“하루 100만명 개인정보도 선별적으로 인터넷 허용”…개인정보위, 안전조치 기준 개정에 시장 관측

하루 100만명 이상의 개인정보를 다루는 기업들도 위험분석에 따라 일부 개인정보취급자의 PC에서 인터넷 접속이 가능해지는 길이 열렸다. 개인정보보호위원회가 21일 행정예고한 개인정보의 안전성 확보조치 기준 고시 개정안이 확정될 경우, 데이터의 대규모 처리 환경에 보다 유연하고 맞춤형 안전조치가 도입될 전망이다. 업계는 이번 제도 개편이 인공지능, 클라우드 등 신기술 기반 산업의 보안과 활용 사이의 균형이 시험대에 오르는 분기점이 될 것으로 해석하고 있다.

개정안은 전년 말 기준 직전 3개월간 하루 평균 처리 인원이 100만명 이상인 기업(대규모처리자)을 대상으로 한 기존 인터넷망 차단 조치에 위험분석 기반 예외 적용을 허용했다. 과거에는 개인정보취급자 PC의 인터넷 접속을 전면 차단하는 것이 원칙이었지만, 이제는 위험수준이 낮거나, 이에 준하는 보호조치 마련 시 선별적으로 접속을 열 수 있다. 이에 대해 개인정보위는 기술 발전과 데이터 보호 체계 전환에 따라, 현장 실효성과 안전성 사이의 균형 필요성이 높아졌다고 설명했다.

이번 개정은 접근 권한 통제와 기록 관리 범위도 넓혔다. 종전에는 개인정보 관리자와 취급자만을 관리 대상으로 삼았으나 개정안은 오픈마켓 입점 판매자 등 정당한 접근 권한을 가진 모든 인원까지 관리한다. 인증수단 강화와 비인가 접근 차단, 접속기록 보관·점검 의무도 함께 확대돼 책임성이 강화된다.

또한 처리자는 보유 개인정보의 규모와 특성에 맞춰, 월 1회 단위의 일률적 기록 점검 규정에서 벗어나 내부 관리계획에 기반한 유연한 점검 주기 설정이 가능해진다. 산업계로서는 인력 운영과 정보보안 비용 배분, IT기술 적용의 자율성을 확대할 수 있게 됐다.

글로벌 시장에서는 이미 산업별 실효성·보안균형에 기반한 데이터·개인정보 관리 정책 도입이 확산 중이다. EU의 GDPR, 미국 CCPA도 위험기반 접근법을 강화하고 있어 국내 기업의 대응 역시 탄력적 전략이 요구된다. 동시에 관련 제도와 상충 위험, 인증 절차, 외부 감사 등 규제 이슈에 대한 관리 역량도 확대가 필요하다는 목소리가 등장하고 있다.

전문가들은 “기술 발전 속도와 데이터 활용 수요를 반영한 규제 유연화는 경쟁력을 끌어올릴 수 있는 반면, 정보 유출 등 위험 통제 책임은 더 무거워질 가능성도 있다”고 분석한다. 양청삼 개인정보정책국장은 “대규모처리자가 목적, 방법, 위험 등을 종합 판단해 자율적 결정이 가능하도록 했다”며 “향후 추가 의견도 반영해 산업 현장의 현실과 조화를 촉진하겠다”고 밝혔다.

산업계는 이번 기준 개정이 실제 현장에 안착할 수 있을지, 데이터 안전성 확보와 산업 혁신 간 균형이 새 정책의 성공 여부를 좌우할 것으로 보고 있다.