나눔 스퀘어 Bold 10pt 줄 간격 150

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

요 약 문

최근 AI와 사이버보안은 국가 경쟁력과 디지털 주권을 좌우하는 핵심 분야로 자리잡았으며, 각

국은 자국의 정치·경제·산업 구조에 기반한 상이한 정책 모델을 구축하고 있다. 본 보고서는 두

기술의 중요성에 주목하여, 미국, 유럽연합, 중국, 일본 등 주요국과 사우디아라비아, 싱가포르 등

신흥국을 대상으로 인공지능과 사이버보안 분야의 거버넌스, 국가 전략, 규제 체계를 종

합적으로 분석하였다. 국가별 차이를 AI와 사이버보안의 기술 특성에 따라 구조화하여

비교·분석한 결과, 미국은 민간혁신 중심의 개방형 접근을 취하면서도 위험관리와 안전성

확보를 위한 행정명령 기반 규제를 병행하고 있다. 유럽연합은 EU AI Act와 NIS2 등 강

력한 규제 체계를 통해 글로벌 기술 규범을 선도하고 있다. 중국은 국가안보와 데이터 통

제를 핵심 원칙으로 하는 중앙집중형 거버넌스를 강화하고 있으며, 일본은 자율 규범과

산업 생산성 향상을 결합한 실용주의 모델을 유지하고 있다. 신흥국 중 사우디아라비아는

초대형 프로젝트와 결합된 중앙집중형 전략을 통해 AI와 보안 기술을 국가발전 전략의

주요 수단으로 활용하고 있으며, 싱가포르는 균형적 규범 체계와 민첩한 실행 구조를 기

반으로 아시아 지역의 선도적 기술 정책 모델을 구축하고 있다. 본 보고서는 이러한 과정

을 통해 국내 SW기업이 규제로 인한 위험 수준과 시장 진입 기회를 판단하는데 참고할

수 있도록 각 국가별로 인공지능 및 사이버보안에 대한 규제 강도를 제시하였다. 규제 강

도 기준으로는 법률 차원의 강력한 구속력이 존재, 주요 기반시설 등 일부에만 의무 부

과, 지침·권고 수준의 자율 규제 기조, 입법 논의 단계의 네 가지 강도를 설정하였다. 이

를 통해 국내 SW기업이 국가별 규제 리스크를 진입전략의 핵심 요소로 인식하고, 시장별

로 차별화된 대응전략을 수립해야 함을 확인한다.

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

Executive Summary

AI and cybersecurity have become critical to national competitiveness and

digital sovereignty, prompting countries to adopt distinct governance, strategy,

and regulatory models. This report analyzes major economies—the United States,

the European Union, China, and Japan—and emerging economies such as Saudi

Arabia and Singapore, comparing national approaches in AI and cybersecurity

and assessing their implications for global markets and corporate activities. The

findings show that the United States combines private-sector-led innovation with

executive action–based risk and safety measures, while the European Union is

shaping global norms through robust frameworks such as the EU AI Act and

NIS2. China strengthens a centralized, security- and data-control-oriented

model, whereas Japan maintains a pragmatic approach centered on voluntary

guidelines and productivity gains. Saudi Arabia links centralized strategies to

large-scale national projects, and Singapore advances a balanced regulatory

framework with agile implementation. Given widening cross-country divergence

in regulation and technology policy, the report highlights the need for Korean

software companies to proactively identify country- and technology-specific risks

and opportunities. It therefore provides a four-level regulatory intensity scale for

each country and technology—ranging from strongly enforceable legal obligations

to sector-limited mandates, guideline-based self-regulation, and legislation under

discussion—so firms can better assess compliance risks and market entry

opportunities and develop market-specific strategies.

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

Ⅰ. 서론

□

국내 SW기업은 글로벌 진출 과정에서 국가별 상이한 정책·규제 환경에

직면하고 있어 국가별 AI 및 사이버보안에 대한 동향 파악과 대응전략

이 필요함

ㅇ

AI 및 사이버보안 분야는 기술 성숙·시장 수요뿐 아니라 규제 적합성 여부가

사업 가능성을 좌우하기 때문에, 국가별 규제에 대한 이해가 필수적임

–

EU는 고위험 AI 적합성 평가·CE 인증 등이 필수 요건으로 작동하며, 중국은

데이터 현지화·보안심사 등 높은 규제 장벽을 요구

ㅇ

중동·동남아시아 등 신흥국은 규제 장벽은 낮으나 정책 방향·거버넌스는 국가

별로 상이하여, 초기 시장 공략 시 정책 신뢰성과 파트너십 구조에 대한 분석

이 중요함

–

말레이시아·UAE 등은 비교적 개방적 환경을 제공하나 사우디아라비아·태국

등은 현지 의무와 제도화 속도를 면밀히 검토해야 함

□

AI와 사이버보안은 주요국 및 신흥국의 국가 경쟁력과 디지털 주권을 좌우하는

핵심 기술로 부상함

ㅇ

주요국은 AI를 산업·안보·사회 전반의 범용기술로 인식하며 국가 차원

의 전략·규제·투자 체계를 빠르게 구축

–

미국·EU·중국·일본은 AI를 혁신·성장·안전 규범을 동시에 관장하는 핵

심 기술로 규정하고 상위 법제 및 조직 개편을 단행

–

중동 및 동남아시아 대륙의 일부 국가들도 AI의 중요성을 인식하고 체

계적인 거버넌스를 구축하고자 하는 움직임이 나타남

ㅇ

사이버보안은 디지털 국가의 안정성과 경제 활동의 기반이 되는 핵심

인프라로, 사이버 위협 증가에 따라 각국이 체계적 대응을 강화하는 추

세임

–

주요국은 국가안보·공공서비스·민간 산업 전반에서 통합적 보안체계를

요구하며 사이버 복원력 강화를 핵심 정책 방향으로 제시

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

–

신흥국의 경우 ASEAN처럼 협력을 통해 대응하면서도, 개별 국가 차

원에서 사이버보안 관련 거버넌스와 전략을 마련하고 있음

□

기술 패권 경쟁 심화와 디지털 규범 확산으로 AI 및 사이버보안 정책·

규제가 글로벌 경쟁 환경을 재편하고 있음

ㅇ

미국은 시장 중심 모델을 결합해 AI 및 보안의 표준을 선도하며, EU는 규범

중심으로 인공지능 및 사이버보안에서 책임성과 투명성을 강화하는 추세임

–

특히 EU는 EU AI Act 및 사이버복원력법(CRA) 등을 통해 기술의 개

발 단계부터 운영·모니터링·사후관리 단계까지 포괄하는 전주기 규제

모델을 구축

ㅇ

중국·일본·중동 및 동남아시아 국가들은 각국의 정치·산업·사회 구조에 맞춘

다양한 정책·규제 모델을 통해 시장·정책의 다양성을 확대하고 있음

–

중국은 중앙집중형 관리 체계를 기반으로 강력한 데이터·보안 규제 모

델을 확산하고 있으며, 싱가포르는 민첩한 실행 중심의 전략 국가 모

델을 구축함

□

본 보고서는 주요국 및 신흥국의 AI 및 사이버보안 거버넌스·전략·규제 동향을

종합적으로 분석하고, 국내 SW기업의 대응 방향을 제시하고자 함

ㅇ

대상국 선정에 있어 글로벌 AI·사이버보안 규범·시장 형성에 대한 영향력, 기

술·산업 경쟁력, 정책·규제 선도성 및 신흥시장 확장성이 종합적으로 고려

–

주요국으로는 국제 규범과 기술 질서를 주도하는 미국·EU·중국·일본을 선정

–

신흥국으로는 시장 기회가 빠르게 확대되는 중동 및 동남아시아 국가를 선정

ㅇ

국가별 AI 및 사이버보안에 대한 규제를 검토·비교하여 시장구조의 변화 방향

성을 제시

ㅇ

분석 결과를 기반으로 국내 SW기업의 국가별 시장 진출시 규제 대응

방향과 관련하여 시사점을 도출

–

단, 규제에 국한한 논의이므로 포괄적인 해외진출 전략 방향과는 차이

가 발생할 수 있음

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

Ⅱ. 인공지능 정책 및 규제 현황

1. 미국

□

미국의 AI 정책 거버넌스는 백악관을 중심으로 「국가 AI 이니셔티브법

(National AI Initiative Act of 2020)」에 따라 다층적인 체계를 구축

ㅇ

NAIIA를 통해 연구 투자 확대, 공공 데이터 인프라 개선, 컴퓨팅 역량 강화,

기술표준 마련, 인력양성 등 국가 차원의 전략 목표를 제도화함

ㅇ

과학기술정책실(OSTP)이 국가 정책 방향을 설정하고 산하에 국가 AI

이니셔티브 사무국(NAIIO)이 신설되어 연방 차원의 AI 정책을 총괄·

조정하고 국가 AI 전략을 이행

ㅇ

OSTP 산하 선정위원회(Select Committee on AI)가 상설화되어

NAIIO를 지원하고 각 부처의 AI 프로그램을 조율하며, 국가 AI 자문

위원회(NAIAC)는 정부에 정책을 권고

ㅇ

국방부 CDAO(Chief Digital and AI Office)는 국방·안보 분야에서 AI 활용

을 주도함

□

미국은 AI 위험관리 체계와 연방기관별 관리 구조를 통해 공공·민간 전반에서

AI 활용에 대한 관리 및 통제를 제도화하고 있음

ㅇ

미 상무부 산하 국립표준기술연구소(NIST)는 ‘AI 위험 관리 프레임워크(AI

Risk Management Framework)’를 개발하여 민간 및 공공 부문에서 AI의

위험을 관리할 수 있는 자발적 지침을 제공

ㅇ

연방기관 내 Chief AI Officer(CAIO)를 지정하고 AI 거버넌스 위원회(AI

Governance Boards)를 구성하여 기관별 AI 전략을 관리

□

인공지능 규제는 주로 시장 자율에 맡겨져 있으며, 인공지능을 활용한 불공정

행위에 대해서는 FTC가 사후적으로 단속하는 수준에 머물러 있음

ㅇ

트럼프 행정부 출범 이후, 이전 정부가 마련한 인공지능 행정명령(EO 1411

01))을 철회하고, 구속력 없는 정책과 표준 중심의 자율 규제 방식으로 전환

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

예를 들면 프론티어 인공지능 모델 개발자는 안전성 테스트 결과와 핵심 정보를 정부에 공유토록 하

는 등 기준을 제시하고 있다.

