AI·사이버보안 규제, 수출 기업 새 관문 됐다

Source: Byline Network

인공지능(AI)과 사이버보안 규제가 해외 바이어의 제품 검토와 계약 협의 과정에서 주요 조건으로 떠오르면서, 규제 대응 역량이 수출 경쟁력으로 연결되고 있다.

산업통상부 국가기술표준원은 21일 서울 강남구에서 ‘2026 AI·사이버보안 규제 대응 세미나’를 열고 수출 기업이 준비해야 할 AI와 사이버보안 규제 대응 전략을 공유했다. 이번 세미나는 AI와 사이버보안 규제가 해외 시장 진입 조건으로 바뀌는 흐름을 짚기 위해 마련됐으며, EU AI Act, EU CRA, 중국 TC260, AI 기본법 등 관련 대응 방안이 다뤄졌다.

서영진 국가기술표준원 기술규제대응국장은 “AI와 사이버보안 규제는 소프트웨어 기업만의 문제가 아니다. 기존 제조업과 여러 산업에 걸쳐 연결돼 있는 만큼 업종별 대응 전략도 구체적으로 마련하겠다”고 말했다. 이어 “각 기업과 기관은 현재 운영 중인 AI 시스템이 어떤 규제 대상에 해당하는지 확인하고 데이터 보안 체계를 선제적으로 점검해 달라”고 덧붙였다.

세미나의 핵심은 AI 규제 대응을 법무 부서의 사후 검토가 아니라 제품 기획과 수출 준비 단계의 필수 절차로 봐야 한다는 점이다. AI 기능이 제품에 들어가거나 제품이 네트워크에 연결되면 기업은 AI 사용 목적, 데이터 처리 방식, 보안 업데이트, 취약점 대응, 사고 대응 절차를 문서로 증명해야 한다.

벌금 맞기 전에 바이어가 먼저 규제 문서 요구한다

국가기술표준원의 무역기술장벽(TBT) AI·사이버보안 위원회 위원장을 맡고 있는 양송이 CONNECT AI 대표는 “우리 회사가 한국에 있는지보다 제품과 서비스를 어느 국가 이용자에게 제공하는지가 더 중요하다”고 설명했다. TBT는 국가마다 다른 기술 규정, 표준, 인증 절차로 인해 상품 수출입에 어려움을 겪게 만드는 보이지 않는 무역 장벽을 뜻한다.

양 대표는 “해외 규제 대응을 벌금 리스크로만 보면 안 된다”고 강조했다. 실제 수출 현장에서는 벌금보다 먼저 해외 바이어가 규제 대응 문서를 요구하기 때문이다. 과거 바이어는 제품 기능·가격·인증·납기 조건에 집중했지만, 이제는 AI 적용 위치, 고객 데이터 학습 활용 여부, 보안 업데이트 제공 방식, 취약점 발견 시 대응 절차 등을 확인한다.

기업은 제품 소개서만으로 수출 상담을 진행하기 어려워졌다. AI 기능 목록, 데이터 흐름도, 취약점 대응 절차, 소프트웨어 자재명세서(SBOM), 사고 대응 체계 같은 문서가 필요해지고 있다. SBOM은 소프트웨어 제품에 포함된 오픈소스와 외부 라이브러리 목록을 정리한 문서로, 취약점 발생 시 영향을 받는 제품을 추적하는 데 주로 쓰인다.

IoT 연결 제품은 사이버보안 규제 대상

글로벌 사이버보안 규제의 초점은 ‘연결된 제품’으로 이동하고 있다. 단순 소프트웨어 기업뿐 아니라 앱·클라우드에 연결된 디바이스, 원격 업데이트가 필요한 가전, AI 공정 모니터링 장비, 물류 플랫폼도 규제 검토 대상이 될 수 있다.

EU 사이버복원력법은 디지털 요소가 포함된 하드웨어·소프트웨어 제품에 사이버보안 요구사항을 부과한다. 제조사는 제품 기획·설계·개발·유지보수 단계에서 보안 요구사항을 반영하고, 제품 수명주기 동안 취약점을 관리하며 필요한 보안 업데이트를 제공해야 한다. 이 법은 2024년 12월 10일 발효됐으며, 주요 의무는 2027년 12월 11일부터 적용된다. 다만 악용된 취약점과 중대 보안 사고 보고 의무는 2026년 9월 11일부터 먼저 적용된다.

