Executive Summary
인공지능기본법(2026.1.22 시행)은 EU 이후 등장한 주요 국가 단위 AI 법제다. 진흥과 규제를 동시에 추구한다는 점에서 EU AI Act(규제 우선)·미국(규제 부재)·중국(통제 우선)과 구분된다. 핵심은 두 가지다: "고영향 AI" 의무(거버넌스·설명가능성·5년 문서보관)와 "생성형 AI" 투명성 의무(사전 고지·워터마크).
✅ 직접 수혜 시장 (1번)
투명성·워터마크 기술
마크애니 · 샌즈랩 · 딥브레인AI — 기존 업체 확장 가능
🔬 전문 시장 (2번)
고영향 AI 거버넌스·감사
컨설팅사·로펌·AI Safety 스타트업 — 초기 형성 중
단기 폭발 성장보다 중기 대응 시장에 가깝다. 과태료 최대 3천만원 + 계도기간 1년 이상으로 실질 제재는 2027년 이후 가능성이 높다.
핵심 배경 3가지: ① 생성형 AI 확산 → 피해 누적 ② EU AI Act 등 글로벌 규제 경쟁 ③ 기존 법률의 AI 대응 한계
| 국가 | 법·조치명 | 시행 | 접근 방식 | 핵심 특징 |
|---|---|---|---|---|
| 🇪🇺 EU | EU AI Act | 2024.8 | 규제 우선 | 위험도 4단계 분류. 사회신용점수제·대량 감시 금지. 고위험 AI 사전 등록·감사 의무. 브뤼셀 효과로 사실상 글로벌 표준 |
| 🇺🇸 미국 | 바이든 행정명령 → 폐지 | 2023→2025 폐지 | 혁신 우선 | 트럼프 취임 후 전면 폐지. 연방 규제 없음, 주 규제도 차단. "中과의 AI 패권 경쟁" 최우선 |
| 🇨🇳 중국 | 생성형 AI 관리 임시조치 | 2023.8 | 통제 우선 | 실명 인증 + 워터마크 의무화. "사회주의 핵심 가치관" 준수 명시. 발표 한 달 만에 즉시 시행 |
| 🇰🇷 한국 | 인공지능기본법 (제21311호) | 2026.1.22 | 진흥+규제 병행 | 고영향 AI 의무 + 생성형 AI 투명성 + 산업 육성 동시 추구. 규제와 진흥의 균형을 법문에 명시 |
⚠️ 핵심 포인트: AI를 직접 개발하지 않아도, 서비스에 활용하면 이용사업자 의무가 생길 수 있다.
| 의무 조항 | 적용 대상 | 핵심 내용 | 미이행 시 |
|---|---|---|---|
| 사전 고지 (제31조①) | 고영향·생성형 AI 사업자 | 이용자에게 AI 사용 사실 사전 고지 의무 | 과태료 3천만원↓ |
| AI 생성물 표시 (제31조②) | 생성형 AI 서비스 제공자 | AI 생성·활용 명시적 표시. 외부 반출 시 워터마크·메타데이터 적용 | 1차 500만 → 2차 1,000만 → 3차↑ 1,500만 |
| 딥페이크 표시 (제31조③) | 실제와 구분 어려운 콘텐츠 제공자 | 이용자가 명확히 인식할 수 있도록 가시적 워터마크 필수 | 동일 차등 과태료 |
| 고영향 AI 책무 (제34조) | 고영향 AI 사업자 | ① 위험관리방안 ② 설명가능성(XAI) 확보 ③ 이용자 보호 ④ 사람의 감독 ⑤ 문서 5년 보관 | 과태료 3천만원↓ |
| 고성능 AI 안전성 (제32조) | 10²⁶ FLOPs 이상 초거대 AI 개발사 | 위험 식별·평가·완화 이행 + 과기정통부에 결과 제출 | 과태료 3천만원↓ |
| 국내대리인 지정 (제36조) | 국내 주소 없는 해외 AI 사업자 | 총매출 1조↑ / AI매출 100억↑ / 일평균 이용자 100만↑ 중 하나면 국내대리인 서면 지정 필수 | 과태료 3천만원↓ |
🔍 개정 검토 중인 5가지: ① 배포자 정의 ② 딥페이크 범위 ③ FLOPs 기준 ④ 고영향 AI 범위 ⑤ 공공 영향평가 공개. 최신 고시·시행령 수시 확인 필요.
