EU, AI 콘텐츠 표기 실무 규범 확정 — 8월 2일 투명성 의무 카운트다운
6월 10일, 유럽 집행위가 'AI 생성 콘텐츠 표기·레이블링' 실무 규범(Code of Practice) 최종본을 냈어. 자발적 규범이지만, 8월 2일부터 적용되는 AI Act 투명성 의무를 지키는 실전 가이드야. 서명형 메타데이터·비가시 워터마크가 핵심 수단이고, 서명 신청 마감은 7월 22일이야.
"이거 AI가 만든 거야?" — 이제 EU가 답을 강제하기 시작했어
요즘 타임라인 스크롤하다 보면 진짜 헷갈리지 않아? 저 사진 진짜야? 저 영상 속 정치인이 진짜 저런 말을 했나? 저 기사 사람이 쓴 거 맞아? AI가 만든 콘텐츠가 너무 자연스러워져서, 이제 '진짜'와 '생성물'을 눈으로 구분하는 게 거의 불가능해졌어.
그래서 유럽이 움직였어. 2026년 6월 10일 수요일, 유럽 집행위(European Commission)가 'AI 생성 콘텐츠 표기·레이블링' 실무 규범(Code of Practice) 최종본을 공개했어. 그동안 초안만 돌던 게 드디어 '실제로 쓸 수 있는' 완성본으로 굳어진 거야.
핵심부터 정리할게. 이 규범 자체는 **자발적(voluntary)**이야. 따르라고 강제하는 법이 아니라, '이렇게 하면 법을 잘 지킬 수 있어'라는 실전 가이드북에 가까워. 근데 그 '법'이 뭐냐면 — 2026년 8월 2일부터 적용되는 **AI Act의 투명성 의무(transparency obligations)**야. 이건 구속력이 있어.
그러니까 그림이 이래. 8월 2일에 진짜 룰이 켜진다 → 기업들은 "그래서 우리 뭘 어떻게 해야 하는데?"라고 묻는다 → 집행위가 "자, 이 규범대로 하면 돼"라고 답안지를 미리 깔아준 거야. 마감 시계가 돌아가기 시작했고, 이 규범은 그 시계에 맞춘 실무 매뉴얼인 셈이지.
오해하면 안 되는 게 하나 있어. 이건 '벌금 때리는 단속'이 아니야. 페널티를 집행하는 단계가 아니라, 곧 켜질 구속력 있는 투명성 룰을 어떻게 지킬지 안내하는 가이드야. 초안 단계에서 '실제로 쓸 수 있는 최종 규범'으로 넘어온 그 전환 자체가 이번 뉴스의 핵심이야.
등장인물 — 유럽 집행위, '제공자'와 '배포자', AI Act
이 이야기엔 주연이 셋 있어. 누가 뭘 하는지 알아야 그림이 풀려.
유럽 집행위(European Commission) — 룰을 만들고 가이드를 깔아주는 쪽이야. 이번 규범도 집행위(정확히는 산하 European AI Office가 작업한)가 발표했어. EU에서 디지털·AI 규제의 총괄 설계자라고 보면 돼.
AI Act — 이게 무대 자체야. EU의 AI 규제 기본법이고, 단계적으로 발효되고 있어. 그중에서 이번 이야기의 주인공은 '투명성 의무(transparency obligations)' 조항이야. 이 조항이 2026년 8월 2일부터 적용돼. 핵심은 "AI가 만든 콘텐츠는 AI가 만들었다고 알려라"는 거야.
'제공자(provider)'와 '배포자(deployer)' — 이 두 단어가 헷갈릴 텐데, 구분이 중요해.
- 제공자는 생성형 AI 모델·시스템을 만들어 시장에 내놓는 쪽이야. 이미지 생성기, 챗봇, 음성 합성 모델 같은 걸 개발·공급하는 회사들.