다만 해당 법률은 과도한 규제라는 반대의견으로 인해, 주의회에서 재조정을 논의 중에 있다.

–

미국 내 기업들은 미국 상무부 산하 NIST가 발표한 AI 위험관리 프레임워

크(NIST AI Risk Management Framework)를 중심으로 모델 개발 단계

에서부터 리스크 식별·평가·완화 절차를 자발적으로 구축하는 흐름이 형성

ㅇ

즉, 연방 차원에서 포괄적인 인공지능 규제 법률은 아직 마련되지 않았으며, 인

공지능으로 인해 문제가 발생할 경우에는 소비자보호법이나 프라이버시법 등

을 활용해 부수적으로 대응

–

FTC가 인공지능을 이용한 과장광고나 기만적 활동을 불공정 행위로

판단하여 제재

□

일부 주가 자체적으로 관련 법률을 제정해 시행하는 형태로 규제 공백을 보완

–

콜로라도주는 2024년 5월 17일 제정(2026년 2월 1일 시행예정)한

인공지능 특별법2)에서 인공지능 시스템에 대해 개발자(developer)와

배포자(deployer) 모두에게 알고리즘 차별 위험으로부터 소비자 보호

조치를 하도록 하고, 고위험 인공지능 시스템에 대해 배포자가 영향

평가를 수행토록 함

–

캘리포니아는 2024년 9월 19일 제정(2026년 1월 1일 시행예정)한

인공지능 투명성법에서 생성형 인공지능 시스템 제공자에게 학습데이

터의 투명성을 확보하기 위해 관련 내용을 공개토록 하고 출력물에

대한 표시 책임을 강화

2. EU

□

EU는 집행위원회(European Commission)를 중심으로 회원국 협력체계를

통해 규제·윤리·산업 전략을 통합하는 초국가적 거버넌스를 구축하고 있음

ㅇ

AI 정책 총괄은 EC 디지털국(DG CNECT) 및 산업·내시장국(DG GROW)

등이 담당하며, AI 정책 조율을 위해 회원국 대표로 구성된 조정위원

회와 이해관계자 포럼인 EU AI Alliance를 운영함3)

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

European Commission(2025). European approach to artificial intelligence. Shaping Europe’s

digital future.

European AI Office 홈페이지. https://digital-strategy.ec.europa.eu/en/policies/ai-office

European Commission(2025). European approach to artificial intelligence. Shaping Europe’s

digital future.

Caroli, Laura(2025). 『The EU AI Continent Action Plan』. Center for Strategic & International

ㅇ

EU 산하에 설립된 유럽 AI 사무소(European AI Office)는 범용 AI 모델 제

공자의 의무 준수 여부를 감독하고, 회원국의 시장 감시 당국과 협력하

여 규제가 원활하게 작동하도록 조율4)

ㅇ

2024년 제정된 EU AI Act에 따라 고위험 AI 감독을 전담하는 European

AI Board가 신설되어 회원국 감독당국 간 협력과 집행 일관성을 보장

–

EU AI Act의 시행은 27개 회원국 간 규제의 조화와 위험기반 접근

의 제도화라는 두 가지 목표를 동시에 달성하기 위한 핵심 기반으로

기능함

□

EU AI 전략의 핵심 목표는 AI 분야의 글로벌 허브, 안전 및 기본권 보장, 경

제 성장 및 경쟁력 강화로 요약될 수 있음

ㅇ

2018년 “유럽 AI 전략”과 “조율된 AI 계획(Coordinated Plan)”을 시작으

로 AI를 통해 탁월성(excellence)과 신뢰(trust)를 동시에 확보하는 전략

을 추진하고, 2020년 AI 백서를 통해 신뢰 가능한 AI 생태계 비전을 제시

ㅇ

이후 EU AI Act라는 구체적 규제체계로 발전되면서 혁신 촉진과 동시에 강력

한 규제 프레임워크를 구축

ㅇ

EU는 2025년 4월 AI 대륙 행동 계획(AI Continent Action Plan)과

10월 AI 적용 전략(Apply AI Strategy)을 발표하여 AI 종합 실행게획

을 수립5)

–

대규모 컴퓨팅 인프라 확충, 고품질 데이터 접근성 향상, 인재 확보, 전략

산업 분야 적용 확대를 중심으로 EU의 AI 경쟁력 제고 방안 제시

–

최대 2천억 유로 규모의 AI 투자 펀드를 동원해 유럽의 자율성 확보

목표를 밝힘6)

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

Studies.

(1단계) 수용불가 인공지능 시스템, (2단계) 고위험 인공지능 시스템, (3단계) 제한적 위험 인공지

능 시스템, (4단계) 최소 위험 인공지능 시스템

□

EU는 인공지능을 대상으로 하는 최초의 구속력 있는 포괄적인 규제법을

마련하여, 인공지능 시스템을 규율 대상으로 삼고 개발부터 운영·사후관리

까지 전주기를 염두하여 규율

ㅇ

(역외적용) EU 역내에 법인이 없는 국내 SW기업이라도 한국에서 개발한 인

공지능 시스템을 EU 시장에 판매하거나 그 결과물이 EU 내에서 사용되면

EU AI Act를 반드시 준수해야 함

□

구체적으로는 인공지능을 4단계 위험 수준으로 분류7)해 차등적으로 규

율하며, 범용 인공지능 모델(General Purpose AI, GPAI)은 위험 등급과

별도로 추가 의무를 부과

ㅇ

(수용불가 인공지능 시스템) 최고 위험단계에 해당하는 인공지능 시스

템은 전면 금지

–

고의 또는 과실로 이를 위반하여 금지된 인공지능 시스템을 제공한

자에게는 직전 회계연도 전 세계 매출액의 7% 또는 3,500만 유로의

과징금을 부과할 수 있음

ㅇ

(고위험 인공지능 시스템) 2단계 위험단계인 고위험 인공지능은 개발·

운영 전주기에 걸쳐 미국 빅테크 기업조차 부담스러워하는 수준의 강

화된 의무를 부과

–

고위험 인공지능 시스템의 공급자, 운영자, 수입업자, 유통업자는 해

당 시스템이 공공서비스에 이용되거나 사람의 신용도를 평가시 출시

전에 ‘기본권 영향평가’를 수행해야 함

–

이외의 고위험 인공지능 시스템의 공급자, 운영자, 수입업자, 유통업

자는 ① 품질관리시스템 구축 : 개발부터 사후관리까지 전 과정에

대한 문서화, ② 기술문서 작성 : 알고리즘·데이터 출처·테스트 검증

결과 명시, ③ 시험 및 인증 : 적합성 평가 후 CE 표시 부착, ④ 로

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

그 기록 : 추적 가능성 확보를 위한 전주기 로그 관리를 해야 함

–

이러한 의무를 위반할 경우 직전 회계연도 전 세계 매출액의 3% 또

는 1,500만 유로의 과징금을 부과할 수 있고, 관할 당국 요청에 대

한 부정확한 회신 또는 오해 소지가 있는 정보 제공시에는 전 세계

매출액의 1% 또는 75만 유로의 과징금을 부과할 수 있음

ㅇ

(제한적 위험 인공지능 시스템) 인공지능 제공자(Provider)에게 투명

성 의무를 부과

–

① 사용자가 인공지능과의 상호작용 중이라는 사실, ② 합성 컨텐츠라

는 점에 대하여 표시 의무를 부과

–

이러한 의무를 위반할 경우 직전 회계연도 전 세계 매출액의 3% 또

는 1,500만 유로의 과징금을 부과할 수 있고, 관할 당국 요청에 대

한 부정확한 회신 또는 오해 소지가 있는 정보 제공시에는 전 세계

매출액의 1% 또는 75만 유로의 과징금을 부과할 수 있음

ㅇ

(범용 인공지능 모델) 기반 모델로서의 인공지능 제공자에게도 별도의

의무를 부과

–

① 기술문서를 작성, ② 저작권 정책을 수립·이행, ③ 학습데이터 관

련정보의 요약 공개 의무를 부과

–

또한 시스템적 위험을 초래할 가능성이 있는 대형 모델은 사이버보안

위험 평가·완화 체계를 갖추고 사고 발생 시 EU위원회에 보고해야 함

–

이를 위반하여 범용 인공지능 시스템을 제공한 자에게는 직전 회계

연도 전 세계 매출액의 3% 또는 1,500만 유로의 과징금을 부과할

수 있음

□

EU 인공지능법의 시행 시기가 일부 조정되면서, 국내 고위험 AI에 대한 기

술을 보유한 SW기업들은 향후 규제 준수 지원조치 마련 후 6개월 시점까

지를 규제에 적응하며 EU 시장 진출을 모색할 수 있는 기간으로 활용 가능

ㅇ

금지된 인공지능에 대한 조항이 2025년 2월 2일에 전면 시행되었고, 범

용 인공지능(GPAI) 제공자(Provider)에 대한 주요 의무는 2025년 8월

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification

of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on

AI)

