CloudPNG

ºC

logo
IT/바이오

AI 영향평가 공개한 개인정보위, 예방형 공공보안 전환 신호탄

김서준 기자
입력

개인정보 보호 규제가 사후 제재 중심에서 사전 위험 예방 체계로 옮겨가고 있다. 디지털 행정과 공공 데이터 활용이 빠르게 확산되는 가운데, 공공부문이 정보보호의 최소 기준이 아니라 선제적 방어선 역할을 해야 한다는 요구가 커지는 흐름이다. 개인정보보호위원회는 공공기관의 관리 체계를 선제적으로 전환시키기 위한 구체적인 평가 기준과 인공지능 영향평가 프레임을 제시하며, 앞으로의 정책 방향을 명확히 했다는 점에서 산업계와 공공부문 모두의 주목을 받고 있다. 업계에서는 이번 설명회를 데이터 기반 행정과 AI 행정서비스 확산 과정에서 개인정보 규제와 기술 활용 간 균형을 가늠할 수 있는 분기점으로 보고 있다.  

 

개인정보보호위원회는 15일 서울 중구 LW컨벤션센터에서 중앙부처와 지방자치단체, 공공기관 개인정보 보호 담당자를 대상으로 공공기관 개인정보 보호 방안 설명회를 개최했다. 최근 민간과 공공 영역을 가리지 않고 대형 개인정보 유출 사고가 연달아 발생하는 상황에서 공공부문 관리체계를 사후 대응에서 사전 예방 중심으로 전환하겠다는 취지를 분명히 한 것이다.  

설명회 핵심 내용은 네 가지 축으로 정리된다. 첫째, 공공기관 스스로 보호 수준을 점검하는 개인정보 보호수준 평가 사례 소개가 이뤄졌다. 둘째, 개인정보 영향평가의 우수 및 미흡 사례를 공유해 설계 단계부터 위험을 줄이는 접근법을 제시했다. 셋째, 인공지능 기술 확산에 대응하는 AI 영향평가 기준을 처음 공개해, 공공 AI 서비스 기획 단계에서 고려해야 할 개인정보 리스크 기준선을 제시했다. 넷째, 대규모 개인정보를 처리하는 공공시스템에 대한 안전조치 의무 강화 방안을 설명하며 기술적·관리적 통제의 실효성을 강조했다.  

 

개인정보 보호수준 평가는 각 기관이 스스로 정보시스템과 업무 프로세스를 진단하는 일종의 자가 점검 도구다. 개인정보위는 실제 공공기관에서 발견된 취약 사례와 이를 개선한 구체적인 조치 과정을 공유했다. 예를 들어 접속권한 설정이 과도하게 넓거나, 장기간 활용되지 않는 계정이 방치된 사례 등을 제시하고, 최소권한 원칙 적용과 주기적인 계정 정비 절차를 의무화한 사례 등으로 개선 방안을 설명했다. 더불어 기관별 참고용으로 활용할 수 있는 우수사례집을 배포해 개별 기관의 관리 수준을 끌어올리겠다는 전략을 내놨다.  

 

개인정보 영향평가는 새로운 정보시스템 도입이나 기존 시스템의 중요한 변경 시 개인정보 처리 과정 전반의 위험을 사전에 분석하는 제도다. 개인정보위는 이번 설명회에서 다양한 공공서비스 구축 사례를 기반으로, 설계 단계에서부터 수집 범위 최소화와 가명처리, 암호화 구조 설계 등 기술적 보호조치를 패키지로 구성하는 방식이 효과적이라고 짚었다. 평가 결과 미흡 판정을 받았던 사례의 경우, 목적 외 이용이 가능한 구조로 설계된 화면 구성이나 로그 관리 미비, 위탁 관리 문서화 부재 등이 공통적으로 지적됐다고 소개했다.  

 

특히 AI 기술 확산과 함께, 대규모 학습 데이터와 알고리즘 활용 과정에서 개인정보 침해 리스크가 커지고 있는 점에 주목했다. 개인정보위는 새로 마련된 AI 영향평가 기준을 소개하며, 공공기관이 챗봇, 민원 응대 자동화, 예측 행정 등 AI 기반 서비스를 도입할 때 점검해야 할 항목을 제시했다. 여기에는 학습 데이터의 수집 근거와 비식별 처리 수준, 알고리즘 편향으로 특정 집단이 차별을 받을 수 있는지 여부, 결과 설명 가능성과 이의 제기 창구 마련 등이 포함된 것으로 알려졌다.  

 

공공시스템 안전조치 의무 강화는 최근 공공부문 정보시스템이 점점 더 클라우드와 민간 데이터센터에 분산되는 환경 변화를 반영한 조치로 풀이된다. 개인정보위는 대규모 개인정보를 처리하는 시스템 운영기관을 대상으로 접근 권한 통제, 접속기록 생성 및 주기적 점검, 암호화와 백업 관리 등 기존 기술적·관리적 보호 조치가 실제 운영 현장에서 작동하도록 책임을 강화하겠다고 밝혔다. 단순한 규정 나열이 아닌, 업무 프로세스에 내재화된 통제 수단 설계가 필요하다는 메시지다.  

 

글로벌 차원에서도 공공부문 데이터 보호는 AI 행정과 디지털 정부 전략의 핵심 요소로 부상한 상태다. 유럽연합은 일반개인정보보호법과 AI법을 통해 공공기관의 고위험 AI 시스템 사용에 엄격한 평가와 투명성 기준을 요구하고 있으며, 미국에서도 연방정부 차원의 AI 지침과 개인정보 보호지침이 잇따라 제정되고 있다. 한국 개인정보위의 이번 AI 영향평가 기준 공개와 공공시스템 의무 강화는 이러한 국제 흐름과 궤를 같이하는 조정으로 해석될 수 있다.  

 

개인정보위는 국민의 개인정보를 처리하는 모든 기관이 예방 중심 보호 체계를 일상 업무 전반에 정착시켜야 한다고 강조했다. 아울러 국민이 신뢰할 수 있는 안전한 공공 서비스 제공을 위해서는 단기 점검에 그치지 않고 상시적인 관리 체계 강화와 교육, 예산 지원이 병행돼야 한다는 입장이다.  

 

한편 개인정보위는 17일 민간기업을 대상으로 개인정보 정책 설명회를 열고, 산업 전반으로 예방 중심 보호 체계를 확산하겠다는 계획을 밝혔다. 산업계와 공공부문에서는 이번 일련의 조치가 실제 현장에서 어느 수준까지 이행될지, 그리고 디지털 전환과 데이터 활용 속도를 저해하지 않으면서도 개인정보 보호를 강화하는 균형점을 찾을 수 있을지 주시하고 있다.

김서준 기자
share-band
밴드
URL복사
#개인정보보호위원회#ai영향평가#개인정보유출