- 배포자는 그 AI를 가져다 실제로 쓰는 쪽이야. 예를 들어 AI로 영상·이미지를 만들어 서비스나 콘텐츠에 올리는 기업, 미디어, 플랫폼 같은 곳.
투명성 의무는 이 둘 모두에게 걸려. 제공자는 자기가 만든 시스템의 출력물이 기계가 읽을 수 있게 표기되도록 해야 하고, 배포자는 사람이 알아볼 수 있게 콘텐츠를 명확히 밝혀야 해. 특히 '딥페이크(deepfake)' — 사람·사건을 진짜처럼 보이게 만든 합성물 중 공익(public interest) 사안에 관한 것이면서 사람의 검토·편집 통제(human review/editorial control) 없이 만들어진 것 — 은 더 분명하게 표시해야 해. 속임수와 조작 위험을 줄이려는 거야.
정리하면, 집행위가 멍석을 깔고, AI Act가 룰을 정하고, 제공자·배포자가 실제로 표기를 실행하는 구조야.
핵심 내용 — 규범이 요구하는 것
그래서 이 규범이 실제로 뭘 하라고 하는 건지 핵심만 표로 정리해봤어.
| 항목 | 내용 |
|---|---|
| 발표일 | 2026년 6월 10일 (수) |
| 발표 주체 | 유럽 집행위 (산하 European AI Office) |
| 성격 | 자발적(voluntary) 실무 규범 — 강제법 아님, 컴플라이언스 가이드 |
| 적용 의무 시작일 | 2026년 8월 2일 (AI Act 투명성 의무 발효) |
| 의무 대상 | 생성형 AI 제공자와 배포자 |
| 표기 수단 (제안) | ① 디지털 서명된 메타데이터 ② 비가시(imperceptible) 워터마크 / (선택) 핑거프린팅·레지스트리 DB 로깅 |
| 서명(signatory) 신청 마감 | 2026년 7월 22일 18:00 (CEST) |
| 특별 강조 대상 | 공익 사안 딥페이크, 사람 검토 없이 생성된 콘텐츠 |
조금 풀어서 설명하면, 표기 수단이 이 규범의 진짜 알맹이야.
디지털 서명된 메타데이터(digitally-signed metadata) — 콘텐츠 파일 안에 "이건 AI가 만들었고, 어떤 시스템이, 언제 만들었다"는 정보를 암호학적으로 서명해서 박아넣는 방식이야. 사람 눈엔 안 보이지만, 기계가 읽으면 출처를 검증할 수 있어. 서명이 붙어 있어서 위조하거나 떼어내기가 어렵다는 게 장점이야.
비가시 워터마크(imperceptible watermarking) — 이미지·오디오·영상 같은 콘텐츠 자체에 사람 눈·귀로는 못 느끼는 신호를 심어두는 방식이야. 메타데이터는 파일을 가공하거나 스크린샷 찍으면 날아갈 수 있지만, 워터마크는 콘텐츠 픽셀·신호에 박혀 있어서 좀 더 끈질기게 남아.
선택 수단 — 핑거프린팅(fingerprinting)이나 레지스트리 데이터베이스에 로그를 남기는 방식도 추가 옵션으로 제시됐어. 콘텐츠의 '지문'을 떠서 등록해두고 나중에 대조하는 식이지.
요점은 '한 방법만 쓰라'가 아니라, 이런 검증된 수단들을 조합해서 'AI 생성물이라는 사실이 끈질기게 따라붙게' 만들라는 거야. 그리고 규범에 서명하고 싶은 제공자·배포자는 양식을 작성해서 7월 22일 18시(CEST)까지 제출하면 돼.
각자의 이득 — 누가 뭘 얻나
규제 뉴스는 보통 '누가 손해 보냐'로 읽히는데, 이번 건 의외로 이득 구조가 꽤 또렷해.
