AUCTORITAS LAB조국환 변호사팀상담 문의
홈›AI·디지털›최첨단·대규모 AI 안전성 확보 의무(제32조) — 누가 적용되고 무엇을 제출하나

AI·디지털

최첨단·대규모 AI 안전성 확보 의무(제32조) — 누가 적용되고 무엇을 제출하나

2026년 6월 24일·읽는 데 5분
목차
적용 대상은 3단계로 보아야 한다제출 대상은 단순 보고서가 아니다EU AI Act와 비교할 때 주의할 점사업자가 먼저 정리할 항목자주 묻는 질문

AI 기본법 제32조의 안전성 확보 의무는 모든 인공지능 서비스에 적용되는 일반 의무가 아니다. 학습에 사용된 누적 연산량, 적용 기술 수준, 사람의 생명·신체·기본권에 미칠 수 있는 위험도를 함께 보아 일정 기준을 넘는 인공지능시스템에 적용되는 별도 트랙이다.

이 의무는 흔히 "대규모 AI 규제"라고 부르지만, 현행 법령의 구조에서는 제32조의 인공지능 안전성 확보 의무로 보는 것이 정확하다. 사업자는 해당 시스템이 기준에 들어가는지 먼저 판단하고, 들어간다면 위험 식별·평가·완화와 위험관리체계 구축 결과를 과학기술정보통신부장관에게 제출할 준비를 해야 한다.

적용 대상은 3단계로 보아야 한다

시행령상 안전성 확보 의무 대상은 단순히 모델이 크다는 이유만으로 정해지지 않는다. 첫째, 학습에 사용된 누적 연산량이 10의 26승 부동소수점연산 이상이어야 한다. 둘째, 최첨단 인공지능기술을 적용해 구성·운영되는 시스템이어야 한다. 셋째, 위험도가 사람의 생명, 신체의 안전 및 기본권에 광범위하고 중대한 영향을 미칠 우려가 있어야 한다.

따라서 자체 서비스에 AI를 붙였다는 이유만으로 바로 제32조 대상이 되는 것은 아니다. 반대로 외부에 판매하지 않고 자사 내부에서만 쓰는 모델이라고 해서 무조건 제외되는 것도 아니다. 모델의 규모, 기술 수준, 위험도, 제공·운영 방식을 함께 검토해야 한다.

제출 대상은 단순 보고서가 아니다

제32조는 사업자가 인공지능 수명주기 전반에 걸친 위험을 식별·평가·완화해야 한다고 본다. 여기서 수명주기는 개발 단계만 뜻하지 않는다. 학습, 검증, 배포, 업데이트, 모니터링, 사고 대응까지 이어지는 전체 과정을 말한다.

또한 인공지능 관련 안전사고를 모니터링하고 대응하는 위험관리체계도 필요하다. 단순히 "모델 카드가 있다"거나 "내부 보안팀이 있다"는 정도로는 부족할 수 있다. 위험을 누가 식별하고, 어떤 기준으로 평가하며, 문제가 발견되면 어떤 절차로 수정·중단·통지할 것인지가 문서화되어야 한다.

EU AI Act와 비교할 때 주의할 점

이 주제는 EU AI Act의 범용 AI 또는 시스템 리스크 모델 규제와 함께 비교되는 경우가 많다. 다만 한국 AI 기본법은 EU AI Act와 같은 방식으로 "GPAI"라는 별도 개념을 중심에 두고 있지는 않다. 한국법상 판단 순서는 제32조의 안전성 확보 의무 대상 인공지능시스템인지, 그리고 시행령상 기준에 들어가는지다.

비교법적 설명은 도움이 되지만, 국내 사업자 검토에서는 한국 법령의 요건표가 먼저다. 특히 연산량 산정, 최첨단 기술 해당성, 기본권 영향 우려를 분리해 판단해야 한다.

사업자가 먼저 정리할 항목

첫째, 학습에 사용된 누적 연산량 산정 자료를 확보해야 한다. 둘째, 모델의 용도와 실제 영향 범위를 정리해야 한다. 셋째, 위험 식별·평가·완화 체계를 문서화해야 한다. 넷째, 사고 모니터링과 대응 책임자를 정해야 한다. 다섯째, 제출 대상 자료와 영업비밀 보호가 필요한 자료를 구분해야 한다.

