AI 거버넌스, 네 갈래로 갈라진 길

EU 의 모델은 단순하다. AI 시스템을 위험 정도로 나누고, 위험이 클수록 의무도 무겁다. 사회 점수 매기기 같은 행위는 금지된다. 의료·고용·신용평가 같은 영역은 고위험 (high-risk) 으로 분류돼 적합성 평가·기술문서·사후 모니터링을 거쳐야 한다.

과징금은 GDPR (개인정보보호법) 보다 무겁다. 금지된 AI 행위 적발 시 최대 3,500만 유로 또는 전세계 매출의 7% 다 (출처: artificialintelligenceact.eu). GDPR 의 매출 4% 상한과 비교하면, EU 는 데이터 자체보다 AI 의 잘못된 사용에 더 큰 가격표를 붙였다. 의지의 강도를 보여주는 신호다.

범용 AI (GPAI, General Purpose AI) 모델에는 별도 의무가 붙는다. 모델 카드, 학습데이터의 저작권 요약, 기술문서 보관이 2025년 8월부터 시행 중이다. 학습 컴퓨트가 10^25 FLOPs 를 넘는 모델은 시스템 리스크 사업자로 분류돼 적대적 테스트 (red-teaming, 외부 연구자가 일부러 모델 약점을 찾는 절차) · 사고 보고 · 에너지 효율 공시까지 요구받는다.

진짜 시험대는 2026년 8월 2일이다. 이날 EU AI Office 가 본격 과징금 부과권을 갖는다. 그동안 발효된 의무가 종이 위 규제로 끝날지, 실효 있는 집행으로 갈지는 첫 제재 사례가 결정한다. 'EU 가 글로벌 표준을 만든다' 는 브뤼셀 효과 (Brussels Effect) 의 운명도 여기서 갈린다.

미국이 가는 길은 정반대다. 시장과 자율을 우선하되, 그 시장이 50개 주(州) 로 갈라지는 것은 막는다. 핵심 도구는 두 개의 행정명령이다.

2025년 1월 23일, 트럼프 행정부는 행정명령 14179 로 바이든의 AI 행정명령(2023-10) 을 폐지했다. 의무화된 안전 평가 보고가 사라지고, 자율적 산업 가이드라인 중심으로 재편됐다. 그러고는 12월 11일 행정명령 14365 가 나왔다. 이 명령은 주(州) 단위 AI 법을 '국가 정책 방해' 로 규정하고 두 가지 무기를 동원한다. 첫째는 법무부의 AI 소송 태스크포스다. 둘째는 광대역 보조금 BEAD (Broadband Equity, Access and Deployment) 의 연동이다. 420억 달러 규모의 보조금을 받으려면 주가 자체 AI 규제를 폐지해야 한다 (출처: whitehouse.gov).

왜 이런 구조인가. 미국의 헌법 구조상 연방이 주의 입법권을 직접 무효화하기는 어렵다. 그래서 보조금이라는 우회로를 통해 사실상의 무효화를 시도하는 것이다. 2026년 3월 11일에는 상무부의 주법 검토 보고서가 공개된다. 이때 어느 주가 첫 표적이 되는지 드러난다.

그러나 이 모델에는 빈자리가 있다. 시스템 리스크 — 거대 모델의 오작동이 금융·전력·의료를 동시에 흔들 위험 — 에 대한 연방 차원의 강제 평가는 사라졌다. 산업이 자율로 안전을 만들 수 있다는 가설은 검증되지 않았다. 미국 안에서도 AI OVERWATCH Act (2026-01-21 하원 외교위 42-2 가결) 같이 의회 차원에서 칩 수출만큼은 강한 통제를 요구하는 흐름이 동시에 진행된다. 행정부의 시장 자율 노선과 의회의 안보 통제 노선이 한 정부 안에서 평행으로 달린다.

중국과 한국은 같은 동아시아에 있지만 완전히 다른 길을 골랐다. 중국은 강한 사전 통제를, 한국은 EU 식 위험 기반 모델의 약화 버전을 택했다.

