핵심 요약
- 2026년 1월 22일 시행된 AI기본법에서 '보건의료'는 고영향 AI 11개 분야 중 하나로 명시됐다.
- 의료 AI 기업은 위험관리, 설명의무, 학습 데이터 공개, 문서 5년 보관 등의 의무를 진다.
- 다만 디지털의료제품법을 이미 준수하고 있다면 AI기본법의 고영향 AI 책무를 이행한 것으로 간주될 수 있어, 이중규제 우려는 상당 부분 해소됐다.
세계에서 가장 빠른 AI 규제법
2026년 1월 22일, '인공지능 발전과 신뢰 기반 조성 등에 관한 기본법'(이하 AI기본법)이 시행됐다. 2024년 12월 국회를 통과한 법안으로, EU AI Act에 이어 세계에서 두 번째로 만들어진 포괄적 AI 규제법이다. 전면 시행 시점만 놓고 보면 한국이 가장 빠르다.
이 법의 뼈대는 '위험 기반 접근(Risk-based Approach)'이다. 모든 AI를 일률적으로 규제하지 않고, 사람의 생명이나 기본권에 영향을 줄 수 있는 분야에 한해 엄격한 기준을 적용한다. 법은 이런 AI를 '고영향 인공지능'이라 부른다.
법의 이름에 '기본법'이 들어간 데는 이유가 있다. 규제만 하려는 게 아니다. AI 산업의 성장을 촉진하면서 동시에 국민의 안전과 권익을 보호하겠다는 두 가지 목적을 명시하고 있다. 정부가 AI 데이터센터를 구축하고, 학습 데이터를 생산/배포하며, 중소기업과 스타트업을 지원하도록 하는 조항까지 포함돼 있으니, 규제법이자 진흥법인 셈이다.
의료 AI 업계가 주목하는 건 이 균형추가 실제로 어디에 놓이느냐는 문제다.
'고영향 AI'라는 새로운 기준
AI기본법의 핵심 개념은 '고영향 인공지능'이다. 법적 정의는 이렇다: "사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 인공지능 시스템."
고영향 여부를 판단하는 절차는 두 갈래로 나뉜다. 우선 법이 지정한 11개 분야에서 활용되는 AI인지 본다. 에너지, 보건의료, 원자력, 교통, 금융, 교육, 고용, 공공안전, 출입국 관리, 사회보험/복지, 생체인식이 해당된다. 그다음, 해당 AI가 위험의 영향, 중대성, 빈도 측면에서 실제로 기준을 충족하는지 종합 판단한다.
다시 말해, 보건의료 분야의 AI라고 자동으로 고영향이 되지는 않는다. 흉부 X선 판독 AI나 디지털 병리 분석 AI처럼 진단에 직접 관여하는 소프트웨어는 고영향으로 분류될 가능성이 높다. 반면 걸음 수를 세는 건강 앱이나 식단 추천 앱은 제외될 수 있다.
자사 제품이 고영향인지 확신이 없다면 과학기술정보통신부에 분류 확인을 요청할 수 있다. 30일 이내에 답변이 오도록 돼 있어서, 모호한 상태로 오래 불안해할 필요는 없다.
의료 AI 기업이 지게 되는 여섯 가지 의무
고영향 AI로 분류된 제품을 운영하는 사업자에게는 여섯 가지 의무가 부과된다(제34조).
첫째, 위험 관리 방안의 수립과 운영이다. AI 시스템이 초래할 수 있는 위험을 식별하고 완화 방안을 마련해야 한다. 의료 AI라면 오진 가능성, 데이터 편향, 특정 인구집단에서의 성능 저하 같은 것들이 해당된다. 식약처 인허가 과정에서 이미 유사한 요구를 받아왔기 때문에 완전히 새로운 부담은 아니다.
둘째, AI 결과의 판단 기준 설명이다. 이른바 '설명 가능한 AI(XAI)'의 법적 의무화다. 폐결절을 발견한 AI가 "이 영역이 의심됩니다"라고만 알려주는 건 부족하다. 어떤 기준과 원리로 그 결론에 도달했는지를 이용자(의사)에게 설명할 수 있어야 한다. 현재 대부분의 의료 AI가 히트맵(heatmap)이나 주의(attention) 시각화를 제공하고 있지만, 법이 요구하는 '설명'의 수준이 어디까지인지는 가이드라인이 구체화되면서 윤곽이 잡힐 것이다.