일반 이용자 — 신뢰를 되찾아 가장 직접적인 수혜자야. 콘텐츠에 'AI 생성' 표시가 붙으면, 적어도 "이거 진짜인가?"를 매번 의심하느라 에너지 쓰지 않아도 돼. 특히 선거철 정치 영상이나 공익 사안 딥페이크처럼 속았을 때 피해가 큰 영역에서, 표기 하나가 판단 근거를 확 바꿔줘. 정보 환경 전체의 신뢰도가 올라가는 거지.
기업 — 법적 안전망을 얻어 8월 2일이면 투명성 의무가 구속력을 갖는데, 기업 입장에서 제일 무서운 건 "맞게 하고 있는지 모르겠다"는 불확실성이야. 이 규범은 그 불확실성을 줄여줘. 규범에 서명하고 거기 적힌 대로 표기하면, "우리는 집행위가 제시한 방식대로 성실히 따랐다"는 강력한 근거가 생겨. 일종의 안전한 항구(safe harbor) 같은 효과를 노릴 수 있는 거야. 단정은 못 하지만, 컴플라이언스 리스크를 크게 낮추는 카드인 건 분명해.
플랫폼 — 책임 분산과 운영 명확성 콘텐츠를 호스팅하는 플랫폼 입장에선, 업로드되는 AI 생성물에 표준화된 표기가 붙어 있으면 모더레이션·라벨링 작업이 훨씬 수월해져. 메타데이터·워터마크가 기계로 읽히니까 자동 탐지·자동 라벨링 파이프라인을 짤 수 있고, "우린 표기된 정보를 그대로 노출했다"는 식으로 책임 구조도 정리돼. 일관된 표준이 깔리면 플랫폼끼리 호환도 되고.
결국 이 규범은 'AI 콘텐츠 생태계 전체가 같은 언어로 출처를 말하게' 만들려는 시도야. 이용자는 신뢰를, 기업은 안전을, 플랫폼은 운영 효율을 가져가는 구조지.
과거 유사 사례 — 성공과 실패
이런 '표기 의무'가 처음은 아니야. 비슷한 시도들의 성공과 실패를 보면 이번 규범의 운명도 어느 정도 짐작이 가.
GDPR 쿠키 배너 — '의무화는 됐는데...'의 교과서 2018년 GDPR 이후 모든 웹사이트에 쿠키 동의 배너가 깔렸지. 의도는 좋았어. 사용자에게 데이터 추적을 알리고 선택권을 주자는 거였으니까. 근데 결과는? 다들 알잖아. 사람들은 배너가 뜨면 내용도 안 읽고 '전부 동의'를 반사적으로 눌러. '동의 피로(consent fatigue)'라는 말까지 생겼어. 교훈은 명확해 — 표기·고지를 의무화한다고 해서 자동으로 이용자 행동이 바뀌진 않는다는 거야. AI 라벨도 너무 흔해지거나 무성의하게 붙으면 똑같이 '벽지'가 될 위험이 있어.
워터마킹 표준화 시도 — 기술은 됐는데 합의가 안 됐던 AI 콘텐츠 워터마킹 기술 자체는 몇 년 전부터 여러 연구·기업이 시도해왔어. 문제는 '다 따로 놀았다'는 거야. 회사마다 자기 방식으로 워터마크를 박으니, 다른 곳에선 못 읽거나, 가공·재인코딩 한 번에 날아가버리기 일쑤였어. 워터마크는 '모두가 같은 규격으로, 끈질기게' 박지 않으면 효과가 반감돼. 이번 규범이 '집행위가 제시하는 공통 수단'을 깔려는 이유가 여기 있어 — 파편화를 막으려는 거지.
성공 쪽 힌트 — 식품 영양성분 표시 반대로 잘 굴러간 표기 제도도 있어. 식품 포장의 영양성분·알레르기 표시 같은 거. 처음엔 업계가 부담스러워했지만, 표준이 정착되니 소비자는 당연하게 받아들이고 기업도 루틴으로 처리하게 됐어. 핵심은 '표준이 명확하고, 모두에게 동일하게 적용되고, 시간이 쌓였다'는 거야.
