나는 pip로 LangChain을 설치했는데 EU AI Act 준수를 우연히 트리거했다
Source: Dev.to
번역할 텍스트를 제공해 주시면 한국어로 번역해 드리겠습니다.
Source: …
EU AI 법에서의 놀라운 발견
지난달 나는 배포 전에 스타트업의 requirements.txt를 검토하고 있었다.
표준적인 내용: FastAPI, SQLAlchemy, LangChain, 몇 가지 유틸리티 패키지.
그때 EU AI 법 제 6조를 읽고 langchain==0.2.14 라인이 내 앱을 EU 법상 “AI 시스템” 으로 만든다는 사실을 깨달았다—이것은 이론적인 가능성이 아니라 구체적인 법적 분류이며, 이에 따른 의무가 수반된다.
만약 당신의 파이썬 앱이 OpenAI, HuggingFace Transformers, LangChain 혹은 수십 개의 AI 프레임워크 중 하나라도 임포트하고, 사용자에 EU 거주자가 포함된다면 당신도 같은 상황에 처했을 가능성이 높다. EU AI 법은 당신이 AI를 만든다고 생각하는지 여부를 따지지 않는다; 코드가 무엇을 하는지가 중요하다. 제 3조는 AI 시스템을 예측, 권고, 결정과 같은 출력을 생성하는 모든 기계 기반 시스템으로 정의한다.
나의 발견
나는 금요일 오후에 프로젝트 전체를 grep으로 검색하면서 내가 잊고 있던 세 개의 프레임워크를 찾아냈다:
# main.py — 가장 명백한 파일
from langchain_openai import ChatOpenAI
# utils/embeddings.py — 존재한다는 걸 잊고 있었음
from sentence_transformers import SentenceTransformer
# scripts/analyze.py — 4개월 전 “임시” 스크립트
import openai세 개의 파일. 내가 몰랐던 세 가지 별도의 컴플라이언스 의무.
마감일이 중요한 이유
Most EU AI Act provisions take full effect in August 2026. After that, non‑compliance penalties can reach €35 million or 7 % of global annual turnover, whichever is higher.
- Startup with €500 K ARR → theoretical fine of €35 K
- Series A company with €5 M ARR → up to €350 K
The regulation scales with you, and “I didn’t know” isn’t a defense.
빠른 자체 평가 체크리스트
종속성 스캔
requirements.txt 또는 pyproject.toml 파일을 열고 다음과 같은 직접적인 AI 프레임워크 종속성이 있는지 확인하세요:
openai
anthropic
transformers # HuggingFace
torch / torchvision # PyTorch
tensorflow
langchain / langchain-core / langchain-openai
google-generativeai # Gemini
mistralai
cohere
llama-index
replicate
groq소스 코드 grep
grep -rn "from openai import\|from langchain\|from transformers import\|import torch\|from anthropic import" --include="*.py" .일치하는 항목이 있으면 프로젝트가 AI 프레임워크를 사용하고 있는 것입니다. 이것이 자동으로 고위험으로 분류되는 것은 아니지만, 법에 따라 위험 카테고리를 평가해야 합니다.
수동 grepping을 넘어
저는 16개의 AI 프레임워크를 검사하는 스캐너를 만들었습니다. 이 스캐너는 수동 grepping으로 자주 놓치는 항목들을 잡아냅니다:
- 전이적 의존성 – 예를 들어, 애플리케이션이
openai를 직접 임포트하지 않지만 LangChain이 임포트하는 경우. - 다중 진입점 –
notebooks/디렉터리의 Jupyter 노트북이transformers를 임포트하는 경우. - 클라우드 제공자 SDK –
boto3와 Bedrock 호출,azure-ai-openai,google-cloud-aiplatform등; 패키지 이름이 명확하지 않더라도 AI 프레임워크 사용으로 간주됩니다.
프로젝트에 이 스캐너를 실행하는 데 30 초 정도 걸렸으며, 제가 언급한 세 가지 프레임워크와 전이적 의존성을 통해 포함된 네 번째 프레임워크(sentence‑transformers)를 모두 찾아냈습니다.
실용적인 컴플라이언스 순서
- 찾은 내용 목록 – 어떤 프레임워크인지, 어떤 파일인지, 그 역할은 무엇인지.
- 위험 수준 분류 – 대부분의 스타트업 사용 사례(챗봇, 콘텐츠 생성, 검색)는 제한된 위험 또는 최소 위험에 해당합니다. 고위험은 특정 경우에만 적용됩니다: 신용 점수 평가, 채용, 의료 기기, 법 집행.
- 문서화 – 최소 위험 시스템이라도 기본적인 투명성이 필요합니다. 앱이 AI 콘텐츠를 생성한다면 사용자에게 알려야 합니다.
- 캘린더 알림 설정 – 2026년 8월. 그 주가 아니라 그 이전에 컴플라이언스를 정리하는 것을 목표로 합니다.
대부분의 스타트업에게 실제 컴플라이언스 작업은 몇 일간의 문서 작업에 불과하며, 코드를 다시 작성하는 것이 아닙니다. 어려운 점은 이 작업이 필요하다는 사실을 인식하는 것입니다.
Open‑source scanner
스캐너를 MCP 서버 형태로 오픈소스화했으며 로컬에서 실행할 수 있습니다. 프로젝트 디렉터리를 지정하면 다음을 수행합니다:
- 의존성 및 소스 코드를 스캔합니다.
- 발견된 프레임워크를 보고합니다.
- 위험 카테고리를 제안합니다.
가입 필요 없고, 무료 티어에 API 키도 필요 없습니다. 설정 및 실행에 약 5 minutes 정도 걸립니다.
스토리 모집
저는 EU AI 법안을 위한 컴플라이언스 도구를 직접 필요했기 때문에 만들고 있습니다. 만약 여러분도 비슷하게 “잠깐, 이게 나에게 적용되는 건가?” 하는 순간을 겪었다면, 댓글로 진심으로 이야기를 듣고 싶어요.