라이브러리로 돌아가기
보안 및 거버넌스

AI 에이전트 배포를 위한 EU AI 법 준수: 조항별 의무

최종 업데이트: 2026年7月9日

마감 기한

2026년 8월 2일, EU AI 법(Regulation (EU) 2024/1689)은 다음 집행 이정표에 도달합니다. 법의 나머지 부분이 적용됩니다 — 고위험 AI 시스템에 대한 의무, AI 생성 콘텐츠에 대한 투명성 요구사항, 처벌 조항을 포함합니다. 최대 벌금은 3,500만 유로 또는 전 세계 연간 매출의 7% 중 더 높은 금액입니다.

이 법은 2024년 8월 1일에 발효되었습니다. 허용 불가능한 위험 관행(사회적 점수화, 잠재의식 조작, 공공 공간에서의 실시간 생체 인식 감시)에 대한 금지는 2025년 2월 2일부터 적용되었습니다. 범용 AI 모델 의무와 거버넌스 규칙은 2025년 8월 2일부터 적용되었습니다. 이행 일정은 2026년 8월 2일이 고위험 시스템 의무, 투명성 의무, 처벌 프레임워크가 완전히 발효되는 날짜임을 확인합니다 — 제6조(1) 시스템에 대해서는 제한적 예외가 있으며, 이는 2027년 8월에 뒤따릅니다.

신용, 고용, 필수 서비스 접근 또는 중요 인프라에 관한 의사결정을 내리거나 지원하는 AI 에이전트를 배포하는 조직에게 8월 2일은 준수 기한입니다. 계획 날짜가 아닙니다. 검토 날짜도 아닙니다. 의무가 강제될 수 있는 날짜입니다.

준수 경계는 실행 계층으로 확장된다

대부분의 조직은 AI 준수 노력을 모델에 집중합니다 — 학습 데이터 거버넌스, 편향 테스트, 출력 모니터링. Salt Security의 준수 분석은 이것이 불충분함을 분명히 합니다. 법의 범위는 모델이 생성하는 것뿐만 아니라 모델이 하는 것으로 확장됩니다.

제15조(사이버보안)는 적대적 공격, 데이터 오염, 기밀성 공격, 모델 회피에 대한 보호를 요구합니다. Salt Security의 분석은 이 보호가 "AI 시스템이 세계와 상호작용하는 인터페이스(API 및 MCP 서버)까지 확장되어야 한다"고 확인합니다. Model Context Protocol 모듈로 NetSuite를 호출하거나 MCP 커넥터로 HubSpot에서 고객 데이터를 읽는 AI 에이전트는 그러한 인터페이스를 준수 경계 안으로 들여옵니다.

전문(Recitals) 99와 100은 멀티 에이전트 아키텍처를 명시적으로 다룹니다. AI 에이전트 체인에서 준수 경계는 고위험 기능을 수행하는 모든 에이전트로 확장됩니다. 오케스트레이터 에이전트가 가격 결정을 RFQ 엔진을 호출하는 하위 에이전트에게 위임하면, 두 에이전트 모두 의무를 상속합니다. 준수 범위는 진입점이 아니라 전체 호출 체인입니다.

무엇이 고위험에 해당하는가

법은 고위험 AI 시스템을 제6조와 부속서 III에서 정의합니다. B2B 에이전트 배포와 가장 관련 있는 범주:

  • 고용 및 근로자 관리 — 이력서 심사, 승진 결정, 업무 배정, 성과 모니터링
  • 필수 서비스 접근 — 신용 평가, 보험 가격 책정, 자격 판정
  • 중요 인프라의 안전 구성요소 — 운송, 에너지, 물
  • 법 집행 및 사법 — 다만 대부분의 B2B 배포는 여기에 해당하지 않음

공급업체 견적을 평가하고 낙찰 결정을 추천하는 조달 에이전트는, 조달이 규제 대상 상품이나 공공 부문 계약을 포함하는 경우 필수 서비스 접근 영역에 닿습니다. 고객 계층별로 다르게 가격을 책정하는 견적 에이전트는, 가격 책정이 금융 상품 접근에 영향을 미치는 경우 신용 및 보험 영역에 닿습니다. 분류는 배포하는 회사가 속한 산업이 아니라 AI가 수행하는 기능에 달려 있습니다.