셋째, 학습 데이터 개요의 공개다. 환자 개인정보를 내놓으라는 뜻이 아니다. 어떤 종류의 데이터를 어디서 모아서 얼마나 학습시켰는지 수준의 투명성을 요구한다. 예를 들어 "국내 3개 대학병원에서 수집한 흉부 CT 5만 건으로 학습" 같은 정보다.
넷째, 이용자 보호 방안이다. 이의 제기 절차와 피해 구제 방법을 갖춰야 한다.
다섯째, 인간 감독 메커니즘이다. AI의 결정에 사람이 개입할 수 있는 장치가 필요하다. 의료 AI에서는 의사가 최종 판단을 내리는 구조가 보편적이라, 이 의무는 대부분 이미 충족하고 있다.
여섯째, 문서 5년 보관과 홈페이지 게시다. 위의 다섯 가지 조치를 모두 문서로 남기고, 5년간 보관하며, 홈페이지 등에 공개해야 한다.
고영향 여부와 상관없이, 모든 AI 사업자에게는 투명성 고지 의무도 따로 부과된다. "이 서비스는 AI를 사용합니다"라고 이용자에게 미리 알려야 한다. 위반 시 3천만원 이하 과태료가 붙는다.
식약처 규제와 겹치나
의료 AI 기업이 가장 민감하게 반응하는 대목이다. 이미 식약처의 디지털의료제품법에 따라 복잡한 인허가를 받고 있는데, AI기본법이라는 규제가 또 얹어지는 건 아닌지.
결론부터 말하면, 완전한 이중규제는 피하도록 설계됐다. AI기본법 시행령에 '동등 규제 인정(equivalence)' 원칙이 들어 있다. 디지털의료제품법의 요구사항을 이미 충족한 경우, AI기본법의 고영향 AI 책무를 이행한 것으로 간주할 수 있다. 이 원칙은 금융서비스법, 교육 관련 법률 등 다른 분야에도 공통 적용된다. 분야별 전문 규제가 대체로 AI기본법보다 구체적이고 엄격하기 때문에, 같은 내용을 두 번 준수하게 하지는 않겠다는 취지다.
그렇다고 AI기본법의 영향이 제로인 것은 아니다. 식약처가 기존에 요구하지 않았던 의무가 추가된다. 대표적인 게 투명성 고지 의무다. "이 진단 보조 소프트웨어는 AI를 사용합니다"라는 사실을 이용자에게 사전에 명확히 알려야 한다. 의사라면 이미 알고 쓰는 사실이지만, 계약서나 이용약관, 제품 화면에 법적 고지 절차를 갖추는 건 별개의 작업이다.
식약처 자체도 AI기본법에 발맞춰 가이드라인을 보강하고 있다. 2026년 2월에 발표한 'AI 의료기기 관리 가이드라인 v2.0'에서는 데이터 편향성과 알고리즘 투명성 검증을 필수 항목으로 새로 추가했다. 'AI 의료기기 팩트시트' 의무 공시도 도입했다. AI기본법이 요구하는 투명성의 정신을 식약처 규제 체계 안에 녹여 넣은 것으로 볼 수 있다.
정리하면 이런 그림이다. 식약처 인허가를 성실히 받아온 기업은 AI기본법의 고영향 AI 의무 대부분을 이미 충족하고 있을 가능성이 크다. 새로 신경 써야 하는 건 주로 투명성 고지와 문서화/공개 절차 쪽이다.
한국법과 EU AI Act, 과태료 1,500배 차이
AI기본법은 EU AI Act를 참고해 만들어졌지만, 결과물은 상당히 다르다.
가장 눈에 띄는 차이는 위험 분류 체계다. EU는 금지, 고위험, 제한, 최소 위험의 네 등급으로 AI를 나눈다. 사회적 신용점수를 매기는 AI처럼 원천적으로 금지하는 유형도 있다. 한국은 '고영향' 하나로 단순화했고, 금지 AI 유형은 따로 정하지 않았다.
