2026년 5월 7일, EU 이사회와 유럽의회는 Digital Omnibus AI에 합의했다. 2024년 AI Act 발효 이후 첫 번째 체계적 개정이다. 전면 재검토가 아니다. 기한 연장, 중소기업 의무 간소화, 위험 범주 경계 재정의가 핵심이다. 유럽 시장에서 AI를 활용하는 기업이라면 이 실질적 변화를 놓쳐서는 안 된다.
수치부터 살펴보면, 2026년 5월 발표된 데이터에 따르면 이탈리아 중소기업의 79%가 이미 AI 도구를 사용하고 있다. 그러나 10곳 중 4곳도 안 되는 기업만이 AI 사용에 관한 내부 정책을 갖추고 있다. 사실상의 도입과 공식 거버넌스 사이의 이 간극이 바로 Digital Omnibus가 원래 AI Act보다 덜 엄격한 방식으로 규율하려는 영역이다.
어느 AI 시스템이 새 의무에 해당하나
EU AI Act는 AI 시스템을 네 가지 범주로 분류한다. Digital Omnibus는 이 구조를 변경하지 않는다. 개정은 주로 각 범주별 적용 기한과 적용 기준에 관한 것이다.
AI Act 위험 범주별 AI 시스템 분포, Digital Omnibus 2026 적용 기준
출처: European AI Office, SpazioCrypto 분석, 2026년 5월
실무적으로 해석하면, 중소기업이 매일 사용하는 AI 시스템의 대다수(내부 챗봇, 글쓰기 보조 도구, 데이터 분석, 제품 추천, 가상 어시스턴트)는 “최소 위험” 범주에 속한다. 이들에 대한 원래 AI Act의 의무는 이미 가벼웠고, Digital Omnibus도 이를 유지한다. 의무 등록 없음, 공식 적합성 평가 없음, 권고 모범 사례만 적용된다.
Digital Omnibus에 대한 유럽 집행위원회의 공식 입장은 X 프로필에서 업데이트된다: EU_Commission on X.
구체적으로 무엇이 바뀌나: 기한과 중소기업
5월 7일 합의에서 세 가지 구체적 운영 변경 사항이 도출됐다.
첫째: 비핵심 분야 고위험 시스템의 기한이 연장됐다. 일부 시스템 범주의 유럽 데이터베이스 등록 의무와 적합성 평가가 미뤄진다. 덜 규제된 분야(마케팅, 비결정적 HR, 물류 최적화)에서 일하는 기업은 적응할 시간을 더 확보하게 됐다.
둘째: 직원 250명 미만, 매출 5,000만 유로 미만의 중소기업은 내부 배포 AI 시스템에 대한 기술 문서 의무 기준이 낮아진다. 집행위원회는 소기업에 과도한 부담을 지적했던 유럽 산업계의 압력을 반영했다.
셋째: “고영향 모델”(훈련 시 10^25 FLOP 임계값)에 해당하지 않는 생성형 AI 시스템(텍스트 작성. 코드 생성, 질의응답용 언어 모델)은 “범용 AI 모델” 범주의 가장 무거운 의무에서 벗어난다. 실무적으로는, 이메일이나 문서 자동화에 Claude Sonnet, GPT-4o, Gemini Flash를 사용하는 기업은 별도의 적합성 인증이 필요하지 않다. GPT-5나 Claude Opus 수준의 모델은 해당 임계값에 포함된다. 비즈니스 AI 자동화를 관리하는 담당자에게 이는 중요한 운영상 구분이다.
AI 이용 기업들에 무엇을 의미하나
짧게 답하면, 지금 당장 크게 바뀌는 것은 없다. 그러나 향후 18개월 안에 많은 것이 달라진다. Digital Omnibus는 기한을 연장했을 뿐, 의무를 없애지는 않았다. 내부 AI 사용 정책이 없는 기업(2026년 5월 데이터 기준 중소기업의 60% 이상)은 더 많은 시간을 얻었을 뿐. 영구적 면제를 받은 것이 아니다.
지금 바로 구조화할 만한 실질적 조치: (1) 사내에서 사용하는 AI 시스템을 파악하고 해당 위험 범주를 확인한다; (2) 사용 중인 AI 도구 공급업체가 “고영향 모델”에 해당하는지 확인한다; (3) 최소 위험 시스템에 대해서도 내부 사용 정책을 준비한다. 많은 분야에서 2027년부터 공공 입찰에 이 정책이 요구될 것이기 때문이다.
AI Act 통합 본문(EU 규정 2024/1689)은 EUR-Lex에 공개돼 있으며 주요 규범적 참고 문서로 남아 있다.
Digital Omnibus의 개정 사항은 위임 규정을 통해 공식 법문에 포함될 예정이며, 2026년 9월 이전 공개될 가능성이 높다. 컴플라이언스 또는 기술 관리 담당자라면 정치적 선언보다 이 위임 규정을 모니터링하는 것이 훨씬 중요하다. 한국 기업이 EU 시장에 AI 기반 제품이나 서비스를 제공한다면. AI Act의 역외 적용 조항은 Digital Omnibus 이후에도 그대로 유효하다. 금융감독원(FSS)과 금융위원회(FSC)는 아직 EU AI Act에 상응하는 국내 AI 규제 틀을 발표하지 않았지만. 글로벌 서비스를 운영하는 기업은 EU 기준을 기준선으로 삼을 필요가 있다.
한국 기업들이 아직 놓치고 있는 부분이 있다. AI를 사용한다고 밝힌 기업 중 실제로 도구들이 최종 사용자 투명성 의무를 충족하는지 확인한 곳이 얼마나 되는가? 이 요건은 Digital Omnibus에서도 변경되지 않았다. Google, Microsoft, Anthropic은 이미 자사 엔터프라이즈 제품을 준수 상태로 정비했다. 틈새 도구나 자체 개발 솔루션을 사용하는 기업의 경우 검증 작업이 아직 상당 부분 남아 있다. 2026년 9월 위임 규정 공개와 각국 규제 기관의 국가별 가이드라인이 다음 핵심 모니터링 시점이다.
