디지털·플랫폼 경제로의 전환에 이어 급속한 인공지능(AI)의 확산이 우리 경제와 사회에 새로운 가능성을 열고 있다. AI 에이전트가 이용자를 대신해 필요한 정보를 찾아 비교하고 예약, 구매까지 수행하는 시대다. 이용자가 더 많은 개인정보를 제공할수록 서비스는 더 정교해지고 편리해진다. 하지만 이와 동시에 개인정보는 더 광범위하게 집적되고 복잡하게 처리된다. AI 혁신이 고도화될수록 개인정보 보호와 프라이버시 문제가 중요해질 수밖에 없는 이유다.
우리나라는 세계 최고 수준의 디지털 인프라를 자랑한다. 국민들이 새로운 서비스를 받아들이는 속도도 여느 국가 못지않게 빠르다. 과학기술정보통신부(이하 과기정통부) 조사에 따르면 우리 국민의 AI 서비스 경험률은 2025년 67%에 달한다. 반면 개인정보 보호를 위한 투자는 이같은 속도를 따라가지 못하고 있다. 실례로 우리나라의 지난해 정보기술(IT) 투자 대비 정보보호 투자 비율은 약 6%로 미국(13%)이나 유럽연합(EU)(8~11%)에 비해 현저히 낮다. 데이터의 활용 가치와 더불어 공격 대상이 될 가능성은 더욱 높아졌지만 보호 기반은 크게 미흡한 것이 현실이다. 최근 대규모 개인정보 유출 사고가 반복해 발생하는 것도 이러한 사실과 무관하지 않다.
사고가 발생할 때마다 기업과 기관은 국민들에게 사과했고 정부는 조사를 거쳐 처분을 해왔다. 그러나 안타깝게도 한 번 유출된 개인정보는 회수하기가 쉽지 않은 게 문제다. 더구나 금융사기나 명의도용과 같은 2차 피해로도 이어질 수 있다. 이제는 사고 이후 제재와 사후 대응에만 머물러서는 안된다.
개인정보보호위원회가 최근 국무회의에서 발표한 '예방 중심 개인정보 관리체계 전환계획'은 이러한 문제의식에서 출발했다. 중대하고 반복적인 법 위반행위에는 엄정하게 대응하되, 기업과 기관이 사고가 발생하기 이전에 위험을 관리하고 예방에 투자하도록 정부 정책의 무게중심을 전환하겠다는 것이다.
그 출발점은 실제 위험 수준에 비례한 개인정보 관리체계 구축이다. 그동안 개인정보 처리 규모나 업종을 고려하지 않은 채 기술적·관리적·물리적 안전조치 기준이 획일적으로 적용되고 관리 역시 일률적인 방식으로 이루어졌다. 그 결과 위험성이 높은 고위험 분야는 필요한 안전조치가 충분히 이루어지지 못하고, 반대로 영세사업자에게는 제도 준수 부담이 과도한 측면이 있었다.
앞으로는 개인정보를 대규모로 처리하거나 클라우드 등 사고 파급력이 큰 고위험 분야에 대해서는 사전 실태점검을 강화한다. 점검 대상 분야를 국민들에게 미리 공개하고, 개인정보 보호책임자(CPO)를 중심으로 내부통제가 실질적으로 작동하도록 개인정보위도 정기·수시 점검할 계획이다. 중·저위험 분야는 점검 도구를 제공해 스스로 관리하도록 유도하고, 필요할 경우 개인정보위가 소관부처와 합동점검을 통해 지원할 예정이다.
제도 정비에도 적극 나선다. 처리자가 위험도에 따라 안전조치 적용 수준을 달리할 수 있도록 '개인정보 위험평가 모델'을 마련하고 이에 맞춰 안전성 확보 조치 기준 고시도 개선해 나갈 방침이다. 최근 개정된 '가명정보 처리 가이드라인'에서 위험도에 따라 필요한 절차와 서류를 달리하도록 한 것처럼 개인정보 보호 제도 전반에 위험 기반 접근을 확산해 나가고자 한다.
아울러 개인정보 처리 흐름이 복잡해질수록 서비스를 기획하는 단계에서부터 개인정보 보호를 고려하는 '개인정보 보호 중심 설계(PbD:Privacy by Design)'가 더욱 중요해졌다. EU 개인정보 보호 법제에서는 PbD가 이미 핵심 원칙으로 자리 잡은 만큼 우리 역시 관련 제도의 법제화를 추진할 계획이다. 또 PbD 원칙이 현장에서 구현되도록 개인정보 보호 관리체계(ISMS-P) 인증 제도와 개인정보 영향평가 제도도 개선한다. 특히 주요 개인정보처리자에 대해서는 ISMS-P 취득을 의무화하고 인증기준도 강화한다. 서비스 출시 전 수행하는 개인정보 영향평가 역시 PbD 원칙과 연계되도록 방안을 마련할 계획이다.
예방 중심 체계가 현장에서 작동하려면 기업의 자발적 투자도 반드시 필요하다. 이를 유도하기 위해 법정 최소 기준을 넘어 선제적인 개인정보 보호 투자와 실효적인 관리체계를 운영하는 기업·기관에 대해서는 유출 등 사고가 발생하더라도 과징금 감경 등 확실한 인센티브를 제공할 계획이다. 전문 인력과 대응 역량이 부족한 중소기업, 소상공인에 대해서는 기술 지원과 컨설팅도 확대한다. 또 새로운 서비스 준비 과정에서 개인정보와 관련해 법적 불확실성이 있는 경우, 비조치 의견서나 사전적정성 검토제를 통해 각 사안에 맞는 실질적인 지원이 이루어질 수 있도록 하겠다.
마지막으로 국민 피해구제도 강화한다. 현재 법정손해배상 제도가 있지만, 피해자가 실질적인 배상을 받기는 어려웠다. 이제는 유출 사고 발생 시 기업과 기관의 책임을 원칙으로 하고, 전반적인 입증책임도 이들이 지도록 해 국민이 체감할 수 있는 피해구제 체계를 만들 계획이다.
최근 AI 기반의 공격 자동화와 초고속 취약점 탐지 등 기존과는 차원이 다른 새로운 위협이 현실화되고 있다. 이제는 사람이 아닌 AI 에이전트가 공격과 방어의 주체가 되는 상황에 대응할 체계를 본격적으로 준비해야 할 시점이다.
이렇게 기술 변화가 빨라지고 위협의 형태가 다양해질수록 중요한 것은 사후 대응보다 예방이다. 충분한 예방조치를 이행한 조직은 사고 가능성이 낮을 뿐 아니라, 예기치 못한 사고가 발생하더라도 피해를 최소화하고 빠르게 회복할 수 있다.
개인정보는 디지털 시대 핵심 자산이자 가장 가치 있는 데이터다. 국민의 신뢰 속에서 데이터가 안전하게 활용될 수 있도록 예방 중심의 개인정보 보호 체계를 정착시켜 나가겠다.
송경희 개인정보보호위원회 위원장
〈필자〉 인공지능(AI)·소프트웨어(SW)·디지털 정책 분야에서 주요 보직을 두루 거친 디지털 정책 전문가다. 지난해 10월까지 성균관대 인공지능융합원 산학교수(인공지능신뢰성센터장)을 지냈으며, 국정기획위원회 경제2분과장 겸 AI TF팀장, 국가지식재산위원회 지식재산전략기획단장, 4차산업혁명위원회 지원단장 등을 역임했다. 과학기술정보통신부에서는 인공지능기반정책관, 소프트웨어정책관, 국제협력관을 맡아 AI·SW 정책 등을 이끌었다.