중국의 AI 거버넌스는 알고리즘 등록제 (2021), 생성형 AI 잠정조치 (2023-08), 라벨링 규정 (2025-09 시행), 사이버보안법 개정 (2026-01-01) 으로 이어진다. 라벨링은 본문 워터마크와 메타데이터를 의무화한다. 누가 만든 콘텐츠인지를 국가가 추적할 수 있도록 한다는 뜻이다. 동시에 30종의 AI 국가표준이 발표됐고 84종이 개발 중이다 (2025-09 / SAMR (국가시장감독관리총국) 기준).

핵심은 인센티브의 결합이다. 중국 모델은 단순한 사전 검열이 아니다. 등록·라벨링을 따르는 기업에는 보조금·조달·표준 참여 같은 보상이 따른다. 통제가 비용이 아니라 시장 진입권의 일부가 되는 설계다.

한국은 절충을 택했다. 2025년 1월 22일에 공포된 AI 기본법 (인공지능 발전과 신뢰 기반 조성 등에 관한 기본법) 은 EU 의 위험 등급제를 본떠 '고영향 AI' 11개 분야 — 에너지·의료·교통·금융·공공 등 — 를 지정한다. 다만 시행은 1년 뒤인 2026년 1월 22일이고, 과태료에는 최소 1년의 계도기간을 둔다 (2027-01-22 까지). 인명 사고나 인권 침해는 즉시 조사할 수 있지만, 일반적인 의무 위반은 1년 동안 사실상 면벌이다.

해외 빅테크에는 국내 대리인 지정 의무가 붙었다. EU 의 GDPR 식 발상이다. 한국은 EU 의 골격을 가져오되 산업 충격을 줄이려 속도를 늦췄다. 단 이 절충에는 위험이 있다. 계도기간이 끝나는 시점이 EU 의 본격 집행 시기와 맞물리면, 한국 기업은 두 권역의 의무를 동시에 처리해야 한다.

규제가 입법으로 갈라졌다면, 컴퓨트는 수출 통제로 갈라졌다. 미국 상무부 산업안보국 BIS (Bureau of Industry and Security) 의 칩 통제는 AI 거버넌스의 또 다른 축이다.

2026년 1월 15일, BIS 는 H200·MI325X 의 대중 수출을 '사안별 심사' 로 전환했다. 종전 한도와 비교하면 허용 컴퓨트가 13배 확대됐다 (2026-01 기준 / 출처: introl.com). 그러나 Blackwell 세대 — B200, GB200, GB300 — 는 여전히 'presumption of denial' 즉 사실상 금지 상태다. 같은 GPU 라도 세대에 따라 통과와 차단이 갈린다 (아래 차트).

그 사이 의회는 다른 방향으로 움직인다. 2026년 1월 21일 하원 외교위가 AI OVERWATCH Act 를 42 대 2 로 가결했다. 통과되면 Blackwell 의 대중 수출은 2년간 전면 금수가 되고, 향후 행정부가 완화하더라도 의회 거부권이 작동한다. 행정부가 푸는 만큼 의회가 묶는 평행 동학이 굳어지고 있다.

수치로 보면 그림이 더 명확하다. CFR (미 외교협회) 의 추정에 따르면 H200 1백만 장이 중국에 들어가면 중국의 AI 컴퓨트 가용량이 국산 칩만 의존했을 때 대비 250% 늘어난다 (출처: cfr.org). 이 숫자가 의회의 OVERWATCH 동력이다. 풀어주면 후발주자가 따라잡고, 잡으면 단기 매출이 죽는다.

결과는 단순하다. 다국적 기업은 권역별로 다른 칩·다른 모델·다른 데이터로 학습해야 한다. 같은 회사의 미국 모델과 중국 모델이 다른 능력을 갖는 시대가 왔다. 'AI 단일 시장' 이라는 표현은 이미 성립하지 않는다.

지금까지가 진단이라면, 여기부터는 전망이다. 4대 권역의 분기가 굳어질지, 다시 수렴할지를 결정하는 변수는 세 가지다.

첫째, EU AI Office 의 첫 집행 강도.

둘째, 미국 의회와 행정부의 AI·칩 정책 충돌.

셋째, 중국이 자국 칩으로 첨단 모델을 학습할 수 있는가. 이 세 변수의 조합이 네 가지 시나리오를 만든다 (아래 차트).

