CloudPNG

ºC

logo
IT/바이오

데이터 징벌적과징금 도입…개인정보위, AI시대 규제·투자 재편

조수빈 기자
입력

AI와 클라우드 확산으로 데이터가 국경을 넘나드는 환경에서 개인정보 보호 체계가 전면 재편된다. 개인정보보호위원회가 2026년까지 제재 중심에서 예방 중심으로 정책 축을 옮기면서도, 반복적이거나 중대한 위반에 대해서는 매출액 10퍼센트 수준의 징벌적 과징금과 집단 손해배상 절차를 내세워 규제 강도를 끌어올린다. 동시에 AI 특례, 가명정보 활용, 마이데이터 전송 영역 확장 등 데이터 활용 채널을 넓혀 기업의 투자와 혁신을 유도하는 양면 전략을 제시했다. 업계에서는 이번 계획이 국내 데이터 거버넌스를 EU 수준의 규범과 AI 경쟁 환경에 맞추는 분기점이 될 수 있다는 평가가 나온다.

 

개인정보보호위원회는 12일 대통령에게 보고한 2026년 업무 추진계획을 통해 실효적 제재 및 보호투자 촉진, 공공과 민간의 선제적 예방 점검, 신뢰 기반 AI 사회 구축, 국민 생활 속 프라이버시 보호, 글로벌 데이터 신뢰 네트워크 구축 등 5대 방향을 제시했다. 송경희 위원장은 사후 브리핑에서 AI와 클라우드 중심의 데이터 환경에서는 서면 점검과 사후 제재만으로는 변화 속도를 따라가기 어렵다며 현장 중심 사전 예방 체계로 전환하겠다고 설명했다. 수집 단계만을 옥죄는 구조에서 벗어나 리스크 수준에 따라 데이터 활용을 허용하고, 국경 간 데이터 이전에 대응한 전략적 체계를 마련하겠다는 것이 핵심이다.

핵심 변화는 제재 수단이다. 개인정보위는 반복적이거나 중대한 법 위반이 발생할 경우 매출액의 최대 10퍼센트를 부과할 수 있는 징벌적 과징금 특례를 신설해 강력한 억지력을 확보할 계획이다. 지금까지는 과징금 상한과 부과 기준이 상대적으로 완화돼 대규모 유출 사고에도 비용 대비 위험이 낮다는 비판이 있었다. 여기에 단체소송 요건에 손해배상을 포함하는 방안을 추진해 집단 손해배상 청구 통로를 넓힌다. 대규모 플랫폼 서비스, 금융, 통신, 헬스케어 등 개인정보 집적 산업 전반의 법적 리스크 관리 비용이 크게 높아질 전망이다.

 

정보보호 및 개인정보보호 관리체계 인증인 ISMS P 제도도 사고 연계성을 기준으로 손질된다. 사고와 직결되는 핵심 항목을 대상으로 예비심사를 먼저 시행해 기준에 미달하면 본 심사에 들어가기 전 심사를 중단하도록 하고, 현장 기술심사를 강화한다. 인증 이후에도 중대 또는 반복 위반이 드러날 경우 원칙적으로 인증을 취소하는 방향으로 사후 관리를 강화할 방침이다. 국내 IT 기업과 의료기관, 클라우드 사업자는 인증 유지 자체가 사업 신뢰성과 직결되는 만큼 보안·개인정보 투자 확대 압박을 받게 된다.

 

책임 구조도 상향 조정된다. 개인정보위는 리스크에 비례해 책임을 묻는 원칙을 기반으로, 개인정보 보호 체계에 적극 투자한 기업에 대해서는 과징금 필수 감경 등 인센티브를 제도화할 계획이다. 동시에 대표이사를 최종 개인정보 보호 책임자로 규정하는 내용을 법제화해 최고경영진 수준의 거버넌스를 요구한다. 또 대규모 또는 민감정보를 처리하는 기관은 개인정보보호책임자 지정을 의무화하고 그 현황을 위원회에 신고하는 CPO 지정 신고제를 도입해, 조직 내 책임자의 실명을 제도적으로 묶어두려는 구상이다.

 

사전 예방 체계 구축을 위해 개인정보위는 유통, 플랫폼 등 대규모 데이터와 민감정보를 집중적으로 다루는 산업군을 대상으로 상시 실태점검을 진행한다. 고도화된 해킹과 새로운 공격 벡터에 대응하기 위해 개인정보 침해 요인을 상시 분석하는 기술분석센터도 설립한다. 공공 부문의 경우 개인정보 보호 수준 평가에서 유출 사고가 발생하면 감점 폭을 키우고, 주요 공공시스템 취약점 점검 의무를 강화한다. 스타트업, 중소, 영세기업에 대해서는 선제 모니터링과 기술적 지원을 제공해 기본적인 보호조치를 끌어올리는 대신, 사고 발생 시 즉시 시정하는 경우 제재 부담을 줄여주는 방식으로 유연성을 부여한다.