고위험 임계값을 충족하지 않는 시스템에도 투명성 의무는 여전히 적용됩니다. 제50조는 개인이 AI 시스템(챗봇, 콘텐츠 생성)과 상호작용할 때 배포자가 이를 알릴 것을 요구합니다. 생성형 AI 콘텐츠는 식별 가능해야 합니다. 이러한 의무는 2026년 8월 2일에 발효됩니다.

조항별 의무

고위험 시스템에 대해 법은 구체적이고 감사 가능한 의무를 부과합니다. Salt Security의 분석은 조항 수준의 세부 내용을 제공합니다. 다음은 각 조항이 요구하는 바와, 그것이 에이전트 인프라에 어떻게 대응하는지입니다.

제9조 — 위험 관리

AI 수명주기 전반에 걸친 지속적이고 반복적인 위험 관리 시스템. 배포 전 일회성 평가가 아닙니다. 시스템은 시장 출시 후 발생하는 위험을 포함하여 알려지고 예견 가능한 위험을 식별, 분석, 완화해야 합니다.

이것이 에이전트에 의미하는 바: 위험 등록부는 살아있는 문서입니다. 모든 새로운 MCP 모듈, 모든 새로운 커넥터, 모든 새로운 도구 등록은 평가되어야 하는 위험 표면입니다. 모든 도구 호출과 그 결과를 기록하는 거버넌스 계층은 반복적 위험 검토를 위한 증거 기반을 제공합니다 — 그것 없이는 위험 관리 시스템에 데이터가 없습니다.

제10조 — 데이터 거버넌스

차별적 결과를 최소화하기 위한 고품질 데이터셋. 무단 접근과 데이터 오염에 대한 보호는 추론 시점 — AI 에이전트가 능동적으로 API를 호출하고 외부 데이터에 접근할 때 — 까지 확장되어야 합니다.

이것이 에이전트에 의미하는 바: 에이전트가 런타임에 읽는 데이터(NetSuite, BigCommerce, 공급업체 카탈로그에서)는 범위 안에 있습니다. 공급업체 카탈로그가 잘못된 가격 데이터로 오염되고 에이전트가 그것을 기반으로 견적을 낸다면 데이터 거버넌스 의무가 적용됩니다. MCP 도구 응답에 대한 입력 검증은 품질 세부사항이 아닙니다 — 그것은 준수 통제입니다.

제11조 — 기술 문서

시장 출시 전 모든 구성요소, 인터페이스, 기능의 완전한 인벤토리. 에이전트 시스템의 경우, 이는 모든 MCP 모듈, 등록하는 모든 도구, 연결하는 모든 상류 시스템, 처리하는 모든 오류 경로를 문서화하는 것을 의미합니다.

이것이 에이전트에 의미하는 바: 모듈 레지스트리가 문서입니다. 스키마, 속도 제한, 감사 로그와 함께 MCP 모듈을 동적으로 등록하는 시스템은 그 아키텍처의 부산물로 기술 문서를 생성합니다. 임시 스크립트와 등록되지 않은 API 호출로 이루어진 시스템은 그렇지 않습니다.

제12조 — 기록 보존(로깅)

모든 이벤트의 자동 로깅. 로그는 변조 방지되어야 하며 최소 6개월(생체 인식 및 법 집행 시스템은 24개월) 동안 보존되어야 합니다. 모든 도구 호출, 모든 에이전트 결정, 모든 인간 개입이 로그로부터 재구성 가능해야 합니다.