| # | 산업 분야 | 근거 조문 | 핵심 의무 | 수혜 솔루션 방향 | 수혜기업 | 수혜·규제 혼재 기업 |
|---|---|---|---|---|---|---|
| ① | 의료 AI 1순위 즉시 적용 |
제33조·제34조 | XAI 내장 필수·위험관리방안·5년 문서보관. 2026.1.24 즉시 적용 | 의료 AI 규정 준수 솔루션·XAI 진단 플랫폼 | — | 규제·수혜 혼재 의료 AI 개발사 (의무 이행 대상이자 전문 시장 성장 수혜) |
| ② | 금융·채용 AI | 제33조·제34조 | 채용·대출심사 AI = 고영향 AI 법정 지정. 설명가능성·이용자 보호·5년 보관 | 금융·채용 AI 컴플라이언스·XAI 스코어링 | — | 규제·수혜 혼재 금융·채용 AI 기업 (의무 이행 대상이자 컴플라이언스 시장 형성 수혜) |
| ③ | 에듀테크 | 제33조·제20조 | 유아·초중등 학생 평가 AI = 고영향 AI 명시. 취약계층 이용비용 지원 연계 | AI 학생 평가 플랫폼·디지털 격차 해소 솔루션 | — | 규제·수혜 혼재 에듀테크 기업 (의무 이행 대상이자 정책 지원 확대 수혜) |
| ④ | AI 투명성·워터마크 | 제31조 | AI 생성물 표시·딥페이크 가시적 워터마크·C2PA 권장 | 워터마크 SaaS·딥페이크 탐지·C2PA 인증 솔루션 | 순수 수혜 마크애니 샌즈랩 (페이크체크 3.0) 딥브레인AI |
— |
| ⑤ | AI 인프라·데이터센터 | 제25조·제23조 | AI 데이터센터 구축·운영 지원 국가 시책. AI 집적단지 지정 | AI 전용 IDC·GPU 클라우드·인프라 모니터링 | 순수 수혜 네이버클라우드 KT클라우드 NHN클라우드 |
— |
| ⑥ | AI 인증·컴플라이언스 | 제30조 | AI 안전성·신뢰성 검증·인증 체계 구축 지원 법제화 | AI 컴플라이언스 SaaS·고영향 AI 감사 서비스 | AI 전문 (순수 수혜) 에임인텔리전스 Protect AI → Palo Alto Networks에 인수 Lakera → Check Point에 인수 |
— |
| ⑦ | 리걸테크·컨설팅 | 제36조·제34조 | 해외 AI 기업 국내대리인 지정 법무. 글로벌 이중 규제(EU+한국) 대응 | AI 규제 컨설팅·법무 리테이너·국내대리인 서비스 | 순수 수혜 컨설팅 삼정KPMG · 딜로이트 PwC · EY 로펌김앤장 · 율촌 · 태평양 |
— |
|
📌 M&A 참고 — AI 보안 스타트업 인수 동향
Protect AI → Palo Alto Networks | 💰 약 $650M~700M 추정 (2025.7 완료, 공식 비공개) | AI 모델·에이전트 전체 라이프사이클 보안 플랫폼 Prisma AIRS 강화 목적. Prisma AIRS는 AI 개발부터 운영까지 전 단계의 취약점·위협을 탐지·차단하는 Palo Alto의 통합 AI 보안 플랫폼으로, Protect AI 인수로 AI 모델 무결성 검증 및 공급망 보안 역량을 추가 Lakera → Check Point | 💰 약 $300M 추정 (2025.9 발표, 공식 비공개) | 프롬프트 인젝션·LLM 보안 등 AI 네이티브 보안 역량 확보 목적. Google·Meta 출신 AI 전문가팀이 설립한 Lakera는 LLM·AI 에이전트 실시간 보호에 특화된 엔드투엔드 AI 보안 플랫폼 |
||||||
| 기업명 | 상장 | 매출 (최근) | 영업이익 | 핵심 사업 | AI기본법 관련 솔루션 |
|---|---|---|---|---|---|
| 마크애니 | 비상장 | 227억 (FY25) | 영업손실 15억 (FY25) |
워터마크·DRM 원천기술 (27년 업력) | C2PA 기반 AI 생성물 출처 인증 · 가시적·비가시적 워터마크 · DRM 확장 가능. 제31조 투명성·표시 의무 연관성 가장 높음 |
| 샌즈랩 | 코스닥 | 101억 (FY25) | 영업손실 22억 (FY25) |
AI 기반 CTI·NDR 보안 ※ CTI·NDR은 전통 보안 영역 — 딥페이크 탐지에 한해 수혜 |
페이크체크 3.0 딥페이크 탐지·분석 · 적대적 공격 탐지 · ACDC 시연·공공 납품 이력 |
| 딥브레인AI | 비상장 (IPO 추진) |
48억 (FY25) | 영업손실 68억 (FY25) |
AI 영상·음성 합성 (AI Human) | 생성·탐지 기술 동시 보유 · AI Human 기반 영상·음성 합성 · 딥페이크 탐지 기술도 보유. 인증·도입 이력은 배포 전 재확인 필요 |
💡 ②는 기술 제품보다 거버넌스·문서화·컴플라이언스 성격이 강한 영역. 국내 전담 플레이어는 아직 적어 4개 유형으로 분류.