 

AI 확산에 따른 기술적 대응도 병행된다. 개인정보위는 PET, 즉 개인정보 보호 강화 기술에 대한 연구개발과 전문인력 양성을 추진한다. PET는 가명 처리와 익명 처리, 동형암호, 합성데이터, 분산컴퓨팅 등 데이터를 분석 가능한 형태로 활용하면서도 개인 식별을 어렵게 만드는 기술군을 뜻한다. 위원회는 AI 생애주기 전 단계에 맞춘 개인정보 특화 기술을 개발하고 관련 국제표준을 선점해, 신뢰성을 갖춘 AI 산업을 육성하겠다는 목표를 제시했다. 동시에 산업 현장의 실시간 침해사고 대응과 리스크 예방을 담당할 석박사급 인력을 체계적으로 키우겠다는 계획이다.

 

데이터 활용 측면에서는 AI 특례 도입과 가명정보 활용 지원이 눈에 띈다. 개인정보위는 AX, 즉 인공지능 전환 시대에 맞춰 개인정보 처리 근거를 넓히고, 안전장치를 전제로 AI 개발과 서비스에 필요한 데이터 접근을 허용하는 특례를 설계한다. 공공기관 중 양질의 데이터를 보유했지만 가명처리 역량이 부족한 곳에는 가명처리 원스톱 지원체계를 제공해 데이터 활용 허들을 낮출 예정이다. 개인정보 이노베이션존을 데이터 활용 허브로 삼아, 위원회가 직접 안전성을 검증한 공간에서 연구자와 기업이 실데이터 또는 고품질 가명정보를 유연하게 다룰 수 있도록 한다.

 

에이전트형 AI처럼 자율성이 높은 모델이 확산하면서 새로운 프라이버시 위험이 떠오르자, 개인정보위는 AI 프라이버시 민관 정책협의회를 중심으로 세분화된 데이터 처리 가이드라인을 만들기로 했다. 협의회에는 학계, 산업계, 시민단체, 법조계 등 30여 명의 전문가가 참여한다. 또 공공 AX 혁신 지원 헬프데스크를 운영해 사회 문제 해결형 AI 프로젝트에 개인정보 침해 우려가 없도록 사전 자문과 점검을 제공할 계획이다. 의료 AI, 교통·에너지 최적화, 교육 추천 시스템 등 공공성이 높은 분야의 데이터 활용이 주요 지원 대상이 될 것으로 보인다.

 

마이데이터 생태계도 확대된다. 개인정보위는 국민이 자신의 마이데이터 전 과정을 한 플랫폼에서 관리할 수 있는 마이데이터 지원 플랫폼을 개선해 정보 통제권을 강화하겠다고 밝혔다. 현재 의료와 통신 분야에 적용된 개인정보 제3자 전송 서비스를 2026년까지 에너지, 교육, 고용, 문화여가 등 4개 분야로 넓힌다. 이를 통해 헬스케어, 에너지 효율, 평생 교육, 디지털 리크루팅, 콘텐츠 추천 등 다양한 데이터 기반 서비스 시장이 커질 가능성이 있다. 다만 이용자 동의 절차와 보안 요구 수준이 높아져 관련 사업자의 기술·법적 준수 비용 역시 증가할 수 있다.

 

일상 속 프라이버시 보호도 강화된다. 개인정보위는 주요 시설에서 사용하는 IP 카메라에 보안 인증을 의무화하는 내용을 담은 영상정보처리기기 설치 운영 법률 제정을 추진한다. 영상관제시설의 안전성 기준을 법률로 명시해 공공기관과 민간 감시 카메라의 보안 수준을 끌어올리겠다는 취지다. 로봇청소기, 키오스크 등 생활 밀착형 스마트기기에는 설계 단계부터 개인정보 보호를 내장하는 PbD 인증제 도입을 확대해, 스마트홈과 스마트시티 환경에서의 감시와 유출 리스크를 줄이는 방향을 제시했다.

 

딥페이크 등 합성콘텐츠 악용 문제에 대해서는 정보주체 권리 자체를 새로 만든다. AI 합성콘텐츠에 대해 삭제를 요구할 수 있는 권리와, 플랫폼 사업자의 조치 의무를 규정하는 동시에, 인격적 가치 훼손을 목적으로 개인정보를 합성하거나 변조, 유통하는 행위를 금지하는 규정을 마련할 계획이다. 이는 성범죄형 딥페이크뿐 아니라 정치인, 공직자, 기업 경영진을 겨냥한 허위 영상 유포에도 적용될 여지가 있다. 개인정보위는 범정부 협력 체계를 통해 수사기관과의 공조, 국제 공조 채널을 병행하겠다는 입장이다.