2일 시행됨

ㅇ

한편 EU 집행위원회(EC)는 2025년 11월 19일에는 ‘AI에 대한 디지털

옴니버스(Digital Omnibus on AI)’8)를 발표하고, 고위험 인공지능 시

스템(High-risk AI systems)에 대한 시행 시점을 유예

–

EU 집행위원회는 기존 법률을 시행할 경우 발생할 복잡성·비용증가·표

준지연 등이 행정기관과 민간사업자에게 부담을 주고, 혁신을 저해할

수 있다는 우려를 근거로 EU AI Act의 시행 방향에 대한 변화를 제안

–

2026년 8월부터 시행 예정이던 고위험 인공지능에 대한 의무조항(적

합성 평가 및 CE마크 부착 등)의 시행 시점을 아래 표와 같이 조정

* EU집행위원회가 관련 표준과 가이드라인 등 고위험 인공지능 관련 의무 부과에 필요한 이행지원

규제대상

시행 예정 시점

실제 시행 시점

위험 수준별

인공지능

수용불가 AI시스템 (제1장)

2024년 8월 1일 발효 이후

6개월 내 시행

2025년 2월 2일 전면 시행함

고위험 AI시스템 (제3장)

2024년 8월 1일 발효 이후

24개월 내 시행

(시행 유예) 규제 준수 지원조치가

이용가능하다고 결정한 날부터

6개월/12개월 이후 시행

* 생체인식, 고용관리 등 AI 시스템은

최대 2027년 12월 2일, 의료기기

AI 시스템은 최대 2028년 8월

2일까지 시행을 연기할 수 있음

제한적 위험 AI시스템

2024년 8월 1일 발효 이후

6개월 내 시행

2025년 2월 2일 전면 시행함

범용 인공지능 모델 (제5장)

2024년 8월 1일 발효 이후

12개월 내 시행

2025년 8월 2일 전면 시행함

[표 1] EU AI　Act 의무조항의 단계별 시행

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

American National Standards Institute(2025). China Announces Action Plan for Global AI

Governance.

조치를 충분히 마련했다고 판단한 결정

3. 중국

□

중국은 중앙정부 주도의 AI 거버넌스 체계를 구축하여 국가 주도의 강력한 추

진력과 혁신 및 통제의 균형에 중점을 둠

ㅇ

국무원이 수립한 「차세대 인공지능 발전계획(2017)」을 중심으로 과학기술부

(MOST), 국가인터넷정보판공실(CAC), 공업정보화부(MIIT), 시장감독관리총

국(SAMR) 등이 역할을 분담

–

국가인터넷정보판공실이 사이버안전 및 데이터 관리, 공업정보화부 및

시장감독관리총국이 산업 진흥과 표준화 등을 담당하는 등 부처별 역할

분담을 통해 상향식이 아닌 철저한 톱다운 방식으로 AI 정책을 집행9)

–

이는 AI가 경제·사회·안보 전반과 연결된 전략기술로 인식되며, 당과 정부

가 직접 지휘하는 국가적 핵심 아젠다임을 보여줌

ㅇ

2023년에는 당 중앙에 과학기술위원회를 신설하여 과학기술 혁신 전략을 당

이 직접 주도하는 구조로 개편

□

「차세대 인공지능 발전계획(2017)」을 통해 2030년까지 중국을 세계 주요 AI

혁신센터로 도약시키겠다는 비전을 제시

ㅇ

2020년까지 선진국 수준 기술 확보, 2025년까지 일부 분야 세계 선도,

구분

고위험 인공지능 유형

적용 시점

최대 유예가능 시점

부속서(Annex) Ⅲ

사용 기반

(신용평가, 채용, 교육, 사회서

비스, 법집행 등)

집행위원회의 결정*시부터

6개월 이후 적용

2027년 12월 2일

부속서(Annex) Ⅰ

제품 기반

(제품 안전 연계 분야)

집행위원회의 결정*시부터

12개월 이후 적용

2028년 8월 2일

[표 2] 고위험 인공지능 관련 의무 적용시점 유예

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

10)

State Council of the People’s Republic of China(2024). China unveils action plan for global

artificial intelligence governance.

11)

김용성(2019). 인공지능(AI) 시대 주요국의 인재양성 정책 동향. 소프트웨어정책연구소.

12)

인터넷 정보 서비스 알고리즘 추천 관리 규정(2022년 3월 1일 시행), 인터넷 정보 서비스 딥페이

크 관리 규정(2023년 1월 10일 시행), 생성형 AI 서비스 관리 임시방법(2023년 8월 15일 시행), 인

공지능 생성 콘텐츠 표시방법(2025년 9월 1일 시행)

13)

해당 규정들은 위반시 시정명령을 내릴 수 있고, 이를 따르는 것을 거부하면 행정안전처벌을 부과

할 수 있다. 특히 인터넷 정보 서비스 알고리즘 추천 관리 규정의 경우는 시정명령을 거부하면 과태

료(1만 위안~10만 위안)도 부과할 수 있다.

2030년까지 AI 핵심 산업 규모 1조 위안 이상 달성과 AI를 경제·사회

발전의 주요 동력으로 삼는 3단계 목표를 설정함10)

ㅇ

이 계획은 AI를 국가 경쟁력과 안보를 강화하는 전략기술로 규정하고, 산업·

교통·안전·의료·교육·농업 등 다양한 영역에서 광범위한 응용을 촉발하는 것

을 중점 목표로 삼고 있음

–

특히 교육부는 「고등교육기관 AI 혁신행동계획(2018)」을 통해 대학 중심의

AI 인재양성·연구역량 강화 계획을 추진하며, AI 고급 인력과 연구

거점을 동시에 확충하는 정책을 병행함11)

□

중국은 법률이 아닌 규정·방법(우리나라의 행정명령·행정규칙에 해당)

형태이지만, 인공지능 관련 규율을 전 세계에서 가장 빠른 속도로 제정·

시행12)

ㅇ

인공지능 산업의 발전을 장려하면서도 국가안보나 사회안정을 위해 여론을 통

제할 필요하다고 판단되는 영역에서는 강한 규제를 병행하는 방식

ㅇ

또한 인공지능 전반을 포괄적으로 규율하는 단일 법률 대신, 관련 문제들을 세

분화된 형태로 분산하여 제정한 점이 특징

–

인터넷 정보 서비스 알고리즘 추천 관리 규정(互联网信息服务算法推荐管

理规定) : 알고리즘 추천 서비스 제공자는 사용자의 중독을 유발할 수 있

는 알고리즘을 정기적으로 점검하고, 불법·유해 정보 탐지·차단할 의무13)

–

인터넷 정보 서비스 심층합성 관리규정(互联网信息服务深度合成管理规定): 딥페

이크 서비스 제공자는 딥페이크 정보에 대해 식별할 수 있도록 조치해야

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

14)

타인의 지식재산권이 부여된 데이터나 개인정보주체의 동의가 수반되지 않은 개인정보 데이터를

사용하면 안된다.

15)

White & Case LLP(2025). AI Watch: Global regulatory tracker – Japan.

하며, 불법·유해 정보를 탐지·차단하고 관련 내용을 당국에 보고

–

생성형 AI 서비스 관리 임시방법(生成式人工智能服务管理暂行办法) : 생성

형 인공지능 서비스 제공자는 합법적 출처의 데이터만을 학습에 사

용해야 하며14), 생성된 결과물에 대해 라벨링 의무를 지님

–

인공지능 생성 콘텐츠 표시방법(人工智能生成合成内容标识办法) : 생성형

인공지능 서비스 제공자는 서비스에서 생성된 모든 결과물에 대해 명확한

라벨링을 할 의무

4. 일본

□

일본은 총리실 산하 AI 전략회의와 AI 전략센터가 정책 조정 기능을 수행하고

관계 부처가 역할을 분담하는 민관 협력형 AI 거버넌스 체계를 구축

ㅇ

AI 전략센터는 부처 간 정책 연계를 강화하고 국가 차원의 AI 전략 수립을 담

당하는 핵심 기구로 기능

ㅇ

총무성은 데이터·플랫폼 정책, 경제산업성은 산업 분야 AI 활용, 문부과학성은

기초연구 및 인재양성 등 부처별 담당 분야와 역할이 비교적 명확하게 분화됨

ㅇ

개인정보보호위원회는 데이터 활용 확대와 개인정보 보호 간 균형을

유지하는 역할을 수행하며 일본식 AI 규범 구조의 핵심 축을 담당

함15)

□

「인간 중심의 AI 사회 원칙」과 Society 5.0 비전을 기반으로 인간 존엄성, 다

양성 및 포용성, 지속가능성을 추구하는 AI 사회 원칙 수립

ㅇ

2017부터 2021년까지 AI 전략을 단계적으로 발전시켜 왔으며, 2022년에는

「AI 전략 2022」를 발표해 인재양성, 산업응용, R&D 강화, 국제 협력 등을

종합 전략으로 제시

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

16)

Andrews, Caitlin(2025). Japan passes innovation-focused AI governance bil.