이번 EU 규범이 GDPR 쿠키 배너의 길로 갈지, 영양성분 표시의 길로 갈지는 결국 '얼마나 표준이 단단하고, 표기가 의미 있게 노출되느냐'에 달렸어.
경쟁자 카운터 플레이
EU만 이 문제를 고민하는 건 아니야. 다른 진영들도 각자의 방식으로 'AI 콘텐츠 출처' 문제에 손대고 있어. EU 규범을 제대로 이해하려면 이 경쟁 구도를 봐야 해.
미국 — 연방 통일법 대신 주별 패치워크 미국은 EU처럼 강력한 연방 차원의 통일 규제보다는, 주(state)별로 제각각 접근하는 그림에 가까워. 특히 선거용 딥페이크나 동의 없는 합성 콘텐츠 같은 특정 영역에서 주별 법이 먼저 생기는 패턴이야. 빠르고 유연하지만, 전국적으로 일관된 표준이 없어서 기업 입장에선 '주마다 룰이 다른' 복잡함을 떠안게 돼. EU의 '하나의 큰 룰'과 정반대 전략이지.
C2PA — 업계 주도 콘텐츠 출처 표준 정부 규제 말고 업계가 직접 만든 표준도 있어. C2PA(Coalition for Content Provenance and Authenticity)는 콘텐츠에 '출처·이력' 정보를 암호학적으로 붙이는 개방형 표준이야. 여러 빅테크·미디어·하드웨어 회사가 참여하고 있고, 카메라 단계부터 편집·배포까지 콘텐츠의 '족보'를 추적하자는 발상이야. EU 규범이 제안한 '서명된 메타데이터' 방식과 결이 비슷해서, 실제로는 경쟁이라기보다 서로 맞물릴 가능성이 커. EU가 깔아둔 룰을 C2PA 같은 기술 표준이 채워주는 식으로.
빅테크 자율표기 — 선제적 방어 구글·메타·오픈AI 같은 곳들은 규제가 강제하기 전부터 자체적으로 AI 생성물 라벨·워터마크를 붙이기 시작했어. 규제가 오기 전에 미리 '우리는 책임감 있게 하고 있다'를 보여주려는 선제적 움직임이지. 근데 이게 자율이다 보니 회사마다 기준·강도가 달라서, 결국 EU 같은 공적 표준이 '최소 기준선'을 잡아주는 역할을 하게 돼.
정리하면, EU는 '구속력 있는 공통 룰 + 자발적 실무 규범'이라는 조합으로, 미국의 파편화와 빅테크의 제각각 자율표기 사이에서 '표준의 중심'을 잡으려는 포지션이야. C2PA 같은 기술 표준과는 적이라기보다 짝꿍에 가깝고.
그래서 뭐가 달라지는데 — 입장별로
추상적인 얘기 말고, 너가 어느 입장이냐에 따라 실제로 뭐가 바뀌는지 보자.
AI 서비스 기업이라면 지금 당장 할 일이 생겼어. 8월 2일 전에 '우리 출력물에 표기가 제대로 박히나?'를 점검해야 해. 제공자라면 생성물에 서명된 메타데이터나 워터마크가 기계로 읽히게 들어가는지, 배포자라면 사용자에게 'AI 생성'이 명확히 보이는지. 규범에 서명할 거면 7월 22일 18시(CEST) 마감이라 시간이 빠듯해. 안 서명해도 8월 2일 투명성 의무 자체는 피할 수 없으니, 규범은 '어떻게 지킬지 안내서'로라도 챙겨두는 게 합리적이야. 미루면 미룰수록 8월에 허둥댈 가능성만 커져.