시나리오 A — 브뤼셀 효과의 부분 확산 (확률 30%). EU 가 8월 이후 강한 첫 제재를 내고, 미국 내에서도 의회가 OVERWATCH 류 법안을 통과시킨다. 한국·브라질·싱가포르 같은 미들파워가 EU 식 골격을 채택한다. 단 미·중은 자기 길을 간다. 보편 규범이 아니라 '서방 표준' 이 만들어진다.

시나리오 B — 시장 자율의 승리 (확률 20%). EU 의 첫 제재가 가벼운 행정 조치로 끝나거나 법원에서 후퇴한다. 미국이 BEAD 압박으로 주(州) 규제 무효화에 성공한다. 산업이 자율적 안전 표준을 만들면서 'EU 식 빗장은 비용만 키운다' 는 서사가 굳어진다. 한국은 계도기간 연장을 검토하게 된다.

시나리오 C — 양극 분단의 고착 (확률 35%). 미·중 칩 통제가 더 강해지고, 중국이 화웨이 Ascend 등 국산 칩으로 사실상의 자급을 달성한다. 다국적 기업이 권역별 별도 스택을 영구적으로 운영한다. EU·한국은 둘 사이에서 비용을 떠안는다. 본 보고서가 보는 가장 가능성 높은 경로다.

시나리오 D — 위기 통합 (확률 15%). 거대 모델 사고 — 의료·금융·전력에 동시에 영향을 주는 사건 — 가 한 차례 발생한다. 그 충격으로 4권역이 GPAI 시스템 리스크 의무에 한해서는 공통 규범을 합의한다. 칩 통제는 그대로지만, 안전 평가 영역은 수렴한다. 가능성은 낮으나 부정할 수 없다.

모든 시나리오에는 패배한 입장이 있다. 본 보고서가 봉합하지 않은 모순들을 정리한다.

첫 번째 모순은 브뤼셀 효과의 운명이다. EU 식 모델이 글로벌 표준이 된다는 입장은 GDPR 의 전례에 기댄다. 반대 입장은 미·중 양극화 속에서 보편 규범은 불가능하며, EU 모델은 EU 와 그 영향권 안에서만 작동한다고 본다. 본 보고서는 후자에 무게를 싣는다. 단 EU 의 첫 제재가 글로벌 빅테크 (예: OpenAI · Google · Anthropic) 본사에 직접 닿는 경우, 전자가 살아난다.

두 번째 모순은 칩 통제의 효과성이다. 한쪽은 통제가 실제로 중국의 첨단 컴퓨트 진전을 5년 이상 늦췄다고 본다. 다른 한쪽은 클라우드 우회·중고 시장·화웨이 Ascend 자국화 라는 세 갈래 우회로 통제가 사실상 실효를 잃었다고 본다. 본 보고서는 둘 다 부분적으로 맞다고 본다. 통제는 학습 (training) 은 늦췄으되 추론 (inference, 학습된 모델로 실제 서비스를 돌리는 단계) 에는 별 효과가 없었다.

세 번째 모순은 시장 자율의 충분성이다. 미국 행정부의 가설은 산업이 자율로 안전을 만들 수 있다는 것이다. 반대 가설은 시스템 리스크는 외부 강제 없이 해결되지 않으며, 첫 사고가 일어날 때 그 비용은 사회가 떠안는다는 것이다. 의회의 OVERWATCH 흐름은 행정부 가설에 대한 자국 안에서의 반대 표결로도 읽힌다.

네 번째 미해결은 한국의 위치다. 한국은 EU 의 빗장을 빌렸지만 산업 구조는 미국·중국에 더 의존한다. 계도기간이 끝나는 2027년 1월, 한국은 두 가지 선택을 마주한다. EU 식 집행을 본격화해 글로벌 거래 비용을 받아들이거나, 계도기간을 연장해 산업 충격을 미루는 길이다. 어느 쪽이든 비용이 따른다.

10년 후의 풍경은 지금 결정되지 않는다. 단 결정의 첫 신호들이 2026년 안에 나타난다. 다음 절의 감시 신호가 그 첫 시험대다.