17)

White & Case LLP(2025). AI Watch: Global regulatory tracker – Japa

18)

生成AIサービスの利用に関する注意喚起等について

19)

AIと著作権に関する考え方について

–

일본은 매년 25만 명 규모의 AI 활용 인재 양성을 목표로 교육과정 개편·

전문대학원 설립 등 인재기반 강화에 집중하고 있음

–

제조·의료·모빌리티·스마트시티 등 산업 분야별 AI 적용 로드맵을 제시해

산업구조 변화를 견인하려는 정책 기조를 유지함

ㅇ

2025년 5월, 일본은 AI 기술의 연구개발 및 활용 촉진을 위한 「AI 촉진법」

을 제정하여 AI 활용 지원을 위한 법적 기반을 마련

–

혁신을 저해하는 규제를 지양하고 기술진흥에 초점을 맞춘 법률로서, AI를

“경제사회 발전의 기본 기술”로 명시함

–

산업 경쟁력 강화를 위한 기본 원칙과 방향을 선언적으로 제시하였

으며, 벌칙없는 권고형 규범으로 민간 자율과 기존 법령 활용을 원

칙으로 삼음16)

–

「AI 촉진법」에 따라 2025년 내각부는 범정부 AI 기본계획을 수립

하고 AI 전략센터를 통해 정책을 조율·추진하게 됨17)

□

한편 기존 개별 법률을 인공지능 적용형으로 해석·확장하는 방식을 통해 인공

지능을 간접적으로 규율하는 접근을 취함

ㅇ

일본 개인정보보호위원회가 2023년 6월 2일 개인정보보호법과 관련하여

생성형 인공지능에 개인정보를 학습시키는 행위를 경고하는 등의 가이드

라인18)을 마련

ㅇ

일본문화청은 2024년 3월 15일 「인공지능과 저작권에 관한 고찰19)」을

통해 기계학습을 위한 비향유 목적의 저작물 이용은 원칙적으로 허용하되,

가 필요할 수 있다고 함

ㅇ

일본 총무성 주도하에 2024년 4월 19일에는 인공지능 사업자 가이드라

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

20)

AI事業者ガイドライン

21)

Memish, Z. A., Altuwaijri, M. M., Almoeen, A. H., & Enani, S. M. (2021). The Saudi Data &

Artificial Intelligence Authority (SDAIA) vision: leading the kingdom’s journey toward global

leadership. Journal of epidemiology and global health, 11(2), 140-142.

22)

Nemko Digital(2025). AI Regulation in the UAE.

인20)을 통해 인공지능 개발자와 제공자 등이 참고할 자율 규제 기준을 제

시

5. 중동 및 동남아시아

□

중동의 아랍 국가들은 국가 주도의 강력한 거버넌스를 통해 AI 정책을 추진하

고 있으며, AI를 국가 비전의 핵심 동력으로 활용하고 있음

ㅇ

대표적으로 사우디아라비아는 데이터·AI청(SDAIA)을 중심으로 중앙집중식 AI

거버넌스를 구축하고 「비전 2030」의 핵심 실행수단으로 AI를 활용

하는 국가 전략을 추진하고 있음21)

–

SDAIA 산하에는 국가정보센터(NIC), 국가데이터관리국(NDMO), 국가 AI

센터(NCAI)가 설치되어 데이터·AI 정책과 인프라를 통합 관리함

–

2030년까지 AI 분야에서 세계 15위권 국가에 진입하고, 750억 리얄(약

26조원) 규모의 투자를 유치하는 것을 목표로 함

NEOM, The Line 등 초대형 스마트시티 프로젝트에서 AI 기반 도시 운영·교통관리·

에너지 관리·보안 시스템을 실증하는 등 AI 활용을 국가 발전 전략과 긴밀히 연계

–

인공지능을 규율하는 법이 없으나, 인공지능을 핵심 산업으로 육성한다는

기조 하에 데이터 거버넌스나 윤리와 관련한 기준은 마련

ㅇ

아랍에미리트(UAE)는 2017년 세계 최초로 AI부 장관직을 신설하고

「국가 AI 전략 2031」을 발표했으나,22) 아직 인공지능과 관련한 법은

마련되지 않음

–

AI 거버넌스 위원회를 통해 국가 차원의 AI 전략을 통합하고 대형 투자 사

업을 조정함

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

23)

Singapore Artificial Intelligence Strategy 2.0.

24)

SmartNation(2025). National AI Strategy.

–

두바이 국제금융센터(DIFC) 혁신 허브 등을 통해 AI 기업을 적극적

으로 유치하는 추세임

□

동남아시아 국가들은 싱가포르가 AI 준비에 있어 선도적이며, 다른 국가들은

기술 채택 및 인프라 구축 단계에 있음

ㅇ

싱가포르는 디지털정부청(SNDGO)·국가 AI 실무청(National AI Office)·개

인정보보호위원회(PDPC)가 참여하는 통합 거버넌스를 운영하여 국가

적 AI 전략 추진에 민첩성과 조정력을 확보한 구조를 갖춤23)

–

디지털정부청은 총리실 산하 기관으로, 스마트네이션 이니셔티브와 디지털

정부 전략 전반을 총괄하는 국가 AI 전략 실행의 주최 기관임

–

국가 AI 실무청은 디지털정부청 주도로 운영되며, 국가 AI 의제를 설정하고

실행을 조율함

–

개인정보보호위원회는 개인 데이터 보호법(PDPA)의 집행을 책임지는 독립

적인 규제 기관으로 AI 시스템이 개인 정보 보호 원칙을 준수하도록 유도

ㅇ

또한, 싱가포르는 국가 AI 전략(NAIS - National AI Strategy) 통해 선택과

집중 기반의 AI 국가전략을 추진하고 있으며, 헬스·교육·물류·금융·스마

트시티 중심의 중점 분야 전략을 강화24)

–

NAIS 1.0은 2019년 발표된 첫 번째 국가 AI 로드맵으로, 5대 국가 프로

젝트* 중심으로 AI를 공공·산업 분야에 적용하는 기반을 조성함

5대 국가 프로젝트는 의료(만성 질환 관리), 공공 서비스 개선, 국경 통관 자동화(보

안 및 효율성 증대), 교육(개인 맞춤형 교육), 교통(지능형 화물)이 해당됨

–

NAIS 2.0은 2023년 “공익을 위한 AI(AI for Public Good)”라는 기조 아

래 인재·기업·산업·컴퓨팅 인프라 강화에 초점을 맞추고 국가 전체의 AI 역

량을 2단계로 도약시키기 위한 목표를 제시

ㅇ

싱가포르는 AI의 윤리적·책임감 있는 이용을 유도하기 위한 프레임워크만 마

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

련했고, 포괄적 인공지능 법률을 아직 제정하지 않음

ㅇ

말레이시아는 국립 AI 사무국(NAIO)이라는 전담 조직을 중심으로 AI 전략 추

진을 시도 중임

–

인공지능을 규율하는 법이 없으나, 2024년 인공지능 윤리 가이드라인을 발표

ㅇ

태국은 현재 가이드라인 중심이지만 AI 도입 및 거버넌스 활성화를 위해 AI

법안 초안을 마련하고 있음

–

「국가 AI 전략 및 행동 계획(2022-2027)」을 수립하여 2027년까지 AI 생

태계 구축을 통한 경제적 가치 창출 및 삶의 질 개선을 목표로 함

–

EU와 유사하게 위험 기반 접근법을 채택한 인공지능 법안을 마련

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

Ⅲ. 사이버보안 정책 및 규제 현황

1. 미국

□

미국은 백악관을 중심으로 다수 기관이 역할을 분담하는 다층적 사이버보안 거

버넌스를 구축하여 국가 안보 및 경제적 번영을 위한 사이버보안 역량을 강화함

ㅇ

국가사이버국장실(ONCD)·사이버보안 및 인프라 보안국(CISA)·국립표준기술

연구소(NIST) 등이 사이버보안 관련 역할을 수행

–

백악관 산하에 설치된 국가사이버국장실은 연방 정부의 사이버보안 전략 목

표를 달성하기 위한 각 기관의 역할과 국가 전략을 총괄 조정함

–

사이버보안 및 인프라 보안국은 국토안보부 산하 기관으로, 미국 전역의 주

요 기반 시설을 사이버 공격으로부터 보호하며, 민간부문과 협력하여 정보

를 공유하고 위협 방어를 위해 노력

–

국립표준기술연구소는 상무부 산하 비규제 기관으로, 사이버 보안 위험을

관리하기 위한 NIST 사이버 보안 프레임워크(CSF)를 개발

ㅇ

이러한 거버넌스는 각 기관 간 조정 메커니즘을 통해 국가 차원의 사이버위협

대응 일원화를 추구함

□

2023년 발표한 「국가 사이버보안 전략(National Cybersecurity Strategy)」

을 통해 방어 중심 정책에서 공격자 책임 강화 정책으로 전환함

ㅇ

해당 전략을 통해 중요 인프라 보안 규제 강화·연방 시스템 현대화·소프트웨

어 보안 의무 강화·국제 협력 확대 등을 포함한 전환 전략을 제시

□

미국은 사이버보안 규제는 각 행정부별 상이한 특징을 가지고 있음

–

부시 행정부가 연방 정부의 정보보안 강화에 초점을 두고 있었다면, 오바마

행정부는 각 사이버 침해 관련 정보 공유를 위해 노력함

–

이후 바이든 행정부는 사이버 침해에 대한 복원력 강화를, 트럼프 행정부는

자율규제 기조로의 전환을 위해 노력함

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

25)

이후 연방 기관에 대한 사이버 공격이 증가하자, 2014년에는 새로운 위협에 대응하고자 보안 관행

을 현재화하는 연방정보 보안 현대화법(Federal Information Security Modernization Act)을 개정

26)

사이버안보법(Cybersecurity Act of 2015)의 제1장에 해당한다.