과태료 수준의 차이는 충격적이다. EU AI Act의 최대 과태료는 3천만 유로(약 450억원) 또는 글로벌 매출의 6%다. 한국의 최대 과태료는 3천만원이다. 약 1,500배 차이. 이 숫자 하나가 두 법의 성격 차이를 가장 직접적으로 보여준다. 한국법은 강력한 처벌보다 자율적 준수를 유도하는 쪽에 무게를 뒀다.
산업 진흥 조항에서도 결이 다르다. EU AI Act에는 산업 지원 내용이 거의 없다. 한국 AI기본법은 AI 데이터센터 구축, 학습 데이터 생산/배포, 기술 표준화, 중소기업 지원을 정부가 직접 추진하도록 명시했다.
의료 AI 기업에게 흥미로운 지점은 시간표다. EU에서는 의료 AI가 대부분 '고위험'으로 분류되며, 본격 규제가 2027년부터 시작된다. 한국은 2026년 1월에 이미 시행됐지만, 최소 1년의 계도기간을 두고 있어서 실질 제재는 2027년 이후에나 시작될 전망이다. 양쪽 모두 2027년 전후가 실질적 분수령인 셈이다.
글로벌 시장을 목표로 하는 한국 의료 AI 기업이라면, 한국법 준수만으로는 부족하다. EU 시장에 나가려면 더 까다로운 EU AI Act 기준을 별도로 맞춰야 한다. 다만, 한국에서 먼저 고영향 AI 의무를 이행한 경험이 EU 대응의 기초가 될 수는 있다.
대형 기업과 스타트업, 체감이 다를 수밖에 없다
이 법이 업계에 미치는 영향은 기업 규모에 따라 확연히 갈린다.
FDA, CE마킹 등 글로벌 인허가를 이미 보유한 대형 의료 AI 기업은 위험관리 체계와 문서화 프로세스가 잡혀 있다. AI기본법이 요구하는 투명성이나 설명의무도 기존 체계를 보완하는 수준에서 대응할 수 있다. 이런 기업에게 AI기본법은 큰 추가 부담이 아닐 가능성이 높다.
반면 초기 스타트업 사정은 다르다. Startup Alliance가 2025년 말 진행한 조사에서, 국내 AI 스타트업 대부분이 AI기본법 대비를 "미준비"로 답했다. 위험관리 체계를 세우고, 데이터 거버넌스를 구축하고, 설명가능성을 확보하려면 전담 인력이 필요하다. 의료 AI 스타트업이라면 식약처 인허가만으로도 벅찬 상황에서 AI기본법 컴플라이언스까지 얹어야 하니, 진입 장벽이 한 층 더 높아지는 구조다.
다행히 즉각적인 충격은 제한적이다. 법 시행 후 최소 1년은 계도기간이라서, 중대한 인명사고나 인권 침해가 아닌 한 과태료를 매기지 않는다. 정부가 운영하는 '통합안내지원센터'에서 컨설팅도 받을 수 있다.
한 가지 더 짚을 대목이 있다. 의료 AI는 다른 고영향 AI 분야에 비해 오히려 유리한 위치에 있다. 이유는 단순하다. 식약처라는 강력한 전문 규제 기관 아래서 이미 엄격한 인허가를 받아왔기 때문이다. '동등 규제 인정' 덕분에 식약처 기준을 충족하면 AI기본법 의무도 상당 부분 커버된다. 채용 AI나 금융 AI 분야는 그런 기존 전문 규제가 약해서 AI기본법이 사실상 첫 번째 본격 규제가 된다. 상대적으로 의료 AI가 더 준비돼 있는 셈이다.
출처
- 피카부랩스, "AI 기본법 완전 정리"
- Cooley 법률사무소, "South Korea's AI Basic Act: Overview and Key Takeaways", 2026.1.27
- 김앤장 법률사무소, "인공지능기본법 관련 최신 동향"
- Future of Privacy Forum, "South Korea's New AI Framework Act"
- CODIT, "인공지능기본법 시행령 제정안 주요 내용"
- 법제처, "인공지능 기본법 시행령 제정안 입법예고"
- 법률신문, "AI기본법 하위법령/가이드라인에 따른 헬스케어 분야 주요 시사점"