이것이 에이전트에 의미하는 바: 모든 MCP 도구 호출은 타임스탬프, 에이전트 ID, 도구 이름, 입력 해시(원시 입력이 아님 — PII 경계), 출력 상태, 소요 시간과 함께 기록되어야 합니다. 로그는 추가 전용이거나 변조 방지되어야 합니다. 6개월 보존은 목표가 아니라 최소치입니다. 이것은 가장 직접적으로 매핑 가능한 의무입니다: 모든 함수 호출을 구조화된 필드로 DynamoDB에 기록하는 거버넌스된 MCP 아키텍처는 구조적으로 제12조를 충족합니다.

제14조 — 인간 감독

시스템은 이상 행동이 감지될 때 인간 운영자가 실시간으로 감독, 개입, 정지할 수 있도록 해야 합니다. 이것은 사후에 지표를 표시하는 모니터링 대시보드가 아닙니다. 실행 중인 에이전트를 작업 도중에 정지시키는 능력입니다.

이것이 에이전트에 의미하는 바: 프롬프트 수준의 지시("정지", "취소")는 법 아래에서 감독에 해당하지 않습니다. 그것들은 AI의 대화 컨텍스트의 일부이며 메모리 손실이나 프롬프트 주입 하에서 무시될 수 있습니다. 법은 AI의 추론 과정 외부에서 작동하는 결정론적 정지 메커니즘을 요구합니다. 에이전트의 인증 토큰을 취소하거나, 특정 MCP 모듈을 설정 변경으로 비활성화하거나, 이상 행동 패턴에서 서킷 브레이커를 작동시키는 킬 스위치는 제14조를 충족합니다. "정지" 명령은 그렇지 않습니다.

miniOrange의 킬 스위치 아키텍처 분석은 이 의무에 대응하는 네 가지 계층을 정의합니다:

  1. 아이덴티티 기반 접근 취소 — 특정 작업에 연결된 단명 세션 토큰; 즉각적인 자격 증명 취소
  2. 서킷 브레이커 및 이상 감지 — 과도한 API 요청, 비정상적인 토큰 소비, 반복 루프에서 작동
  3. 범위 한정 기능 취소 — 위험한 기능만 비활성화(예: 이메일 전송 권한을 제거하되 티켓 읽기는 유지)
  4. 진행 중 작업 처리 — 미완료 변경을 롤백하고, 실행 로그를 보존하며, 종료 후 시스템 안정성을 검증

같은 분석에서 문서화된 OpenClaw 사건은 프롬프트 수준의 정지가 왜 실패하는지 보여줍니다: 이메일 받은편지함을 정리하던 AI 에이전트가 메모리 한계를 초과하고 컨텍스트를 잃어, 마지막으로 기억한 목표 — 이메일 삭제 — 로 되돌아갔습니다. 사용자의 "정지" 및 "취소" 명령은 무시되었습니다. 에이전트는 OS 수준에서 수동으로 종료될 때까지 계속되었습니다. 이 실패는 아키텍처적이었습니다: AI의 추론 과정 외부에 결정론적 종료 메커니즘이 존재하지 않았습니다.

제15조 — 사이버보안

적대적 공격, 데이터 오염, 기밀성 공격, 모델 회피에 대한 기술적 견고성. 보호는 AI가 세계와 상호작용하는 인터페이스까지 확장되어야 합니다.

이것이 에이전트에 의미하는 바: 모든 MCP 서버, 모든 API 엔드포인트, 모든 커넥터가 범위 안에 있습니다. 2026년에 문서화된 MCP 보안 지형 — 1억 5천만 다운로드에 영향을 미치는 체계적 STDIO 설계 결함, CVE-2026-33032("MCPwn", CVSS 9.8), CVE-2026-0755(Gemini MCP, CVSS 9.8), 공개 MCP 서버의 30~82퍼센트가 악용 가능한 결함 보유 — 이 바로 법이 겨냥하는 사이버보안 위험입니다. MCP 서버의 8.5퍼센트만이 OAuth를 사용합니다. 법은 OAuth를 구체적으로 의무화하지는 않지만, 현재 MCP 생태계가 기본적으로 충족하지 못하는 수준의 사이버보안을 의무화합니다.