□

(바이든 행정부) 사이버 공격에 대한 대응 역량 강화 및 회복력 확보

ㅇ

2021년 5월 발표한 연방정부 SW보안과 관련한 행정명령(EO 14028)에서

보안 수준을 충족하지 못하면 공공조달 시장 자체에 접근할 수 없도록 제한하

여, 미국 내 사이버 보안에 대한 요구 수준을 높임

–

연방정부에 ICT서비스를 제공하는 자는 보안 기준을 준수하고, 침해 사고가

발생시 이를 즉시 보고해야 함

–

또한 연방정부 또는 기관에 SW가 내장된 제품을 납품하기 위해서는 소프

트웨어 자재명세서(Software Bill of Materials)를 작성하여 제출해야 함

부시 행정부

o 미국 내 주요기반시설 및 연방정부의 정보보안을 강화

- 미국은 2001년 9·11 테러 이후 주요 기반시설을 노린 사이버 침해가 중대한 안보 위협임을

인식하고, 사이버 안보를 국방 안보의 핵심 요소로 포함시켜 국가안보 체계를 전면적으로 재정비

- 미국 내 테러에 대한 사전예방 차원에서 2002년 11월 25일 주요 기반시설의 취약성 평가를

의무화하는 국토안보법(Homeland Security Act)을 제정

- 그리고 연방정부와 관련된 보안 위협을 감소시키기 위해, 2002년 12월 17일 연방 정부

정보시스템의 보안 관리·평가 표준을 마련·시행하도록 하는 연방정보보안관리법(Federal

Information Security Management Act)25)을 제정

오바마 행정부

ㅇ 사이버 위협에 대한 정보 공유 등을 통한 대응능력 강화

- 중국이 미국의 지적재산과 미국 인사관리처의 인사기록을 탈취하는 사건이 연이어 발생하면서,

사이버 위협을 정확히 파악하고 적극적으로 대응해야 한다는 인식이 확산

- 그 결과, 2014년 12월 18일 국가 사이버보안 보호법(National Cybersecurity Protection

Act, NCPA)은 국가 사이버 보안 및 통신 통합센터를 중심으로 정부와 민간 간 사이버 위협에

대한 정보공유 체계를 구축하고, 이를 통해 통합적인 대응이 가능하도록 함

- 또한 2015년 12월 18일 제정한 사이버보안 정보공유법(Cybersecurity Information Sharing

Act, CISA26))은 민간이 자발적으로 사이버 위협 정보를 연방 및 주지방 정부와 공유하면, 이로

인해 발생할 수 있는 소송에서 민형사 책임을 면제내 SW기업이 인공지능 엔진이나 모델을

공급하고 EU 현지 파트너가 AI 시스템 제공자(Provider) 역할을 맡는 구조라면 고위험

시스템에 대한 의무를 상당 부분 경감할 수 있음

[표 3] 종전 미국의 사이버보안 기조

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

27)

핵심기반시설 사이버사고 보고 체계

28)

Cybersecurity and Infrastructure Security Agency는 미 국토안보부의 사이버보안 및 인프라보안

국이다.

29)

Council of the European Union(2024). EU cybersecurity: strategy and key policies.

ㅇ

2022년 3월 15일 제정된 사이버안보 강화법(Strengthening American

Cybersecurity Act)은 민간 주요 기반시설에서 발생한 사이버 침해를

CIRCIA27)에 따른 의무적 보고 대상으로 편입하여 보안 수준을 높임

–

국가 주요 기반시설에 해당할 경우 중대한 사이버사고와 랜섬웨어

지급 사실을 각 72시간 및 24시간 내에 CISA28)에 보고해야 함

–

CISA의 정보제출 명령에 불응하면 법무부가 민사소송을 통해 법원의 명령

을 이끌어내거 ·법정모독죄로 처벌될 수 있음

□

(2기 트럼프 행정부) 종전 행정부의 규제들을 완화하고, 민간의 자율 대응을 유도

ㅇ

2025년 6월 6일 발표한 미국 정부의 선별적인 사이버 보안 노력의

지속에 대한 행정명령(EO 14306)에서는 종전 SBOM 요구사항 중 SW

공급망 보안조치 결과 제출 요구를 삭제하는 등 이해관계인들의 규제

부담을 완화함

2. EU

□

EU는 집행위원회(EC)와 회원국 정부가 다층적으로 협력하는 사이버보안 거버

넌스를 발전시켜 왔으며, 정책 또한 여러 기관에 걸쳐 분산된 시스템으로 운영

ㅇ

집행위원장이 사이버보안 정책 수립을 위한 정치적 리더십과 의사결정을 담당

ㅇ

유럽연합 사이버보안청(ENISA)은 EU 전반의 사이버보안 전략 기획,

기술적 지침 제공, 회원국 간 협력 증진, 대규모 사이버 위기 대응 지

원 등을 수행29)

ㅇ

유럽사이버보안센터(CERT-EU)는 실무 조직으로서 EU 기관, 단체 및 기관의

사이버 위협 탐지, 예방, 대응에 주력

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

□

주요 디지털 서비스 제공자의 책임 강화

ㅇ

디지털 서비스와 인터넷 기반 인프라에 대한 의존도가 급격히 높아지자, 주요

기반시설 뿐 아니라 디지털 서비스 상에서도 대규모 사이버 사고로 인한 피해

가 발생

ㅇ

이로 인해 보다 광범위한 산업군에서 사이버 침해에 대한 대응이 필요하게 되

자, 2016년 7월 6일 NIS Directive(2016/1148/EU)에서 금융, 에너지를

넘어 디지털 서비스 제공자 등에게도 사이버 침해사고 발생시 24시간 내 보

고 의무를 규정

□

시장 기반의 사이버보안 인증체계 도입

ㅇ

국가별로 상이한 보안 수준과 인증체계로 인해 제품 신뢰성과 공급망 안전성

이 저해되고 역내 단일시장 기능까지 약화된다는 우려가 커짐

ㅇ

따라서 시장 기반의 보안 인증과 표준을 체계화해 시장 접근조건을 명확히 하

고, EU 역내에서 공통된 사이버보안 기반을 마련했음

–

2020년 12월 22일 발표한 EUCS(EU 클라우드 서비스 사이버보안 인증제

도)는 클라우드 서비스 제공자에 대한 보안 기준을 적시하였는데, 여러 회

원국들의 이견으로 인해 여전히 채택 여부를 검토 중

–

2024년 1월 31일에는 EUCC(EU 공통 인증체계)*를 채택하여, 제품 및

서비스의 보안 수준을 CE마크 부착을 통해 관리토록 함

EUCC는 제품의 보안 수준을 '낮음', '보통', '높음'으로 분류하여 인증

□

사이버복원력 향상 및 위기 대응 체계 마련

ㅇ

디지털 제품과 연결기기(IoT) 확산으로 보안 취약점이 공급망 전반의 문제로

이어지자, EU는 역내 사이버 복원력을 강화해야 한다는 인식이 확산되면서

이를 구속력 있는 법률로 제정

ㅇ

그 결과 2022년 12월 14일 디지털 운영 복원력법(Digital Operational

Resilience Act, DORA) 제정으로 금융 및 ICT 서비스 공급자들에게 사이버

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

30)

Horsley, J. P. (2022, August 8). Behind the Facade of China’s Cyber Super-Regulator: What

We Think We Know—and What We Don’t—about the Cyberspace Administration of China.

