저는 미국에 기반을 두고 있습니다 — EU AI Act가 제 Python 앱에 적용되는 이유는 무엇인가요?

Source: Dev.to

6개월 전이라면, 유럽 규제가 뉴욕에 있는 $5 DigitalOcean 드롭릿에 호스팅된 내 사이드 프로젝트에 적용된다고 하면 웃었을 거예요. 이제는 웃지 않아요.

아무도 읽지 않는 조항

모두가 제 6조(위험 분류)와 제 52조(투명성)에 대해 이야기합니다. 하지만 제 2조 — 이 규제가 누구를 대상으로 하는지 정의하는 조항 — 은 빠져 있습니다.

EU AI 법은 AI 시스템의 제공자와 배포자에게 적용됩니다, 그들이 EU에 설립되어 있는지 여부와 관계없이, AI 시스템이 생성한 출력이 EU에서 사용되는 경우.

다시 한 번 읽어 보세요. 그들이 EU에 설립되어 있는지 여부와 관계없이. 프랑스, 독일 또는 27개 EU 회원국 중 단 한 명의 사용자가 당신의 AI‑기반 앱을 사용한다면, 당신은 적용 범위에 포함됩니다.

잠깐, 이게 다시 GDPR이 아닌가요?

네. 같은 전략입니다.

2018년에 GDPR은 수천 개의 미국 기업을 당황하게 만들었습니다. “우리는 EU 서버가 없습니다”는 방어가 되지 않았고, “우리는 EU 사용자를 특별히 타깃팅하지 않습니다”는 거의 방어가 되지 않았습니다.

EU AI 법안은 같은 일을 하지만 개인 데이터가 아니라 AI 시스템을 대상으로 합니다. 그리고 벌금은 더 가혹합니다: **€35 million 또는 전 세계 연간 매출의 7 %**까지 (GDPR 최대치는 €20 M 또는 4 %).

5‑문항 자기점검

법률 텍스트를 몇 시간씩 읽기 전에 다음을 확인해 보세요:

• EU(유럽 연합) 내에서 누군가가 귀하의 AI 기능에 접근할 수 있나요? (API를 통한 경우도 포함)
• EU에 기반을 둔 고객이나 사용자가 있나요?
• 서비스 약관에 EU 사용자를 명시적으로 제외하고 있지 않나요?
• 귀하의 AI 모델이 EU 사용자를 대상으로 서비스를 제공하는 제3자에 의해 배포되고 있나요?
• EU 기반 출처의 데이터를 처리하고 있나요?

YES가 하나라도 있으면 = 해당 범위에 포함될 가능성이 높습니다.

대부분의 인디 개발자와 소규모 SaaS 제품의 경우, 질문 1에 대한 답은 거의 항상 ‘예’입니다. EU IP 주소를 적극적으로 차단하지 않는 한, 귀하는 아마도 해당 범위에 포함됩니다.

So I’m in Scope. Now What?

Don’t panic. Being in scope doesn’t mean heavy compliance for everyone. It depends on your risk level:

Most AI apps (chatbots, recommendation engines, content tools)

Minimal risk. You just need basic transparency — tell users they’re interacting with AI.

Some AI apps (HR screening, credit scoring, medical diagnosis)

High risk. Full compliance stack required.

A few AI apps (social scoring, manipulation)

Banned outright.

Quick Scope‑Check Script

EU_COUNTRIES = {
    "AT", "BE", "BG", "HR", "CY", "CZ", "DK", "EE", "FI", "FR",
    "DE", "GR", "HU", "IE", "IT", "LV", "LT", "LU", "MT", "NL",
    "PL", "PT", "RO", "SK", "SI", "ES", "SE"
}

def am_i_in_scope(config: dict) -> dict:
    """Quick EU AI Act Article 2 scope check."""
    triggers = []

    if config.get("provider_country") in EU_COUNTRIES:
        triggers.append("You are established in the EU")

    if config.get("has_eu_users"):
        triggers.append("Your AI output reaches EU users")

    if config.get("eu_accessible") and not config.get("geo_blocks_eu"):
        triggers.append("AI service accessible from EU without geo‑block")

    if config.get("third_party_eu_deployment"):
        triggers.append("Third party deploys your model in the EU")

    return {
        "in_scope": len(triggers) > 0,
        "triggers": triggers,
        "risk_level": "Check Article 6" if triggers else "N/A",
        "deadline": "August 2, 2026"
    }

# Example: US‑based SaaS with global users
result = am_i_in_scope({
    "provider_country": "US",
    "has_eu_users": True,
    "eu_accessible": True,
    "geo_blocks_eu": False,
    "third_party_eu_deployment": False
})
print(result)
# {'in_scope': True, 'triggers': ['Your AI output reaches EU users',
#  'AI service accessible from EU without geo‑block'],
#  'risk_level': 'Check Article 6', 'deadline': 'August 2, 2026'}

실제로 제가 한 일

저는 자체 프로젝트를 자동 스캐너에 통과시켰습니다. 스캐너가 세 가지를 잡아냈습니다:

1. 범위 결정이 문서화되지 않음 — “이것이 나에게 적용되는가?” 라는 질문조차 하지 않았습니다.
2. 투명성 고지 누락 — 챗봇 기능이 AI‑생성임을 밝히지 않았습니다.
3. 위험 분류 없음 — “작은 프로젝트 = 위험 없음”이라고 가정했습니다 (잘못된 프레이밍).

수정하는 데 약 2시간이 걸렸습니다. 투명성 고지는 10줄의 코드만 추가하면 되었고, 위험 분류 문서는 마크다운 파일 하나로 만들었습니다. 범위 결정은 위의 스크립트가 되었습니다.

자동 검사를 원한다면, 저는 파이썬 코드베이스에서 준수 격차를 스캔하는 무료 오픈‑소스 도구를 만들었습니다: mcp-eu-ai-act on GitHub.

The Timeline That Matters

• February 2025: 금지된 AI 관행이 이미 금지됨
• August 2025: 범용 AI 규칙 시행
• August 2, 2026: 전면 시행 — 고위험 시스템 요구사항 포함

2026년에 이 글을 읽고 있다면, 당신에게는 수년이 아니라 몇 달이 남아 있습니다.

TL;DR

• 제2조는 EU AI 법이 GDPR 방식의 전 세계 적용 범위를 제공한다고 명시합니다
• EU 사용자가 귀하의 AI 기능에 접근할 수 있다면, 해당 규정 적용 대상일 가능성이 높습니다
• 대부분의 앱은 최소 위험 수준이며(투명성 요구만) 큰 부담이 없습니다
• 2026년 8월까지 기다리지 말고 지금 바로 확인하십시오