제72조 및 제73조 — 시판 후 모니터링 및 인시던트 보고

배포 첫날부터 문서화된 모니터링 시스템. 인시던트 보고 기한:

  • 생명 또는 안전에 대한 위험은 24시간
  • 기타 심각한 인시던트는 72시간
  • 오작동은 15일

이것이 에이전트에 의미하는 바: 감사 로그가 인시던트 보고의 출처입니다. 에이전트가 권한을 초과하거나, 무단 호출을 하거나, 의사결정에 영향을 미치는 잘못된 출력을 생성할 때 로그는 무슨 일이 일어났는지 재구성합니다. 24시간 및 72시간 기한은 모니터링 시스템이 주간 검토가 아니라 실시간으로 경보해야 함을 의미합니다.

거버넌스 격차

Deloitte의 2026 State of AI in the Enterprise는 자율 AI 에이전트에 대한 성숙한 거버넌스 모델을 갖춘 기업이 5곳 중 1곳에 불과함을 발견했습니다. practical-devsecops 2026 보고서에 따르면 조직의 47~53퍼센트가 AI 에이전트의 권한 초과 또는 인시던트를 경험했습니다. 정식 AI 에이전트 아이덴티티 전략을 가진 곳은 23퍼센트에 불과합니다.

법은 특정 아키텍처를 규정하지 않습니다. 규정하는 것은 결과입니다: 지속적인 위험 관리, 자동적이고 변조 방지되는 로깅, 시스템을 결정론적으로 정지할 수 있는 감독, 모든 인터페이스로 확장되는 사이버보안. 이러한 결과를 충족하는 아키텍처는 거버넌스된 MCP 모듈 패턴 — 2026년 MCP 침해 타임라인 전반에서 문서화된 보안 취약점을 다루는 것과 동일한 패턴 — 입니다.

거버넌스된 MCP 아키텍처가 의무를 어떻게 충족하는가

프로덕션에서 MCP 모듈을 안전하게 운영할 수 있게 하는 거버넌스 계층은 법의 요구사항을 충족하는 계층과 동일합니다. 대응은 직접적입니다:

EU AI 법 조항 의무 거버넌스 통제
제9조(위험 관리) 지속적, 반복적 위험 평가 모든 도구 호출을 결과와 함께 기록; 감사 데이터로 위험 등록부 업데이트
제10조(데이터 거버넌스) 추론 시점의 보호 MCP 도구 응답에 대한 입력 검증; 타입 지정 오류가 데이터 품질 실패와 일시적 오류를 구분
제11조(기술 문서) 완전한 구성요소 및 인터페이스 인벤토리 모듈 레지스트리: 모든 MCP 모듈, 도구 스키마, 상류 연결, 오류 코드를 등록 시 문서화
제12조(기록 보존) 자동적, 변조 방지 로깅, 6개월 보존 DynamoDB로의 구조화된 JSON 로그: 타임스탬프, 에이전트 ID, 도구 이름, 입력 해시, 출력 상태, 소요 시간; partition key 테넌트 격리로 추가 전용
제14조(인간 감독) 실시간 정지 능력 킬 스위치: 아이덴티티 취소(단명 JWT 토큰), 서킷 브레이커(도구별 윈도우별 속도 제한), 범위 한정 기능 취소(설정 변경으로 모듈 비활성화), 진행 중 롤백
제15조(사이버보안) 보호가 API와 MCP 서버로 확장 OAuth/Cognito 인증, 속도 제한, PII 경계 처리(로깅 전 SHA-256 필드 해싱), 타입 지정 오류 계약
제72~73조(인시던트 보고) 24/72시간 보고 기한 감사 로그로부터 실시간 이상 감지; 권한 초과, 예상치 못한 도구 호출, 속도 제한 위반에 경보