| 플레이어 | 대표 사례 | 시사점 & 한계 |
|---|---|---|
| 대형 AI 사업자 직접 이행 |
네이버·카카오·삼성SDS | 자체 거버넌스 조직 구축 중심. 외부 솔루션 구매보다 내부 체계 정비 우선. 외부 수혜 관점에서는 제한적 |
| 경영 컨설팅사 AI 거버넌스 practice |
삼정KPMG·딜로이트·PwC·EY | ESG·내부통제 경험을 AI 거버넌스로 전환. 공공기관·금융사 중심 외부 수요 가능. 전문 practice는 초기 단계 |
| 대형 로펌 AI 컴플라이언스 |
김앤장·율촌·태평양 | 고영향 AI 해당 여부 법률 검토·문서화 체계 자문. 초기에는 법률 자문 수요 선행 가능 |
| AI Safety 전문기업 고영향 AI 감사·평가 |
에임인텔리전스 매출 4,300만원 (FY24) 영업손실 4,500만원 (FY24) 💰 시리즈A 100억 유치 (2026.4) 누적 투자금 약 120억 리드: 삼성벤처투자 참여: 미래에셋캐피탈 · 포레스트벤처스 · 스마일게이트인베스트먼트 |
LLM·AI 에이전트·피지컬 AI 등 전 영역 보안을 통합 관리. AI 레드팀 솔루션(취약점 탐지·공격 시뮬레이션)과 가드레일 솔루션(위험 행동 차단)을 결합한 '창과 방패' 구조가 핵심. 국내에서 이 영역을 전문으로 하는 기업이 매우 적어 희소성 있음. 삼성벤처투자 리드 투자는 대기업 AI 도입 확대에 따른 보안 수요 증가를 확인해 주는 신호로 볼 수 있음 |
영향도(Y축) × 규제 명확성(X축) 두 축으로 유형을 나누면 대응 우선순위가 빨라진다.
이수시스템 주요 사업을 4분면에 매핑해 규제 강도와 대응 우선순위를 정리했다.