 

교육과 지원 체계도 확장된다. 개인정보처리자를 대상으로 업종과 규모에 맞춘 특화 교육을 제공하고, 국민 대상 맞춤형 교육 프로그램을 마련해 실생활에서의 유출 피해를 줄이려 한다. 특히 아동·청소년을 위해 지우개 서비스로 불리는 과거 게시물과 계정 정보를 삭제 지원하는 서비스를 확대하고 이를 법제화하는 방안을 논의한다. 디지털 네이티브 세대가 성인이 된 이후 과거 온라인 기록으로 인한 차별과 낙인을 줄이려는 취지다.

 

피해 대응 인프라 측면에서는 침해신고센터 기능을 상담과 신고 중심으로 강화해, 취약계층의 피해를 조기에 포착하고 지원하는 시스템을 구축한다. 해킹 등 침해 사고 발생 초기부터 개인정보 유출 가능성을 신속히 통지하는 제도를 도입해 사용자가 비밀번호 변경, 계정 잠금, 2단계 인증 확대 등 대응 조치를 빠르게 취하도록 유도할 계획이다. 동시에 개인정보 불법유통에 대한 처벌과 정보수집, 분석의 법적 근거를 정비해, 암시장 추적과 국제 공조 수사를 뒷받침하는 체계를 마련한다.

 

재정적 피해 회복 메커니즘도 새로 제시됐다. 개인정보위는 개인정보 피해회복 지원 기금 신설을 추진해 개인정보 보호법 위반 과징금 등을 재원으로 피해자 지원에 사용할 수 있도록 한다. 사고를 일으킨 기업이 자발적으로 시정 방안을 제출하고 위원회가 이를 의결해 실행하는 피해회복형 동의의결 제도도 도입해, 긴 소송 없이 빠른 보상과 재발 방지 대책 이행을 유도하겠다는 구상이다. 규제 기관의 재정 권한이 커지는 만큼, 집행의 투명성과 이해상충 방지 장치에 대한 논의도 병행될 것으로 보인다.

 

국경 간 데이터 이동 규제는 SCC와 BCR을 축으로 정비된다. 개인정보위는 표준계약조항과 구속력 있는 기업내부규정을 통해 기업이 해외로 개인정보를 이전할 때 필요한 보호 의무를 구체화하고, 정보주체 권리 보장 장치를 마련한다. 민감한 대규모 개인정보를 국외로 이전하는 기업에는 국외이전 영향 평가제를 적용해 자율적으로 위험을 진단하고, 필요 시 추가 보호조치를 설계하도록 할 방침이다. 인수합병 과정에서 해외 본사나 계열사로 데이터가 넘어가는 구조에 대해서는 국외이전 사전심사제를 도입해, 거래 단계에서부터 개인정보 리스크를 검토하는 절차를 넣는다.

 

글로벌 측면에서는 미국, 영국, 일본 등 데이터 교류 필요성이 큰 국가를 중심으로 상호 신뢰 기반의 이전 체계를 구축한다는 전략을 세웠다. 국내 제도 수준을 유럽 일반개인정보보호규정과의 적정성 평가 기준에 부합시키고, 주요 파트너 국가와의 규범 정합성을 확보하면, 국내 클라우드·AI·헬스케어 기업의 해외 진출 장벽이 낮아질 수 있다. 동시에 개인정보위는 개도국을 대상으로 개인정보 보호 역량 강화를 지원하고, 국제 규범 논의에도 적극 참여하겠다고 밝힌 상태다.

 

업계에서는 매출 10퍼센트 수준의 과징금과 집단 손해배상 확대가 데이터 기반 비즈니스 전반에 구조적 리스크로 작용할 수 있지만, PET 투자에 따른 인센티브, AI 특례, 마이데이터 확대 등 활용 측면의 보완 장치도 함께 제시된 만큼 규제와 혁신의 균형을 어떻게 맞출지가 관건으로 보고 있다. 특히 글로벌 클라우드와 AI 플랫폼을 활용하는 금융, 의료, 제조, 콘텐츠 기업들은 국외이전 영향 평가와 SCC, BCR 도입에 따른 추가 비용을 감수하는 대신, 국제 수준의 데이터 거버넌스를 내재화할 필요가 커질 전망이다. 산업계는 이번 정책 방향이 실제 시장에서 실효성을 확보하며 안착할 수 있을지, 향후 입법 과정과 세부 시행령 논의를 주시하고 있다.

조수빈 기자
share-band
밴드
URL복사
#개인정보보호위원회#ai특례#마이데이터