CloudPNG

ºC

logo
IT/바이오

“생성형 AI 개인정보 처리” 개인정보위, 현장 설명회로 가이드 제시

최동현 기자
입력

개인정보 활용이 디지털 산업 전반의 핵심 인프라로 부상하면서, 국내 규제당국이 현장 실무자를 직접 찾는 방식으로 규제 이해도 높이기에 나선다. 특히 생성형 AI 확산과 데이터 국외 이전, 가명정보 활용 등 쟁점이 복잡해지는 상황에서, 기업과 공공기관이 개인정보보호 법제 변화에 선제적으로 대응하도록 돕겠다는 취지로 해석된다. 업계에서는 이번 설명회를 AI 시대 개인정보 규율 방향을 가늠할 수 있는 신호탄으로 보는 분위기다.

 

개인정보보호위원회는 17일 서울 양재 엘타워에서 기업과 공공기관, 협회와 단체 등에서 개인정보를 담당하는 실무자를 대상으로 대면 현장 설명회를 연다고 16일 밝혔다. 별도의 사전 신청 없이 누구나 참여할 수 있도록 해, 현장에서 직접 질의응답을 통해 애로사항을 해소하는 자리를 마련한다는 계획이다.

설명회 핵심 의제는 지난 10월 일부 개정된 개인정보의 안전성 확보조치 기준 고시다. 개정 고시는 개인정보 처리 시스템에 대한 기술적·관리적 보호조치 최소 기준을 규정한 것으로, 정보통신망 중심 환경에서 클라우드와 AI 기반 서비스 확산까지 고려해 전반적인 기준을 손질했다. 특히 이번 개정을 통해 인터넷망 차단 조치의 개선 방향, 대형 플랫폼 사업자의 책임 강화, 개인정보처리자의 자율보호 체계 구축, 내부관리계획 수립 항목 확대 등이 구체적으로 정리되면서, 실제 시스템 설계와 운영에 미치는 영향이 적지 않을 것으로 보인다.

 

인터넷망 차단 조치 개선은 과거 물리적 망 분리 중심 보안 전략이 원격근무, 클라우드 기반 개발 환경과 충돌해왔던 현실을 반영한 변화로 평가된다. 개인정보위는 설명회에서 망 분리 대신 망 연계 장비, 접근통제 솔루션 등 대체 보안 수단을 어떻게 적용할 수 있는지, 기술 옵션과 정책 설계 방향을 예시 중심으로 안내할 방침이다. 이에 따라 금융, 의료, 공공기관 등 망 분리 의무가 강했던 기관들의 시스템 구조 재검토 논의도 본격화될 수 있다.

 

플랫폼 사업자 책임 강화 역시 주요 쟁점이다. 대규모 이용자 데이터를 수집·분석하는 플랫폼 기업의 경우, 개인정보 누출 시 사회적 파장이 크기 때문에 개인정보위는 내부 책임자 지정, 위탁·공동처리 관계 관리, 제3자 제공 통제 절차 등에서 보다 강화된 책임 구조를 주문하고 있다. 설명회에서는 대형 플랫폼과 중소 서비스 사업자 간 책임 배분, 로그 관리, 침해사고 대응 체계 정비 등 실무 적용 시나리오가 구체적으로 논의될 전망이다.

 

개정 고시는 또 개인정보처리자 스스로 보호 체계를 설계해 운영하는 자율보호 모델을 강조했다. 법에서 요구하는 최소 기준을 넘어, 내부 위험평가, 교육, 모니터링 시스템을 어떻게 연계해야 하는지에 대한 가이드가 추가됐다. 내부관리계획 수립 항목 확대도 같은 맥락이다. 기존에는 조직과 인력, 접근권한 관리 등 기본 틀에 초점이 맞춰졌다면, 앞으로는 클라우드 이용, 위탁처리, 국외 이전, 가명정보 활용 등 디지털 전환 이후 새로 생긴 위험요소까지 포함돼야 한다는 점이 강조된다.

 

설명회에서는 제도 변화에 직접적인 영향을 받는 핵심 규제 장치들도 함께 다뤄진다. 우선 사전적정성 검토제의 운영 현황과 활용 방안이 공유된다. 사전적정성 검토제는 새로운 서비스나 기술에서 개인정보 처리 방식의 적법성을 사전에 점검받는 절차로, AI 기반 서비스나 플랫폼 통합 서비스에서 규제 리스크를 줄이는 수단으로 주목받아 왔다. 개인정보위는 검토 신청 시 요구되는 자료 범위, 심사 기준, 예상 소요 기간 등 실무 정보와 함께, 검토 결과를 실제 시스템 설계에 반영하는 방법을 안내할 예정이다.