| 솔루션·서비스 | 주요 제품 | 규제 유형 | 영향도 | 규제 명확성 | AI기본법 시사점 |
|---|---|---|---|---|---|
| HR 솔루션 | OPTI-HR WORKUP (클라우드 HR) |
위험 탐색형 | 고 | 저 | AI 채용·평가 기능은 권리·기회에 직접 영향. 세부 적용 기준·책임 구조는 추가 해석 여지 있음. 설명가능성·위험관리 체계 선제 준비 필요 |
| 챗봇 서비스 | 고객 응대 챗봇 사내 업무 지원 봇 |
운영 최적화형 | 저 | 고 | 기본적으로 저영향·운영 지원형. 생성형 AI 기반이면 제31조 투명성 의무(사전 고지·표시) 적용. 금융·의료 상담 연계 시 수직규제 추가 가능 |
| ERP / SI | SAP·Oracle 구축·유지보수 |
자유 탐색형 | 저 | 저 | 솔루션 구축·유지보수 성격이 중심. AI 관련 규제 적용 대상 기능 현재 확인되지 않음. 별도 AI 규제 대응 우선순위 낮음 |
| 스마트 플랜트 | 3D 스캐닝 역설계 관리 포털 |
자유 탐색형 | 저 | 저 | 엔지니어링 보조 도구. AI가 최종 판단을 내리지 않는 구조. 현재 규제 대상 가능성 낮음 |
| 구분 | 관련 법규 및 설명 | 시사점 | 대비 방향 |
|---|---|---|---|
| AI 이력서 분석 채용 AI 선별 솔루션 |
제33조 — 고영향 AI 법정 지정 채용·평가 AI는 개인의 권리·기회에 직접 영향을 미치므로 고영향 AI로 명시 지정됨. 제34조 — 설명가능성·문서보관 의무 AI가 왜 해당 지원자를 평가했는지 근거 설명 + 결과 문서 5년 보관 의무 발생 |
"출처 기반 평가" 기능이 이미 있으나, 이것이 법적 의미의 XAI 요건을 충족하는지 법률 검토 선행 필요. XAI 3대 요건 — ① 결과 설명(왜 이 점수인가) ② 근거 제시(어떤 데이터 기반인가) ③ 이의제기 가능성(지원자 이의 수용 절차) AI 점수·등급 결과만 제공하면 설명가능성 미이행으로 과태료 대상. 아마존 채용 AI 편향 사례처럼 특정 집단 불이익 가능성도 리스크 |
① 고영향 AI 해당 여부 과기정통부 확인 절차 선제 진행 ② AI 평가 근거 문서 자동 보관 체계 구축 (5년) ③ 편향성·공정성 정기 점검 프로세스 도입 ④ 사람의 최종 결정(Human-in-the-Loop) 체계 명문화 |
| 인재 추천 역량·적합도 기반 AI 추천 |
제33조 — 고영향 AI 검토 필요 AI가 인재 추천 결과를 기반으로 채용 여부에 영향을 미치는 구조라면 고영향 AI 범주 해당 가능. 제34조 — 위험관리방안 수립 역량·문화 적합도 추천 알고리즘의 위험관리방안 수립 의무 |
AI 추천 결과가 채용 담당자의 최종 판단에 실질적 영향을 미치는 경우, 사실상 채용 AI와 동일하게 취급될 수 있음. "AI 추천 = 참고용"과 "AI 추천 = 사실상 결정"의 경계를 명확히 정의하지 않으면 규제 리스크 증가 |
① AI 추천 결과의 활용 범위·권한을 내부 정책으로 명확히 규정 ② 추천 알고리즘 편향성 검증 주기적 실시 ③ 인재 추천이 채용 결정에 미치는 영향도 문서화 ④ 위험관리방안 수립 후 과기정통부 확인 요청 검토 |
| 교육 추천 경력·역량 기반 맞춤 교육 |
제31조 — 생성형 AI 투명성 의무 AI가 맞춤 교육 콘텐츠를 생성·추천하는 경우 AI 생성물 표시 의무 적용 가능. 현재 기준 저영향 영역 교육 추천은 평가·채용과 달리 개인 권리에 직접 영향이 적어 고영향 AI 해당 가능성 낮음 |
현재는 규제 부담이 낮은 영역이나, 교육 추천 결과가 승진·보직 결정 데이터로 활용되는 경우 고영향 AI로 격상 가능. |
① AI 추천 교육 콘텐츠에 "AI 생성·추천 결과" 표시 추가 ② 교육 추천 데이터가 인사 평가에 활용되는 범위 내부 정책 명확화 |
| 이수 챗봇 채용·사규·매뉴얼 챗봇 |
제31조 — 생성형 AI 투명성 의무 즉시 적용 RAG 기반으로 AI가 답변을 생성하는 구조이므로 이용자에게 "AI가 응답합니다" 사전 고지 의무 즉시 발생. 채용 챗봇의 경우 제33조 검토 필요 지원자 선별·안내 과정에 개입하면 고영향 AI 검토 대상 |
