CloudPNG

ºC

logo
IT/바이오

데이터 규제 고삐 죈다…개보위, 유출 땐 매출 10퍼 과징금

한채린 기자
입력

개인정보 유출이 디지털 경제의 핵심 리스크로 부상한 가운데, 개인정보보호위원회가 제재 강화와 사전 예방 중심 체계로 정책 기조를 크게 틀고 있다. 데이터가 AI와 플랫폼 산업 성장의 연료인 동시에, 신뢰를 무너뜨릴 수 있는 약점으로 부각되자 국가 차원에서 규제 강도를 한 단계 끌어올리는 움직임이다. 업계에서는 이번 방침을 데이터 활용과 보호를 둘러싼 국내 디지털 정책의 분기점으로 보는 분위기다.

 

송경희 개인정보보호위원회 위원장은 12일 세종시 정부세종컨벤션센터에서 진행된 개인정보보호위원회 업무보고에서 2025년부터 추진할 핵심 과제를 공개했다. 최근 3년간 개인정보 유출 사고 건수가 20배 이상 늘어난 상황을 언급하며, 기존 사후 중심 대처로는 국민의 체감 안전을 높이기 어렵다고 진단했다. 이에 따라 징벌적 과징금 도입, 인공지능 시대에 맞춘 데이터 활용 규범 마련, 생활 영역 전반의 프라이버시 보호 강화, 국제 공조 확대 등을 포함한 5대 전략을 제시했다.

가장 눈에 띄는 부분은 반복적인 개인정보 유출 사고를 일으킨 기업에 대한 강력한 경제 제재다. 개인정보위는 현행 최대 매출액 3퍼 수준인 과징금 상한을 10퍼까지 높이는 방안을 추진한다. 글로벌 기술기업에 적용되는 유럽 일반 개인정보보호법과 유사한 수준의 제재 수위로, 국내에서도 데이터 보호 위반이 단순한 행정위반이 아니라 기업 생존을 좌우할 수 있는 중대 리스크로 격상되는 셈이다. 업계에서는 매출 연동 과징금이 본격화될 경우, 보안 및 개인정보 보호 투자를 비용이 아닌 필수 경영 의사결정 요소로 보는 인식 전환이 뒤따를 것으로 보고 있다.

 

조직 내부 지배구조 측면에서도 변화가 예고된다. 개인정보위는 기업이 개인정보 보호를 위해 충분한 인력과 예산을 확보하도록 유도하고, 최고경영자가 최종 책임을 부담하는 구조를 강화할 계획이다. 데이터 처리 체계를 정보보호 조직에만 맡기지 않고 이사회, 경영진 차원의 리스크 관리 아젠다로 끌어올리는 방향으로, 금융과 통신 분야에서 확산된 정보보호 최고책임자 체계를 전 산업으로 확장하는 흐름과 맞닿는다. 특히 반복 사고를 낸 기업에 대해서는 조직 구조, 외주 관리, 재발 방지 대책까지 정밀 점검하는 방식이 검토될 수 있다.

 

정책 중심축을 사후 수습에서 사전 예방으로 옮기겠다는 구상도 병행된다. 개인정보위는 과학기술정보통신부와 함께 정보보호 및 개인정보보호 관리체계 ISMS P 제도를 현장 중심으로 개편하고, 인증 실효성을 높이겠다고 밝혔다. 현재 인증이 서류 위주의 형식적 절차에 그친다는 지적을 반영해, 실제 운영 환경에서의 취약점 점검과 사고 대응 능력을 중점 평가 지표로 반영하는 방안이 거론된다. 유통과 플랫폼처럼 다수 이용자가 몰리는 서비스에 대해서는 사전 점검을 강화하고, 공공기관의 개인정보 보호 수준을 기관 평가와 연계해 책임성을 높이는 방안도 포함됐다.

 

AI 전환을 뒷받침하는 데이터 활용 여건 조성은 산업계가 주목하는 또 하나의 축이다. 개인정보위는 인공지능 학습 과정에서 필수적인 원본 데이터를 합법적으로 활용할 수 있도록 특례를 도입하고, 정보주체 동의 외에도 명확한 법적 근거를 마련하겠다는 입장이다. 이는 데이터 최소 수집과 목적 제한 같은 기존 규범과, 대규모 데이터로 학습하는 AI 기술 특성 사이의 불일치를 조정하기 위한 시도다. 업계에서는 연구 목적 가명정보 활용, 공익 목적 데이터 처리 근거 등이 구체화될 경우 헬스케어, 스마트시티, 핀테크 등 데이터 집약 산업에서 AI 모델 개발이 한층 속도를 낼 수 있을 것으로 보고 있다.