DigiChina (Stanford)

침해에 대한 테스트, 사고 보고 등의 의무를 부과하고, 이를 위반시 금융기관

은 연간 매출액의 최대 2%를, 중요 ICT서비스 제공자는 최대 500만 유로의

과태료를 부과

ㅇ

또한 2024년 10월 23일 제정한 사이버복원력법(Cyber Resilience Act,

CRA)에서는 유럽 내 판매되는 모든 디지털 제품 및 서비스의 수명주기에 맞춰

보안 설계와 취약점 관리 등의 의무 사항들을 법적으로 명시하고, 이를 위반시

최대 1,500만 유로 또는 연매출 2.5%의 벌금을 부과함

3. 중국

□

중국의 사이버보안 거버넌스는 강력한 중앙 집중형 통제 구조를 가짐

ㅇ

국가주석을 정점으로 사이버보안 거버넌스가 구축되어 있으며, 국가주석이 직

접 위원장을 맡은 중앙 사이버보안 및 정보화 위원회(CAC - Central

Cyberspace Affairs Commission)는 사이버 분야 전략 및 정책을 총

괄30)

–

사이버보안 및 정보화 위원회는 국가 인터넷 통제·데이터 규제·컨텐츠 심의

를 총괄하고 사이버주권을 정책의 기본 철학으로 삼음

–

집행기구로 국무원 산하 국가 인터넷 정보판공실(State Administration

of Cyberspace)이 설치되어 있으며, 사이버 공간 관련 정책 수립 및 감

독·집행을 담당

ㅇ

중앙 사이버보안 및 정보화 위원회는 공안부, 국가안전부, 공업정보화부 등 다

양한 부처와 협력하며 동시에 각자의 영역에서 사이버 안보 관련 업무를 분담

□

중국 사이버보안 거버넌스 및 전략의 법적 기반은 「사이버보안법」으로 국가 안

보와 중요 정보 인프라에 대한 보호를 목적으로 함

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

ㅇ

중국은 미국 등 외국 국가의 기술에 대한 의존이 높아지자 사이버 주권 강화

필요성이 대두되었고, 산업 전반에서 데이터 유출 사례가 발생하자 핵심 데이

터는 중국 내에서 통제할 필요성이 대두

ㅇ

이로 인해 2016년 11월 7일 제정된 사이버보안법에서는 금융·통신·에너지

등은 중요 정보인프라로 관련 데이터를 중국 내 저장토록 하는 등 엄격한 보

안 심사 및 감독을 의무화

ㅇ

2021년 6월 10일 제정된 데이터안전법은 등급이 올라갈수록 중요한 데이터

에 해당하여, 국외이전을 제한하고 보고의무를 강화함

□

민간 인터넷 서비스업에 대한 전방위적 규제

ㅇ

중국 내 대형 플랫폼의 급성장으로 중요 데이터가 민간 기업에 과도하게 집중

되면서 이를 노린 사이버 침해사고가 이어지자, 국가 안보 차원에서 이러한 데

이터를 직접 관리·통제해야 한다는 인식이 확산

ㅇ

이로 인해 2016년 11월 7일 제정된 네트워크 안전법은 사이버보안 상 중요

한 업종에 해당하지 않더라도 인터넷 서비스를 하면 거의 ‘네트워크 운영자’로

전방위적인 통제를 받음

–

등급보호제도(5개 등급체계)상 3등급 이상이면, 사업자에게 정기적인 시스

템 보안 조치, 로그 정보 보관 및 관리, 실명 기반의 가입 관리, 보안상 취

약점 관리 및 보안 사고 보고 의무가 발생

ㅇ

또한 네트워크 안전법은 사이버 공간 상의 주권을 법률에 명문화하고, 데이터

현지화에 대해서도 규율

–

(데이터 현지화) 중국 내 수집한 개인정보 등 중요 데이터는 역내 저장을

원칙으로 하고, 해외로 이전할 때는 데이터의 종류나 민감도 등을

기준으로 영향평가나 보안심사 등을 받도록 함

4. 일본

□

일본의 사이버보안 거버넌스는 총리실 산하의 사이버보안전략본부

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

31)

National Cybersecurity Office(2025). Commitment to a Free, Fair and Secure Cyberspace –

About NCO.

32)

https://www.kantei.go.jp/jp/103/actions/202507/01hossokushiki.html

(Cybersecurity Strategic Headquarters)를 중심으로 운영됨

ㅇ

사이버보안전략본부는 내각총리대신을 본부장으로 하고 모든 내각 각료를 구

성원으로 하는 최고 의사결정 기구로서 사이버보안 정책 전반을 결정

–

경찰청, 총무성, 외무성, 경제산업성, 방위성 등 장관급 각료 그리고 민간

및 학계 전문가 등이 참여하여 부처 간 협력을 강화하고 있음

–

국가안보위원회(NSC) 그리고 일본의 디지털 트랜스포메이션을 촉진할 목적

으로 2021년 설립된 디지털청(Digital Agency)과도 밀접하게 협력하

며 업무를 수행31)

ㅇ

국가사이버통괄실(National Cybersecurity Office, NCO)은 실무 사령탑으

로서 능동적 사이버 방어(ACD)의 지휘를 담당

–

2025년 7월부터 기존의 내각 사이버보안센터(NISC)를 확대 개편하

여 신설되었으며, 정부 기관의 보안 대책 수립, 중대한 보안 사안을

평가함32)

□

공급망 및 개발 단계 보안에 대한 가이드라인 마련

ㅇ

경제산업성(METI)은 소프트웨어 공급망 리스크 증가에 따라 개발·운

영·위탁(서드파티) 전체에 대한 보안에 대한 가이드라인을 마련

ㅇ

금융청(FSA)는 금융분야에서의 암호화·로그관리 등에 대한 구체적 기준

을 제시

□

일본은 「사이버보안 기본법」에 의거해 사이버보안 전략을 지속적으로 수립하여

공공 및 중요 인프라 중심의 보안 체계 확립

ㅇ

2014년에 제정된 사이버보안 기본법은 국가·중요인프라 사업자·민간기업의

역할을 명확히 규정하고, 각 운영자들에게 관련한 의무들을 부여함

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

33)

Saudipedia(2025). National Cybersecurity Authority.

–

국가 : NISC를 중심으로 사이버보안 관리 및 감독 체계를 구축토록 함

–

중요 인프라 사업자 : 위험평가와 사고대응 및 정보공유 등의 체계적 보안

의무를 부과

–

민간 : 최소한의 대응 수준을 마련토록 자율적 보안조치를 명문화

□

다만 클라우드 서비스와 개인정보 관련 서비스의 경우 개별법으로 실질

적인 보안관리를 강화

ㅇ

개인정보보호법은 개인정보처리자에게 관리적 보호조치 의무를 부과하고, 이를

위반시 보고 및 통지 의무를 부여

ㅇ

통신사업법(전기통신사업법) 및 총무성 가이드라인에서는 SaaS 서비스 제공

기업에 대하여는 보안 요구(접근통제, 암호화, 이용자 정보보호, 취약점 관리

등)를, 플랫폼 사업자의 경우 데이터 및 로그 관리 기준을 준수토록 명시

5. 중동 및 동남아시아

□

중동 국가들은 사이버보안 정책을 총괄하고 조정하는 중앙 기관 설립을 통해

일관된 국가 전략을 추진하고 있음

ㅇ

사우디아라비아는 2017년 국가사이버보안청(National Cybersecurity

Authority, NCA)을 설립하여 사이버보안 정책의 중앙집권적 거버넌스를 구

축함33)

–

필수 사이버보안 통제(ECC) 및 운영 기술(OT) 보안 통제 등 구체적이고

의무적인 규제 프레임워크를 발표하고 준수 여부를 감독하며, 이는 기업과

기관에 명확한 지침을 제공

ㅇ

아랍에미리트(UAE)는 연방 차원에서 사이버보안 최고기구를 신설하여 국가

역량을 통합하고 있음

–

2020년 11월 UAE 내각은 국가사이버보안협의회(CSC)를 설립하기로 결정

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

34)

Consultancy-ME(2022). UAE’s Cyber Security Council selects external partners.

35)

ASEAN CYBERSECURITY COOPERATION STRATEGY

36)

Mahusin, M., & Prilliadi, H. (2024). Strengthening ASEAN’s Cybersecurity: Collaborative

Strategies for Enhanced Resilience and Regional Cooperation. Economic Research Institute for

ASEAN and East Asia (ERIA). https://www. eria.

org/research/strengthening-asean-s-cybersecurity--collaborative-strategies-for-enhanced-res

ilience-and-regional-cooperation.

37)

The Singapore Cybersecurity Strategy 2021

하고, 국가 사이버 전략 추진과 디지털 전환의 안전 확보를 협의회에 위임

–

협의회 구성원으로는 각 주요 부처(내무, 국방, 통신 등) 및 업계 대표들이

참여하고, 연방 차원의 통합 사이버 규제 발령, 사이버 사건 대응 조

정, 국민 사이버의식 제고 캠페인 등을 주관34)

ㅇ

양 국가 모두 사이버보안 관련 기본법이 아직 마련되지 않아, 주로 가이드라

인 중심의 자율 규제가 이뤄지고 있음

□

동남아시아 국가들의 사이버보안 거버넌스는 ASEAN 차원의 협력과 국

가별 전략이 병행되고 있고, 싱가포르와 태국은 사이버보안법을 제정

ㅇ

ASEAN은 10개 회원국의 공동 이익을 위해 2021년 「아세안 사이버보안 협

력 전략(CCS) 2021-2025」을 채택하고 역내 사이버보안 협력 메커

니즘을 강화함35)

ㅇ

ASEAN 지역 컴퓨터 비상 대응팀(CERT)은 국가 간 기술 격차를 해소

하고, 정기적인 사이버보안 회의와 공동훈련을 주최하는 등 운영적 역

할을 수행36)

ㅇ

싱가포르는 사이버보안 수준이 높은 선도국으로 총리실 산하 사이버보안청

(CSA)을 중심으로 체계적인 국가 전략 추진하고, 사이버보안법을 제정함

–

사이버보안 전략 2021을 채택하였으며, 해당 전략은 3대 전략기둥과

2대 기반요소로 구성됨37)