현재 챗봇 화면에 AI 응답 고지가 없으면 즉시 과태료 대상. 비용 없이 UI 문구 추가만으로 해결 가능하므로 가장 빠른 대응이 필요한 영역. 채용 챗봇이 지원자 데이터를 수집·분류하는 기능을 가질 경우 HR AI와 동일한 고영향 AI 리스크 발생 |
① 즉시 대응: 챗봇 화면에 "이 응답은 AI가 생성합니다" 고지 문구 추가 ② 응답 로그 보관 체계 마련 ③ 채용 챗봇이 지원자 정보를 수집·평가하는 기능 범위 명확히 정의 |
| 요구 영역 | 세부 내용 | 레거시 대응 | 대표 기업 |
|---|---|---|---|
| 투명성 확보 / 워터마크 | AI 생성 결과물 워터마크·메타데이터 삽입 (C2PA 국제표준 권장) | 가능 | 파수 DRM · 소프트캠프 · 마크애니 SafeSign |
| 민감정보 유출 방지 | 프롬프트 내 개인정보·민감정보 입력 탐지·차단 (DLP 확장) | 가능 | 소만사 Privacy-i · 컴트루테크놀로지 |
| 접근 통제 | IP·사용자·부서별 AI 시스템 접근권한 관리 (NAC/IAM 확장) | 가능 | 지니언스 NAC · 안랩 TMS |
| API 보안 | AI 서비스 API 통신 암호화·Rate Limiting (WAF/API GW 확장) | 가능 | 파이오링크 WEBFRONT · 펜타시큐리티 WAPPLES |
| 로그·모니터링 | AI 시스템 운용 이력 기록·이상 행위 탐지 (SIEM 확장) | 가능 | 이글루코퍼레이션 SPiDER TM · 로그프레소 |
| 위협 탐지·대응 | AI 시스템 대상 사이버 공격 탐지·엔드포인트 보호 (EDR/XDR) | 가능 | 안랩 EDR/XDR · CrowdStrike |
| 소스코드 취약점 | AI 코드 스캔 대상 추가 (SAST/DAST 확장) | 가능 | 스패로우 SAST |
| 고영향 AI 영향평가 | 모델 편향성 검증·적대적 공격 시뮬레이션·학습 데이터 오염 탐지 — 이 영역만 기존 보안으로 대응 불가 | 불가 | 에임인텔리전스 Protect AI (→Palo Alto) · Lakera (→Check Point) |
✅ 핵심 결론: 7개는 기존 업체 확장 전략 (70~80%), 1개만 별도 전문 영역.
| 영역 | 요구 내용 | 기존 보안으로 어려운 이유 |
|---|---|---|
| AI 모델 편향성·공정성 검증 | 고영향 AI가 특정 집단에 불이익한 결과를 산출하지 않는지 검증 | 보안 제품이 아닌 AI 평가 도구 영역. ML 엔지니어링 역량 필요 |
적대적 공격 시뮬레이션AI 레드팀 |
프롬프트 인젝션·모델 탈옥·회피 공격 테스트 | 기존 침투 테스트와 성격이 다름. AI/ML 전문 레드팀 필요 |
학습 데이터 오염Data Poisoning |
학습 데이터 무결성 검증·악의적 데이터 주입 탐지 | 데이터 파이프라인 레벨 문제. 기존 보안 범위 밖 |
AI 영향평가컴플라이언스 |
고영향 AI 영향 평가·규제 준수 보고서 작성 | 컨설팅·감사 서비스 영역. 보안 솔루션만으로 이행 불가 |
기존 레거시 보안 솔루션들은 AI기본법에 따라 정책 변경 및 소폭 기능 확장을 통해 대응이 가능할 것으로 예상됩니다. 향후 AI 보안으로 리패키징함으로써 기존 시장보다 더 넓은 영역으로 점차 확장될 것으로 보입니다.
현재는 신규 시장 초기 단계로 수요가 제한적입니다. 그러나 인공지능기본법이 점점 구체화되고 하위 고시가 정비될수록 수요가 높아질 것으로 전망됩니다.
EU 이후 등장한 주요 국가 단위 AI 법제. 글로벌 규제 대응의 출발점이자, 고영향 AI·생성형 AI 사업자 모두에게 직접적 의무를 부과하는 첫 포괄형 AI 법이다. 과태료 최대 3천만원 · 실질 제재는 2027년 이후.
1번: 기존 업체 확장까지 포함해 우선 확인. 투명성·워터마크는 법 의무와 직접 연결된다.
2번: 편향 검증·AI 레드팀·데이터 오염·영향평가는 감사·평가·Safety 역량에 더 가깝다. 국내 특화 기업이 적어 컨설팅·로펌·AI Safety 스타트업까지 함께 볼 필요가 있다.