“위험도 따라 망 차단 유연화”…정부, 개인정보 보호 기준 전환

인터넷망에서 컴퓨터를 일률적으로 차단하던 기존 개인정보보호 정책이 위험 분석과 보안 조치 중심으로 바뀌고 있다. 일평균 100만명 이상 개인정보를 다루는 기업 역시 위험도가 낮을 경우 인터넷망 차단 의무에서 예외를 적용받는 등 보호체계가 한층 유연해졌다. 이번 개정으로 데이터 기반 AI·클라우드 운용 등 신기술 도입과 업무 디지털 전환이 가속화될 것으로 전망된다. 업계는 정부의 이번 조치를 ‘유연한 보호와 혁신 경쟁력 확보’의 분기점으로 평가한다.

정부와 개인정보보호위원회는 31일 ‘개인정보의 안전성 확보조치 기준’ 고시 개정안을 확정하고 즉시 시행하기로 했다. 이번 개정은 일괄적인 네트워크 차단 대신 데이터 중요도와 위험 수준에 맞는 맞춤형 보호조치를 강화하는 것이 핵심이다. 특히 인공지능(AI)·클라우드 등 신기술 기반 업무환경에서 효율성과 보안 간 균형을 도모하는 맞춤형 제도 전환에 방점이 찍혔다.

신규 기준 하에서는 개인정보처리시스템에 저장·관리되는 정보나 이용자 수, 활용 환경 등을 기준으로 각 기기의 위험도를 분석한다. 위험이 감지될 경우에는 기술적·관리적 보호조치를 우선 적용하고, 보호된 환경 내에서라면 기존처럼 인터넷망 차단 없이도 업무 수행이 가능해진다. 단, 암호화 대상이나 민감정보 등 중요 데이터는 여전히 인터넷망 차단 의무를 유지해 관리된다. 이번 변화로 인해 AI 활용 신약개발, 원격 임상, 대규모 데이터 분석 등 바이오·IT 산업 내 클라우드 서비스 확장성도 높아질 것으로 보인다.

플랫폼 산업의 책임 강화 역시 개정안의 주요 내용이다. 오픈마켓 및 대형 IT 플랫폼 등 개인정보를 다루는 다양한 사업자에 보다 광범위한 접근권한 관리, 인증 및 접속기록 보관 기준이 새로 적용된다. 특히 플랫폼 입점 판매자나 소상공인 등도 안전한 인증수단을 도입해야 하며, 업무수행자 전원에게 접근권한을 차등 부여하는 방식으로 보호 장치가 강화된다. 접속기록 보관 대상의 경우, 개인정보처리시스템에 접근한 모든 자(정보주체 제외)로 확대돼, 실질적 데이터 흐름에 대한 감시체계가 두터워진다.

자율보호 체계 확대도 중요한 변화다. 내부 관리계획 수립, 점검 주기와 방법, 사후조치 절차 등에 대한 자율 결정권이 커지면서 형식적 통제가 아닌 실질적 데이터 보호 문화 확산에 중점을 둔다. 한편, 암호화 의무와 같은 선제적 조치 확대 내용도 ‘안전성 확보조치 안내서’ 발간을 통해 현장에 상세히 안내될 예정이다.

글로벌 시장에서는 미국·유럽 등 규제기관 역시 위험 기반 접근방식을 강화하는 추세다. EU AI Act 및 GDPR 등도 망 차단 등 일률적 조치에서 벗어나 기술 환경 변화와 리스크 수준에 따라 책임과 자율을 병행하는 모델로 진화하는 중이다.

양청삼 개인정보정책국장은 “기술 환경 변화에 발맞춰 보호의 유연성과 실효성 모두를 확대했다”며 “현장의 애로를 세심히 반영한 지원체계도 갖출 것”이라고 밝혔다. 산업계는 신기술 이용 확대와 데이터 보호 간 조화가 현장 적용 과정에서 빠르게 안착할 수 있을지 주목하고 있다.