 

개인 주도의 데이터 이동과 활용을 뜻하는 마이데이터 확산도 병행된다. 금융을 넘어 헬스케어, 공공, 유통 등 다양한 분야로 마이데이터가 확대되면, 개인이 여러 기관에 흩어진 데이터를 통합 관리하고 원하는 서비스에 제공하는 구조가 가능해진다. 개인정보위는 이러한 환경에서 데이터가 원활히 흐르면서도 오남용을 막기 위해, 전송 규격 표준화와 안전한 인증 체계, 이용자에게 명확한 정보 제공을 요구하는 세부 규칙을 정비한다는 구상이다. 데이터 이동권과 삭제권을 강화해 이용자가 서비스 중단 시 데이터 회수와 파기를 보다 쉽게 요구할 수 있도록 하는 부분도 논의 대상이 될 수 있다.

 

일상 속 프라이버시 보호 역시 별도 과제로 다뤄진다. 인터넷 프로토콜 카메라와 로봇청소기, 스마트 스피커, 웨어러블 기기 등 생활 밀착형 디지털 기기가 수집하는 데이터가 폭증하면서, 가정과 사무공간의 사생활 보호가 새로운 쟁점으로 떠올랐다. 개인정보위는 이러한 기기에서 수집되는 영상과 음성, 위치 정보 등에 대한 안전 기준을 마련하고, 제조사와 서비스 제공자의 기본 의무를 명확히 할 계획이다. 특히 아동과 청소년, 고령층 같은 취약계층을 대상으로 한 과도한 프로파일링이나 맞춤형 광고에 대한 규율 강화가 예상된다.

 

국경을 넘나드는 데이터 흐름에 대한 신뢰 네트워크 구축도 중요한 축이다. 개인정보위는 영국과 미국 등 주요 국가와의 협력 체계를 확대해 상호 적정성 인정, 표준계약 조항 정비 등 국제 규범과 발맞추겠다는 방침이다. 동시에 개인정보가 해외로 이전되는 경우 영향 평가와 사전 심사를 의무화해, 국내에서 수집된 데이터가 데이터 브로커를 통해 무단 유통되거나, 규제가 느슨한 지역에서 부적절하게 활용되는 상황을 차단하겠다는 목표를 제시했다. 최근 사회 문제로 부각된 딥페이크와 불법 합성물에 대해서도 글로벌 공조 체계를 통해 추적과 차단, 삭제 요청 절차를 정교화하는 방안이 거론된다.

 

글로벌 차원에서는 유럽연합의 일반 개인정보보호법과 AI 법안, 미국과 일본의 부문별 데이터 규제가 이미 본격 시행 단계에 접어든 상황이다. 한국은 데이터 활용과 보호를 균형 있게 추구한다는 기조 아래, 이번 정책 전환을 통해 국제 조화와 국내 산업 경쟁력 사이의 접점을 모색하는 단계로 접어들었다는 평가가 나온다. 빅테크와 제조, 바이오 헬스케어 기업들은 강화된 과징금과 책임 구조에 대응해 데이터 거버넌스 조직을 재정비하고, 개인정보 비식별화, 합성 데이터 생성, 프라이버시 보호 기술 도입 등을 검토할 가능성이 있다.

 

송경희 위원장은 사고 수습보다 선제적 투자가 훨씬 큰 이익이라는 인식 전환을 강조하며, 급속한 AI 확산 속도에 맞춰 가시적인 제도 변화를 빠르게 만들어가겠다고 밝혔다. 디지털 전환이 가속하는 가운데, 산업계는 강화된 규제가 실제로 신뢰 기반 데이터 경제를 여는 촉매가 될지, 혹은 기업 활동의 새로운 부담으로 작용할지를 지켜보고 있다.

한채린 기자
share-band
밴드
URL복사
#개인정보보호위원회#송경희#개인정보유출