전략 기둥은 ①탄력적 디지털 인프라 구축(Resilient Infrastructure), ②안전한 사

이버 공간 조성(Safer Cyberspace), ③국제 사이버 협력 증진(International

Cooperation). ①기반 요소로는 사이버보안 생태계 육성(Ecosystem), ②산업 경

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

38)

2018년 개인정보 탈취 형태의 정보유출 사고가 발생한 것을 계기로 사이버보안법을 제정

쟁력 및 R&D 증진, 사이버 인재양성(Talent Pipeline)이 해당

–

2018년 3월 2일 제정한 사이버보안법에서는 중요 인프라에 참여한 사업자

들에게 사전 보안 거버넌스 구축, 사고 대응체계 수립, 계약관계 내 보안조

항 검토를 의무로 규정

ㅇ

말레이시아는 싱가포르 다음으로 높은 사이버보안 산업 발전 지수를 보유한

국가로, 말레이시아 사이버보안청(CSM)에서 사이버보안 업무를 담당

–

국가 사이버보안 전략 계획(NCSMS)을 통해 사이버 위협에 대한 국가 복

원력 개선, 인프라 보호, 법적 규제 프레임워크 조정을 목표로 함

ㅇ

태국은 국가사이버보안청(NCSA)이 주요 역할을 수행하고, 사이버보안 관련

행동 계획 마련과 함께 사이버보안법을 제정

–

국가 사이버보안 전략 및 행동 계획(2022-2027)은 인적 자본 및 인프라

개발, 기술 위험 통제에 중점을 둠

–

2019년 2월 28일 사이버보안법의 제정38)으로 주요 기반 산업(금융,

통신, 에너지 등)에서는 사이버보안 위험 평가를 시행해야 하는 의

무를 부과

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

39)

연방 정보보안관리법(FISMA)에 따라 초기 설계 시점부터 정보보안 표준은 준수해야 하지만, 종전

소프트웨어자재명세서(SBOM) 제출 의무는 없어진다.

40)

중요기반시설(전력·통신·금융 등) 사이버 침해 발생시 보고의무가 있지만, 일반 엔터프라이즈 SW

의 경우는 보안과 관련하여 구속력 있는 규정이 없다.

41)

국내 SW기업이 인공지능 모델을 공급하고 EU 현지 파트너가 AI 시스템 제공자(provider) 역할을

맡는 구조라 하더라도, 계약 관계와 실제 통제 범위에 따라 국내 기업 역시 AI 시스템 제공자로 분

류될 수 있다는 점을 유의해야 한다.

Ⅳ. 결론 및 시사점

1. 미국

□

(인공지능) 미국은 연방 차원의 포괄적 인공지능 규제가 아직 정립되지

않아 규제 장벽 자체는 높지 않음

ㅇ

다만 NIST AI RMF와 FTC 가이드라인을 충족해야 하고, 주(州) 차원

에서 인공지능 관련 입법이 빠르게 변하고 있으므로 이를 지속적으로

모니터링 필요

□

(사이버보안) 글로벌 기업들과의 경쟁이라는 현실적 한계는 존재하지

만, 규제 기준으로 보면 부담이 상대적으로 적음

ㅇ

현 시점에서는 국내 SW기업이 미국 내 공공조달 시장에 진출하려면 정

보보안 표준을 준수39)해야 하지만, 민간 시장은 중요기반시설과 관련된

시장으로 진출하는 것이 아닌 이상 구속력 있는 의무조항은 없음40)

2. EU

□

(인공지능) 인공지능 서비스의 경우 고위험 인공지능 시스템에 대한 매

우 강력한 규제가 시행될 예정이고, 인공지능 모델 공급시41)에는 범용

인공지능 제공자로서의 별도 의무가 부과되고 있음

ㅇ

고위험 분야(의료영상 분석·신용평가 등)는 규제준수 지원조치 마련

후 일정기간(6개월 또는 12개월)이 지나면 적합성 평가와 CE 인증 부

착, 기술문서 작성, 시스템로그 보존 등의 의무를 준수해야 하지만, 중·

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

42)

따라서 ISO 27001과 EU인증체계를 조합한 인증을 구비하는 전략을 고려해야 한다.

저위험 인공지능(번역·분석 도구 등)은 현재 투명성 의무만 부과되고

있어서 규제 부담이 상대적으로 낮음

ㅇ

범용 AI제공자는 모델 개발·학습·검증 과정에 대한 기술문서를 작성하

□

(사이버보안) EU는 클라우드 부문에 대해 인증 획득이 사실상 요구되

고, 2026년부터는 소프트웨어명세서 작성 의무화 등 높은 규제 장벽이

형성될 예정

ㅇ

2026년부터는 사이버복원력법의 시행되므로 SW의 취약점에 대한 문

서관리를 대비함과 동시에 SBOM 작성을 통해 SW의 라이브러리 또는

오픈소스 등에 대한 투명성을 확보해야 함

ㅇ

클라우드 서비스의 경우 EUCS/EUCC 등의 인증을 요구할 가능성이 높

고,42) 금융 부문에 공급하는 클라우드 서비스라면 사이버 위협에 대한

테스트와 리스크 관리 등의 의무를 준수해야 함

3. 중국

□

(인공지능) 알고리즘 메커니즘 공개나 딥페이크 콘텐츠의 워터마크 표

시, 생성형 인공지능 서비스에 대한 안전평가 실시 등 개별 기술 영역

마다 강한 규제 장벽을 구축

ㅇ

「인터넷 정보 서비스 알고리즘 추천 관리규정」에서 편향적 결과를 도

출하는 알고리즘 이용을 금지하고, 알고리즘의 작동방식을 공개토록 함

ㅇ

「인터넷 정보 서비스 심층합성 관리규정」에서 딥페이크를 사전 통제

하기 위해 특정 규모 이상에서는 검사 및 평가 의무를 부과

ㅇ

「생성형 인공지능 서비스 관리 임시방법」에서 인공지능 서비스 제공

자에게 안전평가를 실시 후 당국에 제출토록 하고,「인공지능 생성 콘

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

43)

만약 이러한 의무 이행이 현실적으로 어렵다면, 중국 현지 파트너를 통해 간접 서비스 방식이나

중국 지사와의 공동 운영 구조 등 책임을 분산할 수 있는 방안을 검토해볼 필요가 있다.

44)

현지 기업과의 합작 또는 파트너십을 통한 진출로 초기 레퍼런스 확보하고, 일본 내 거래 관행에

대한 이해와 접근성을 높여 시장 적응 속도를 높일 필요가 있다.

텐츠 표시방법」(이하 ‘인공지능 관련 규제들’이라 한다)에서 워터마

크 표시 의무를 부과

□

(사이버보안) 중국은 국가 차원의 사이버 공간의 안전성을 강화코자,

시스템·보안 영역에서 높은 수준의 규제를 적용

ㅇ

시스템 등급보호제도(MLPS) 3등급 수준의 보안 요건을 기준으로 접

근통제·데이터보호·로그관리 체계를 강화

대부분의 SW기업은 2등급(B2C의 SW) 또는 3등급(B2B·B2G의 SW)에 해당하

므로, 보다 높은 등급을 가정해 보안체계를 선제적으로 구축하는 것이 바람직

ㅇ

중국 내 수집·처리한 데이터는 법적 요구사항을 충족할 수 있도록 데

이터 흐름 구조를 명확히 설계*

중국 법규에 맞춰 ‘합법적 국외 이전’ 체계를 갖추기 보다는 데이터를 중국 내에

우선 저장하고 국외 이전을 최소화하는 방식, 또는 핵심 서비스 기능을 중국 내에

서 구현하고 해외본사는 기술 지원 등 백엔드 역할을 담당하는 방식43)을 고려

4. 일본

□

(인공지능) 일본은 시장 평판과 신뢰에 매우 민감하다는 특성44)이 있으

나, 인공지능 규제 장벽은 매우 낮음

ㅇ

일본 정부·디지털청·문화청 등에서 발표하는 AI 관련 가이드라인 이외

에 별도 인공지능 관련 법안은 제정한 바 없음

□

(사이버보안) 일본은 클라우드 부문만 법적 의무를 부과하고, 이외에는

중요 인프라가 아닌 이상 공급망·시스템 운영 전반에 걸쳐 자율적 사이

버보안 체계를 안정적으로 구축·유지토록 함

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

45)

인공지능에 대한 규제장벽은 낮지만, 이를 사이버보안 등에 대한 규제장벽은 존재한다.

