개인정보 영향평가 수행안내서 'AI 평가항목' 신설ㆍ개인정보 유출 급증 속 합성데이터 기반 대응 전략 제시
보안 합성데이터 및 AI 프라이버시 전문 기업 큐빅(CUBIG)이 공공기관의 개인정보 영향평가 수행안내서 개정(2025.10)과 개인정보 유출 사고 급증에 맞춰 공공ㆍ금융기관이 합성데이터를 활용해 영향평가와 AI 도입을 동시에 추진할 수 있는 인프라 솔루션 DTS(Data Transform System) 기반 대응 전략을 발표했다.
개인정보보호위원회에 따르면 2025년 1~9월 접수된 개인정보 유출 신고 건수는 311건으로 이미 전년도 전체 건수를 넘어섰다. 통신사ㆍ카드사 등에서 수천만 건 규모의 대형 사고가 이어지며 정보주체의 불안이 커지고 있다.
이러한 상황에서 개인정보보호위원회와 한국인터넷진흥원은 공공기관의 개인정보 영향평가 수행안내서(2025.10 개정)를 공개했다. 이번 개정의 핵심은 인공지능(AI) 평가분야 및 항목 신설로, AI 시스템 학습ㆍ개발 단계와 운영ㆍ관리 단계에서 발생할 수 있는 개인정보 침해요인을 분석하고 위험도를 산정하는 기준이 구체화됐다. 안내서는 대규모ㆍ민감정보 처리 사업에서 사전에 영향평가를 실시하고, 기술적 보호조치와 대체 수단을 마련할 것을 강조한다.
한편 개인정보보호위원회는 별도의 합성데이터 생성ㆍ활용 안내서를 통해 실제 데이터를 직접 사용하지 않고도 통계적 특성과 구조를 재현하는 합성데이터가 개인정보 유출 위험을 최소화하면서 데이터 분석ㆍ인공지능 학습ㆍ정책 연구를 가능하게 하는 수단임을 제시하고 있다.
큐빅의 DTS는 이러한 정책 흐름에 맞춰 설계됐다. 공공ㆍ금융기관이 영향평가 과정에서 식별된 고위험 처리 영역을 합성데이터로 대체해 위험도를 구조적으로 낮출 수 있도록 지원한다. 원본 데이터는 기관 내부망에 그대로 두고 통계적 패턴만 학습해 새로운 데이터를 생성하는 원본 비접근(Non-Access) 구조와 차등정보보호(Differential Privacy) 기술을 결합해 데이터 3법ㆍ개인정보보호법ㆍGDPR 수준의 규제를 충족하면서도 분석ㆍAI 활용이 가능한 AI-Ready 데이터셋을 제공한다.
DTS는 표, 텍스트, 이미지, 시계열 등 다양한 형식의 데이터를 합성하고, 합성 후에는 통계적 유사도ㆍ머신러닝 성능ㆍ재식별 위험도를 함께 측정하는 합성데이터 검증 리포트(SynData Report)를 자동으로 생성한다. 이를 통해 기관은 영향평가 보고서에서 요구하는 안전성 및 유용성 검증 근거를 수치와 지표로 제시할 수 있다.
배호 큐빅 대표는 “최근 대형 개인정보 유출 사고가 반복되면서 영향평가만으로는 위험을 서류상으로 관리하는 데 그친다는 우려가 커지고 있다”며 “DTS는 민감한 원본을 직접 쓰지 않고도 정책ㆍ연구ㆍAI 학습에 활용할 수 있는 AI-Ready 합성데이터를 만들고 검증 결과를 영향평가에 바로 첨부할 수 있게 해 공공기관이 규제 준수와 디지털 전환을 동시에 달성하도록 돕는 인프라”라고 말했다.
큐빅은 앞으로 공공기관의 개인정보 영향평가 컨설팅, 공공데이터포털 AI-Ready 데이터셋 구축, 부처ㆍ지자체 간 합성데이터 결합 분석 시범사업 등을 확대해 영향평가 제도와 연계된 합성데이터 활용 모델을 단계적으로 선보일 계획이다.
서희원 기자 shw@etnews.com
