렴하지 않는 — 지정학적 환경을 탐색할 아키텍처적 유연성을 갖게 될 것입니다.
성숙한 AI 거버넌스가 없는 79%의 엔터프라이즈는 위험과 기회를 모두 나타냅니다. 당신은 그 선의 어느 쪽에 있나요?
이 분석은 2026년 3월 18일 현재 규제 환경을 반영합니다. AI 규제는 모든 관할권에서 빠르게 진화하고 있습니다. 조직은 관할권별 컴플라이언스 가이드를 위해 자격을 갖춘 법률 자문과 상담해야 합니다.
이러한 주제 중 어느 것에 대한 더 깊은 탐구를 원하시면 Big Hat Group에 연락하세요 — 우리는 엔터프라이즈 IT 조직이 AI, 컴플라이언스, 인프라의 교차점을 탐색하도록 돕습니다.