ㅇ

(법적 요구사항) 민간형 클라우드형 SW의 경우 전기통신사업법상 의

무를 준수하고, 개인정보는 일본 내 저장을 원칙으로 하되 백업을 위한

국외 이전시에는 이를 투명하게 고지해야 함

ㅇ

(자율 준수사항) 공급망 정보와 데이터 처리·위탁 구조, 보안 인증 및 취약점

관리·사고 대응 체계를 문서화·공개를 권장

5. 중동 및 동남아시아

□

(인공지능) 사우디·UAE·싱가포르·말레이시아·태국은 인공지능 관련 규

제 장벽이 낮으나, 그 중 태국은 법안 마련을 논의 중인 단계에 있음

ㅇ

사우디 및 UAE는 인공지능과 관련한 규제장벽은 매우 낮지만, 실제

진출에서는 현지 에이전트·파트너십 의무, 공공 부문 중심의 사업 구

조, 네트워크·평판 의존도 등 현실적 제약이 이점을 상당 부분 상쇄

ㅇ

싱가포르45)와 말레이시아는 인공지능에 대한 규제장벽이 낮고, 외국

기업에 대한 개방성과 안정적인 사업 환경을 갖추고 있어 상대적으로

초기 진출지로서의 안정성이 높음

ㅇ

태국은 인공지능 관련 규제장벽 측면에서 불확실성이 크므로, 저위험

서비스부터 진출하는 전략을 검토하면서 법안을 지속적으로 모니터링

을 해야 함

□

(사이버보안) 중동 및 동남아시아는 대부분 사이버보안 관련 기본법이

아직 마련되지 않아, 주로 가이드라인 중심의 자율 규제

ㅇ

단, 싱가포르와 태국은 사이버보안법의 제정으로 주요 기반 산업(금융,

통신, 에너지 등)에서는 사이버보안 위험 평가를 시행해야 하는 의무를

부과하므로 이를 고려하여 진출 전략을 수립해야 함

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

6. 시사점

□

미국·일본·중동·동남아는 전반적으로 인공지능 및 사이버보안 규제가 완화된

편에 속하나, 국가별로 시장구조와 비규제 요인이 진출 난이도를 결정하는 경

향이 있음

ㅇ

미국은 연방 규제가 미비한 대신 NIST·FTC 가이드라인 준수와 주(州)별 입

법 변화가 핵심 관리 포인트

ㅇ

일본은 규제는 낮지만 시장 신뢰·레퍼런스 확보가 실질적인 진입 장벽으로 작용

ㅇ

중동·동남아는 규제 부담은 낮으나, 현지 파트너 요건, 공공 중심 시장,

평판 의존도 등 비규제 요인이 크기 때문에 규제 완화를 곧 진입 용이

로 볼 수는 없음

□

반면 EU와 중국은 인공지능과 사이버보안 전반에서 구조적으로 높은

규제 체계를 갖추고 있어, 진출 초기부터 규제 대응이 내재화된 제품·서

비스 설계가 필수적

ㅇ

EU는 AI Act에 따라 고위험 AI에 대해 CE 인증·기술문서·로그 보존 등 엄격한 의

무를 규제 준수 지원 조치가 마련된 후 시행할 예정이며, 사이버복원력법을 근거로

한 SBOM 의무화는 2026년부터 시행할 예정으로 규제 부담이 크게 증가할 전망

ㅇ

중국은 알고리즘 공개, 딥페이크 사전평가, 생성형 AI 안전평가 등 기

술유형별 규제와 MLPS 기반의 강력한 보안 요구로 인해, 현지에서의

규제 대응이 사실상 필수적

□

각 국별 인공지능 및 사이버보안에 대한 규제 강도를 아래 [표4]에 제

시하였으며, 이는 국내 SW기업이 해외진출시 규제에 따른 위험 수준과

시장 진입 기회를 판단하는데 참고 자료로 활용할 수 있음

ㅇ

◎ : (법률 차원의 구속력 있는 의무 존재) 해당 국가로 진출할 경우

규제 대응을 위해 현지 전문 인력 확보 등 추가적인 노력과 비용 부담

이 발생할 수 있어, 이에 대한 체계적 준비가 필요

ㅇ

○ : (일정 부문에만 구속력 있는 의무를 부과) 해당 규제는 전체 SW

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

산업에 일괄 적용되는 것은 아니므로, 규제장벽이 낮은 분야(예: 주요 기

반시설 이외의 부문)를 중심으로 진출 전략을 검토할 필요

ㅇ

△ : (지침·권고 수준의 자율 규제 기조) 해외 SW기업에게 비교적 우

호적인 규제 환경이나, SW시장에서는 가이드라인 준수가 사실상 요구

되므로 일정 수준의 준수 부담이 발생

ㅇ

- : (입법 논의 단계) 규제가 구체화되지 않은 초입 단계이므로 시장

선점의 기회로 활용할 수 있음

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

국가

기술

강도

내용

미국

△

NIST AI RMF와 FTC 가이드라인이 존재

◎

일부 주 차원 : 콜로라도주 인공지능 특별법, 버지니아주

인공지능법, 캘리포니아주 인공지능 투명성법

사이버보안

○

사이버안보 강화법 : 주요 기반 시설의 경우, 서비스제공자의

사이버위협 대응 및 보고 의무

반면 트럼프 행정부의 행정명령(EO 14306) : 종전 SBOM 등

의 SW공급망 보안조치를 요구를 삭제

◎

EU AI Act : 범용 인공지능 제공자에 대한 기술문서 작성 의

무 등은 시행한 반면, 고위험 인공지능 서비스 제공자에 대한

적합성 평가 의무 등은 시행을 유예

사이버보안

◎

2026년부터 사이버복원력법 시행 : SBOM 제출의무 등

중국

◎

인터넷 정보 서비스 알고리즘 추천 관리규정: 편향적 결과를

도출하는 알고리즘 이용을 금지 등

인터넷 정보 서비스 심층합성 관리규정: 딥페이크를 사전 통

제하기 위한 의무 부과 등

생성형 인공지능 서비스 관리 임시방법: 인공지능 서비스 제

공자에게 안전평가를 실시 및 공개

인공지능 생성 콘텐츠 표시방법: 워터마크 표시의무

사이버보안

◎

네트워크 안전법 : 시스템 등급보호제도(MLPS)에 따른 각종

조치 의무 및 데이터 현지화 요구

일본

△

AI 관련 가이드라인 등 지침만이 존재

사이버보안

○

사이버보안 기본법 : 중요 인프라에 대해 사고 대응 의무를

부과

△

이외 부문은 공급망 및 개발 단계 보안에 대한 가이드라인 등

지침만이 존재

중동 및

동남아시아

사우디·UAE·싱가포르·말레이시아·태국은 인공지능 산업 활성화에 중

점을 두고 있고, 규제 법안은 아직 논의되지 않음

다만, 태국은 인공지능 규제 법안 마련을 논의 중

사이버보안

○

싱가포르와 태국은 사이버보안법 제정 : 주요 기반 산업에 사

이버보안 위험 평가 시행 의무

사우디, UAE, 말레이시아는 관련 규제가 없음

[표 4] 주요국 및 신흥국의 규제장벽 강도

SPRi 이슈리포트 IS-215 국내 SW기업 해외진출 관련 정책·규제 동향 및 대응방향: 인공지능 및 사이버보안을 중심으로

참고문헌

■

김용성(2019). 인공지능(AI) 시대 주요국의 인재양성 정책 동향. 소프트웨어정책연구소.

■

이재성, 최선미, 안춘모, 유영상(2023). 주요국 사이버보안 정책 동향 및 시사점. 한국전자

통신연구원.

■

한국인터넷진흥원(2024). 2024 해외 주요국의 사이버보안 입법동향.

■

국가기술표준원(2025). AI 분야 규제 동향보고서 : EU 인공지능법(AI Act).

■

한국인공지능·소프트웨어산업협회(2025). 무역기술규제동향보고서 : EU 사이버보안 인증 프

레임워크.

■

한국인터넷진흥원(2025). 2025년 2분기 인터넷·정보보호 법제동향.

■

안정민(2018). 미국 사이버안보 정보공유법 (Cybersecurity Information Sharing Act)

에 대한 소고. 법학연구, 28(4), 259-282.

■

정혜련(2025). 최근 주요국의 데이터 및 인공지능 입법정책 동향—미국과 중국의 개인정보

및 데이터보안 등급관련 법제체계를 중심으로—. 경영법률, 35(4), 517-561.

■

American National Standards Institute(2025). China Announces Action Plan for

Global AI Governance.

■

Andrews, Caitlin(2025). Japan passes innovation-focused AI governance bil.

■

Caroli, Laura(2025). 『The EU AI Continent Action Plan』. Center for Strategic &

International Studies.

■

Consultancy-ME(2022). UAE’s Cyber Security Council selects external partners.

■

Council of the European Union(2024). EU cybersecurity: strategy and key

policies.

■

European Commission(2025). European approach to artificial intelligence.

Shaping Europe’s digital future.

■

European AI Office 홈페이지. https://digital-strategy.ec.europa.eu/en/policies/ai-office

■

Horsley, J. P. (2022, August 8). Behind the Facade of China’s Cyber

Super-Regulator: What We Think We Know—and What We Don’t—about

the Cyberspace Administration of China. DigiChina (Stanford)

■

National Cybersecurity Office(2025). Commitment to a Free, Fair and Secure

Cyberspace – About NCO.

■

Nemko Digital(2025). AI Regulation in the UAE

■

Mahusin, M., & Prilliadi, H. (2024). Strengthening ASEAN’s Cybersecurity:

Collaborative Strategies for Enhanced Resilience and Regional

Cooperation. Economic Research Institute for ASEAN and East Asia

(ERIA). https://www. eria.

org/research/strengthening-asean-s-cybersecurity--collaborative-strategi

es-for-enhanced-resilience-and-regional-cooperation.

■

Memish, Z. A., Altuwaijri, M. M., Almoeen, A. H., & Enani, S. M. (2021). The

Saudi Data & Artificial Intelligence Authority (SDAIA) vision: leading the