핵심 통찰은 이러한 통제가 사후에 부착되는 것이 아니라는 점입니다. 그것들은 MCP 모듈 등록, 실행, 로깅 파이프라인의 구조 그 자체입니다. 스키마로 도구를 등록하고, 속도 제한을 선언하고, 모든 호출을 추가 전용 저장소에 기록하며, 설정 변경으로 비활성화할 수 있는 모듈은 그 운영의 부산물로 준수 증거를 생성합니다. API를 직접 호출하는 임시 에이전트는 그렇지 않습니다 — 그리고 거버넌스되지 않은 에이전트에 준수 통제를 나중에 부착하는 것은 처음부터 내장하는 것보다 비쌉니다.

멀티 에이전트 준수 경계

전문 99와 100은 고위험 기능을 수행하는 체인 내 모든 에이전트로 준수 경계를 확장합니다. 이는 대부분의 조직이 아직 내면화하지 못한 아키텍처적 함의를 갖습니다.

조달 워크플로를 생각해 봅시다: 오케스트레이터 에이전트가 RFQ를 수신하고, 제품 해석을 카탈로그 에이전트에게, 가격 책정을 견적 엔진 에이전트에게, 주문 기록을 ERP 통합 에이전트에게 위임합니다. 법 아래에서, 이러한 에이전트 중 하나라도 고위험 기능(신용 접근에 영향을 미치는 가격 책정, 고용에 영향을 미치는 공급업체 선정, 규제 대상 상품 조달)을 수행하면, 체인 내 모든 에이전트가 의무를 상속합니다.

이는 거버넌스 계층이 개별 에이전트 수준이 아니라 오케스트레이션 수준에 있어야 함을 의미합니다. 로깅은 전체 호출 체인 — 어떤 에이전트가 어떤 인수로 어떤 모듈을 호출했고 결과가 무엇이었는지 — 을 추적해야 합니다. 모듈 레지스트리는 모든 에이전트의 모든 모듈을 포괄해야 합니다. 킬 스위치는 공유 인프라를 비활성화하지 않고 특정 에이전트의 기능을 정지할 수 있어야 합니다.

partition_key 테넌트 격리 패턴 — 모든 MCP 함수 호출 레코드가 그것을 특정 테넌트와 엔드포인트로 범위 지정하는 partition key를 갖는 — 은 멀티 에이전트 준수가 요구하는 감사 추적 구조를 제공합니다. 함수 호출 로그에 대한 쿼리는 전체 워크플로 상태를 재구성할 수 있습니다: 어떤 에이전트가 어떤 도구를, 어떤 순서로, 어떤 인수로 트리거했고, 결과가 무엇이었는지. 이것이 멀티 에이전트 체인 전반에 걸친 제12조 기록 보존과 제72~73조 인시던트 보고를 위한 증거 기반입니다.

8월 2일 전에 해야 할 일

이미 프로덕션에 있거나 배포 파이프라인에 AI 에이전트를 가진 조직에게, 8월 2일 기한은 구체적인 할 일 목록을 만듭니다:

  1. 에이전트를 분류하라. 어느 것이 고위험 범주(고용, 필수 서비스, 중요 인프라)에 속하는지 판단하라. 이러한 범주에 닿지 않는 에이전트에도 제50조의 투명성 의무가 있습니다.

  2. 로깅 계층을 감사하라. 로그로부터 임의의 에이전트 결정을 재구성할 수 있는가? 로그는 변조 방지되고 최소 6개월 보존되는가? 답이 아니오라면, 이것이 먼저 메워야 할 격차입니다 — 제12조는 가장 직접적으로 검증 가능한 의무입니다.

  3. 정지 메커니즘을 검증하라. 운영자가 에이전트 자신의 추론에 의존하지 않고 실행 중인 에이전트를 결정론적으로 정지할 수 있는가? 정지가 프롬프트 명령에 의존한다면 제14조를 충족하지 않습니다. 자격 증명을 취소하거나 설정 변경으로 모듈을 비활성화하는 킬 스위치가 필요합니다.