네트워크·정보시스템 보안 지침(NIS2)도 함께 살펴야 한다. NIS2는 EU 내 주요 부문에 사이버보안 위험관리와 사고 보고 의무를 부과한다. 에너지·운송·금융·보건·디지털 인프라뿐 아니라 주요 제조·디지털 서비스·우편·택배·공공행정 등으로 적용 범위가 넓어졌다. 직접 제품을 수출하는 기업뿐 아니라 EU 내 중요 공급망에 참여하는 기업도 바이어의 보안 점검을 받을 수 있다.

중국 시장을 대상으로 하는 제조 기업은 중국 정보보안표준화기술위원회(TC260) 기준도 확인해야 한다. 중국 공장에서 장비 로그와 생산 데이터를 생성하고 한국 본사가 이를 원격으로 확인하거나 제어한다면 데이터 생성·저장·국외 이전·원격 접속 권한 통제 기준이 쟁점이 될 수 있다.

고위험 AI와 투명성 의무도 쟁점

EU AI Act는 AI 시스템을 위험도에 따라 구분해 규제한다. 채용·교육·금융·의료 등 개인의 권리와 기회에 영향을 줄 수 있는 영역은 고위험 AI로 분류될 가능성이 있다. 기업은 AI가 어떤 의사결정에 쓰이는지, 사람이 결과를 검토할 수 있는지, 차별·오류를 줄이는 절차가 있는지 설명해야 한다.

투명성 의무도 중요하다. EU AI Act 제50조는 이용자가 AI와 상호작용하고 있다는 사실을 알 수 있도록 하는 내용을 담고 있다. 딥페이크와 AI 생성 텍스트는 인위적으로 생성됐다는 사실을 공개해야 하며, 관련 정보는 명확하고 구분 가능하며 접근 가능한 방식으로 제공해야 한다.

이광현 한국정책연구네트워크 대표는 “AI 생성 콘텐츠 표시와 라벨링 규범이 무역기술장벽으로 작용할 수 있다”고 설명했다. AI 생성 콘텐츠 표시가 윤리 원칙을 넘어 표준·규제·시장 진입 조건으로 바뀌고 있다는 의미다.

국내에서도 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법’(AI 기본법)이 2026년 1월 22일부터 시행됐다. 국내 기업은 해외 규제뿐 아니라 고영향 AI·생성형 AI·AI 신뢰성 관련 의무도 함께 점검해야 한다.

뷰티·게임·제조·물류 등 다수 산업에 영향

산업군별로 AI·사이버보안 규제가 어떻게 적용될 수 있는지와 규제 적용을 촉발하는 ‘트리거’가 소개됐다.

• 뷰티 디바이스 – 피부 상태를 분석하고 앱·클라우드와 데이터를 주고받는 경우, 네트워크 연결·소프트웨어 업데이트·개인 데이터 처리 때문에 사이버보안 관리 대상이 된다. 바이어는 데이터 흐름, 보안 기능, 취약점 대응 체계, SBOM 등을 요구할 수 있다.
• 게임 산업 – 추천 알고리즘·매칭·챗봇·생성형 콘텐츠가 규제 검토 대상이 된다. 특히 미성년자 이용 게임은 유해 콘텐츠 차단 정책·생성형 AI 관리 기준·입·출력 모니터링 체계를 문서화해야 할 가능성이 크다.
• 제조업 – 해외 공장과 연결된 AI 공정 관리 시스템이 쟁점이다. 중국 공장에서 생성된 장비 로그·생산 데이터를 한국 본사가 원격으로 확인·제어한다면 데이터 이전·원격 접속 통제 문제가 발생한다.
• 인사·매칭 플랫폼 – AI가 지원자 평가·채용 의사결정에 영향을 미치면 고위험 AI 여부를 판단해야 한다. 사람의 검토 절차·위험 분류표·영향 평가 문서가 필요할 수 있다.
• 생활가전 – 네트워크에 연결된 냉장고·세탁기·공기청정기 등은 사용자 계정·원격 제어·보안 업데이트·개인정보 보관 기간·사고 대응 체계를 갖춰야 한다.
• 물류 플랫폼 – AI 기반 배차·배송 경로 자동 결정 과정에서 사람이 결과를 검토·수정할 수 있는 구조가 필요하다.

양송이 대표는 “AI와 사이버보안 규제 대응은 수출 기업의 기술 경쟁력과 신뢰도를 보여주는 자료가 되고 있다”고 강조했다. 제품에 AI 기능을 넣는 순간, 기업은 어떤 기능에 AI를 쓰는지, 어느 시장에 제공하는지, 어떤 데이터가 흐르는지, 사람이 어디서 통제하는지를 설명해야 하며, 규제 대응 역량이 수출 경쟁력과 직접 연결되는 구조가 형성되고 있다.