이 순서가 잡히지 않으면 제출 시점이 다가와도 "우리 모델이 대상인지"부터 다시 논의하게 된다. 제32조 대응은 의무 발생 후 보고서를 쓰는 일이 아니라, 모델 운영 체계를 미리 정렬하는 작업에 가깝다.

자주 묻는 질문

10의 26승 FLOPs만 넘으면 무조건 적용되나요?

아니다. 누적 연산량 기준은 중요한 출발점이지만, 최첨단 인공지능기술 적용 여부와 생명·신체·기본권에 대한 광범위하고 중대한 영향 우려도 함께 보아야 한다.

모델 업데이트를 하면 다시 검토해야 하나요?

그렇다. 성능, 용도, 위험 범위가 달라지는 업데이트라면 기존 판단을 그대로 가져가기 어렵다. 업데이트 전후의 연산량, 기능, 위험관리 조치 변경 내역을 남겨야 한다.

자사 내부용 모델이면 제외되나요?

일률적으로 제외된다고 보기 어렵다. 내부용이라도 시스템 규모와 위험도가 기준에 들어갈 수 있으므로, 사용 범위와 영향 대상을 확인해야 한다.

제출 자료에 영업비밀이 포함되면 어떻게 하나요?

영업비밀 보호가 필요한 항목은 제출 전 별도 표시와 비공개 요청 가능성을 검토해야 한다. 다만 영업비밀이라는 이유만으로 위험관리체계 구축 자체를 생략할 수는 없다.

작성: 조국환 변호사팀 | AUCTORITAS LAB

AI기본법인공지능안전성제32조
AUCTORITAS LAB.
AUCTORITAS LAB.

공간 분쟁 연구소. 조국환변호사팀.

관련 아티클

이 글과 함께 읽으면 좋은 판례·실무

아티클 전체
AI·디지털AI·디지털

디지털의료제품법 이행으로 AI 기본법 의무가 갈음되는가 — 시행령 제27조·별표 1의 한계

의료 AI 사업자는 디지털의료제품법과 AI 기본법을 동시에 보게 된다. 이때 "디지털의료제품법을 따르면 AI 기본법 의무는 모두 끝난 것 아닌가"라는 질문이 자주 나온다. 결론부터 말하면, 일부 조치가 인정될 수는 있지만 전체 의무가 면제된다고 보기는 어렵다. 현행 A

AI기본법디지털의료제품법의료AIAUCTORITAS LAB.AUCTORITAS LAB.2026.06.25
AI·디지털AI·디지털

AI 기본법과 개인정보보호법, 어떻게 함께 적용되는가 — AI 고지와 개인정보 처리 근거의 분리

AI 서비스를 운영할 때 가장 많이 생기는 오해는 "AI 활용 사실을 고지했으니 개인정보 고지도 된 것"이라고 보는 것이다. 그러나 AI 기본법상 사전 고지·표시 의무와 개인정보보호법상 개인정보 처리 근거·고지·동의 체계는 서로 다른 의무다. 같은 화면에서 안내할 수는

AI기본법개인정보보호법사전고지AUCTORITAS LAB.AUCTORITAS LAB.2026.06.25
AI·디지털AI·디지털

AI 기본법 국내대리인 미지정 과태료 — 2,000만 원 개별기준과 이의제기 라인

해외 AI 사업자가 국내대리인 지정 대상인데도 국내대리인을 지정·신고하지 않으면 AI 기본법상 과태료 대상이 될 수 있습니다. 이때 법정 상한은 3천만 원 이하이지만, 현행 시행령 별표상 국내대리인 미지정의 개별 부과기준은 1차·2차·3차 이상 모두 2,000만 원입니

AI기본법국내대리인과태료AUCTORITAS LAB.AUCTORITAS LAB.2026.06.24
AUCTORITAS LAB

공간분쟁 전문 변호사팀이 직접 쓰는 판례·실무 저널. 공사대금·부동산·임대차 등 공간을 둘러싼 분쟁을 판례와 실무 기준으로 기록합니다.

공간을 둘러싼 분쟁, 법으로 풀어내다.

저널

홈집필진@auctoritas_journalfightingspirit.kr

문의

031-546-3997031-546-3998 (FAX)info@fightingspirit.kr경기도 수원시 영통구 광교중앙로 248번길 7-2 원희캐슬법조타운 B동 401호
© 2026 AUCTORITAS LAB. 본 저널의 글은 일반적 정보 제공을 목적으로 하며, 개별 사안에 대한 법률자문을 대체하지 않습니다.