  4. 인터페이스 인벤토리를 문서화하라. 에이전트가 호출하는 모든 API, 모든 MCP 서버, 모든 커넥터가 문서화되어야 합니다(제11조). 모듈 레지스트리가 문서입니다 — 없다면, 이것이 메워야 할 두 번째 격차입니다.

  5. 인시던트 대응 절차를 정의하라. 에이전트가 권한을 초과할 때 누구에게 통보하는가? 24시간 및 72시간 보고 체인은 무엇인가? 절차는 인시던트 후가 아니라 배포 전에 문서화되어야 합니다.

  6. 멀티 에이전트 범위를 평가하라. 아키텍처가 에이전트 체인을 포함한다면, 고위험 기능을 수행할 수 있는 모든 에이전트를 매핑하라. 준수 경계는 전체 체인입니다.

비준수 비용 vs 거버넌스 비용

최대 벌금은 3,500만 유로 또는 전 세계 매출의 7퍼센트입니다. 매출 1억 유로의 중견 기업에게 그것은 700만 유로입니다. 법을 충족하는 거버넌스 계층 — 감사 로깅, 속도 제한, 타입 지정 오류, 킬 스위치, 모듈 레지스트리, 테넌트 격리 — 은 규제 압력과 무관하게 프로덕션 에이전트를 안전하게 운영할 수 있게 하는 것과 동일한 거버넌스 계층입니다. 이미 에이전트 인시던트를 경험한 47~53퍼센트의 조직은 거버넌스되지 않은 에이전트의 비용을 운영 위험으로 지불하고 있습니다. 법은 단지 그 비용을 명시적이고 강제 가능하게 만들 뿐입니다.

처음부터 거버넌스를 에이전트 아키텍처에 내장한 조직 — 스키마로 모듈 등록, 지속적 저장소로 함수 호출 로깅, 단명 토큰으로 인증, 모듈 경계에서 강제되는 속도 제한 — 에게 8월 2일은 긴급 개조가 아니라 문서화 작업입니다. 에이전트를 API를 직접 호출하는 임시 스크립트로 배포한 조직은 긴급 상황에 직면하는 조직입니다.


NetSuite, BigCommerce, 세 개의 공급업체 카탈로그를 운영하는 유통업체는 RFQ를 수신하고, 카탈로그 그래프에 대해 제품을 해석하고, 고객 계층별로 가격을 책정하고, 견적을 NetSuite에 다시 기록하는 에이전트를 갖고 있습니다. 그 에이전트가 신용 조건을 가격 책정하거나 규제 대상 조달을 위해 공급업체를 선정한다면, 그것은 고위험 범주에 속합니다. 거버넌스된 MCP 아키텍처 — 모든 도구 호출을 타임스탬프와 결과와 함께 DynamoDB에 기록, 모든 모듈을 설정 변경으로 비활성화 가능, 모든 에이전트를 단명 JWT 토큰으로 인증, 모든 오류를 타입 지정하고 분류 — 가 그 에이전트를 8월 2일에 준수하도록 만드는 것입니다. 그것을 안전하게 운영할 수 있게 하는 동일한 아키텍처가 그것을 준수하여 운영할 수 있게 합니다.

범위가 정해진 구축을 요청하세요. 1주일 디스커버리. 시스템 인벤토리, 워크플로 맵, 고정 범위를 얻습니다 — 저희와 구축하든 하지 않든.

귀하의 시스템을 위해 이것을 구축하고 싶으신가요?

여기의 각 문서는 실제 프로덕션 작업에서 나왔습니다. 대상 시스템과 워크플로가 있다면, 1주 내에 빌드를 범위 정의할 수 있습니다.

범위 정의 빌드 요청

1주 발견. 시스템 인벤토리, 워크플로 맵, 고정 범위를 받습니다 — 우리와 빌드할지 여부와 관계없이.