 

개인정보 국외 이전 제도 역시 핵심 안건이다. 데이터센터 해외 이전, 글로벌 클라우드 활용, 다국적 플랫폼 서비스 확산 등으로 국외 이전 이슈가 급증하고 있는 만큼, 개인정보위는 국외 이전 시 필요한 이용자 동의, 표준계약조항 활용, 적정성 인정 국가 여부와 같은 절차를 다시 한번 정리한다는 계획이다. 특히 글로벌 빅테크 의존도가 높은 국내 스타트업과 중견 IT기업들은 이번 설명회를 통해 국외 이전 계약 체결 시 점검해야 할 구체 항목과 규제 리스크를 재정비할 수 있을 것으로 보인다.

 

가명정보 제도의 운영 현황과 향후 방향도 공유된다. 가명정보는 직접 식별이 어렵도록 처리한 정보로, 통계작성, 과학적 연구, 공익 기록보존 등에 활용할 수 있는 데이터 자산이다. 데이터 기반 바이오 연구, 의료 AI 개발, 마케팅 분석 등에서 수요가 커지는 만큼, 개인정보위는 가명처리 기준, 결합전문기관을 통한 데이터 결합 절차, 재식별 위험 통제 방안 등을 다시 설명하며 제도 활용도를 높이겠다는 방침이다. 업계에서는 가명정보 활용 가이드가 구체화될수록 헬스케어와 금융 데이터 분석 사업이 속도를 낼 수 있을 것으로 보고 있다.

 

이번 현장 설명회의 가장 큰 관심사는 생성형 AI 개발과 활용 과정에서의 개인정보 처리 가이드다. 생성형 AI는 대규모 텍스트, 이미지, 음성 데이터를 학습하는 과정에서 개인정보가 포함될 개연성이 높고, 모델이 학습한 내용을 기반으로 개인정보를 재생성하거나 추론하는 문제도 제기돼 왔다. 개인정보위는 설명회에서 학습 데이터 수집 단계에서의 적법성 확보, 민감정보와 아동정보 처리 제한, 모델 출력 단계에서의 개인정보 노출 방지 기법 등 기본 원칙을 제시하고, 관련 질의응답을 통해 실제 개발·운영 과정의 쟁점을 점검할 계획이다.

 

글로벌 차원에서 AI 규제가 강화되는 추세도 이번 설명회를 통해 간접적으로 반영될 전망이다. 유럽연합이 EU AI 법을 통해 고위험 AI 시스템에 대한 엄격한 의무를 부과하고, 미국과 일본도 개인정보 보호와 AI 책임성 논의를 병행하는 가운데, 국내에서는 개인정보보호법을 축으로 한 단계적 규율 정비가 진행 중이다. 업계에서는 개인정보위가 생성형 AI 가이드를 구체화할수록, 향후 입법이나 세부 고시 개정의 방향을 가늠할 수 있을 것으로 보고 있다.

 

설명회 발표 자료는 개인정보보호위원회 누리집에 공개될 예정이다. 대면 설명회에 직접 참석하기 어려운 지방 소재 기업과 기관, 스타트업도 자료를 통해 최소한의 규제 정보를 확보할 수 있는 구조다. 다만 AI와 클라우드, 바이오데이터 등 융합 서비스에서 발생하는 새로운 유형의 개인정보 이슈를 충분히 반영하기 위해서는, 정기적인 현장소통과 업계 의견 수렴이 병행돼야 한다는 지적도 나온다.

 

데이터가 산업 경쟁력의 핵심 자산으로 떠오르는 가운데, 개인정보위의 이번 현장 설명회가 실제 실무 현장의 혼선을 얼마나 줄이고, 기업과 기관의 자율보호 역량을 높이는 방향으로 이어질지 주목된다. 결국 기술 발전 속도에 맞는 규제 이해도 제고와 책임 있는 활용 문화가 뒷받침될 때, 데이터 산업과 개인정보보호의 균형이 새로운 성장 조건으로 자리 잡을 수 있어 보인다.

최동현 기자
share-band
밴드
URL복사
#개인정보보호위원회#생성형ai#개인정보국외이전