콘텐츠 제작자라면 AI 툴로 이미지·영상·글을 만들어 EU 시장에 내놓는다면, '내가 쓰는 툴이 표기를 자동으로 박아주는가'를 확인해야 해. 특히 공익 사안을 다루거나 실존 인물·사건을 합성하는 작업이면 표기 의무가 더 빡빡하게 걸려. 반대로 보면, 표기를 성실히 하는 제작자는 '믿을 만한 출처'로 차별화될 수도 있어. 투명성이 곧 신뢰 자산이 되는 거지.
일반 이용자라면 당장 8월부터 EU 쪽 서비스·콘텐츠에서 'AI 생성' 라벨을 점점 더 자주 보게 될 거야. 처음엔 어색하겠지만, 익숙해지면 '이건 사람, 이건 AI'를 구분하는 기본 습관이 생길 수 있어. 다만 앞서 말한 '동의 피로'처럼 라벨이 너무 흔해져서 무뎌질 위험도 있으니, 라벨이 있다고 무조건 안심하거나 없다고 무조건 진짜로 믿는 건 경계해야 해. 표기는 판단을 돕는 도구지, 판단을 대신해주진 않으니까.
큰 그림으로 보면, 이번 규범은 'AI 콘텐츠에도 영양성분표를 붙이자'는 시도야. 완벽하진 않겠지만, EU가 글로벌 표준의 기준점을 먼저 박았다는 점에서 다른 나라·기업도 결국 영향을 받게 될 거야.
🥄 남은 궁금증 세 가지
— 이거 안 지키면 벌금 맞아? 답: 규범 자체는 자발적이라, 규범에 서명 안 했다고 바로 벌금이 나오진 않아. 다만 8월 2일부터 적용되는 AI Act의 투명성 의무는 구속력이 있어. 즉 '규범을 안 따른 것'이 아니라 '투명성 의무 자체를 어긴 것'이 문제가 되는 거야. 규범은 그 의무를 안전하게 지키는 길을 안내하는 안내서고, 구체적인 제재 수위는 AI Act 집행 체계에 달려 있어. 단정적으로 "얼마 벌금" 식으로 말하긴 아직 일러.
— 워터마크나 메타데이터, 떼어내면 그만 아냐? 답: 솔직히 말하면 완벽한 기술은 없어. 메타데이터는 가공·재인코딩하면 날아갈 수 있고, 워터마크도 강하게 변형하면 약해질 수 있어. 그래서 규범이 한 가지가 아니라 메타데이터·워터마크·핑거프린팅을 조합해서 '여러 겹으로' 박으라고 제안하는 거야. 떼어내는 비용을 높여서 '대충 우회'는 막자는 전략이지, '절대 못 떼낸다'는 보장은 아니야.
— 유럽 밖 우리 같은 사람한테도 영향 있어? 답: 직접 EU 시장에 AI 콘텐츠나 서비스를 내놓는다면 영향권에 들어. 그게 아니어도 간접 영향은 커. EU가 먼저 표준을 박으면, 글로벌하게 서비스하는 기업들은 '국가별로 따로 만들기' 부담 때문에 EU 기준을 기본값으로 맞추는 경향이 있거든(이른바 브뤼셀 효과). 그래서 한국에서 쓰는 AI 툴·플랫폼에도 결국 비슷한 표기가 흘러들어올 가능성이 높아.
참고 자료
- Commission publishes Code of Practice on marking and labelling AI-generated content — European Commission
- European AI Office releases Code of Practice on Transparency of AI-Generated Content — IPTC
- The EU AI Act's Code of Practice on marking and labelling AI-generated content — Kennedys
- AI Act transparency obligations & signing notes — European Commission (Digital Strategy)
- Agence Europe — EU digital & AI policy coverage
수치는 발표 시점 기준이라 바뀔 수 있어.
출처
관련 기사
AI 트렌드를 앞서가세요
매일 아침, 엄선된 AI 뉴스를 받아보세요. 스팸 없음. 언제든 구독 취소.