한국IT전문가협회 조찬세미나서 강연…정보보호 투자 필요성 등 역설
“한국은 정보기술(IT) 인프라가 뛰어나 데이터 가치가 높지만, 보안 투자는 미국의 절반 수준에 불과합니다. 이제는 사고 후 매를 드는 방식이 아니라, 설계 단계부터 프라이버시를 고민하는 선제적 예방 체계로 바꿔야 합니다.”
송경희 개인정보보호위원회 위원장은 8일 서울 강남구 삼정호텔에서 열린 한국IT전문가협회(IPAK) 조찬세미나에서 '인공지능(AI) 시대 개인정보 보호 체계 대전환'을 주제로 강연하며 이같이 강조했다.
송 위원장은 급격한 AI 기술 발전과 데이터 경제 확산에 발맞춰, 우리 사회의 데이터 신뢰도를 높이기 위한 정책 방향을 제시했다.
송 위원장은 먼저 직면한 현실을 짚었다. 2022년 대비 2025년 개인정보 유출 건수는 무려 20배가량 급증했다. 클라우드화와 플랫폼화로 인해 한 번의 해킹만으로도 막대한 양의 데이터가 빠져나가는 구조가 됐기 때문이다. 특히 한국은 데이터 가치가 높고 인프라가 좋아 공격자들에게 매력적인 타깃이지만, 보호 수준은 턱없이 낮다고 했다.
송 위원장은 “미국은 IT 예산의 13.2%를 보안에 투자하는 반면, 우리나라는 민간 6.3%, 공공 7.3% 수준으로 미국의 절반에 불과하다”며 “대문은 허술한데 집 안에 가져갈 보물은 많은 상황”이라고 비유했다. 개인정보위는 이러한 위기를 타개하기 위해 기존의 사후 처벌 중심 체계를 선제적 예방 접종 체계로 전면 개편한다. 한 번 유출된 정보는 회수가 사실상 불가능한 만큼, 사고가 나기 전 실태를 점검하고 기업 스스로 방어력을 갖추게 하겠다는 취지다. 이를 위해 위원회는 올해부터 '기술분석센터'를 운영하여 로봇 청소기, IP 카메라 등 신기술 기기의 데이터 흐름을 직접 분석하고 개선을 유도한다.
또한, 개인정보 보호 중심 설계인 '프라이버시 바이 디자인(PBD)' 인증을 법제화하고, 일정 규모 이상의 기업과 공공기관에는 개인정보 보호 인증(ISMS-P)을 의무화할 계획이다. 책임은 무겁게, 투자는 인센티브로강력한 억제력을 위한 제도적 장치도 보완된다. 중대한 위반 행위에 대해서는 전체 매출액의 10%까지 과징금을 부과할 수 있는 징벌적 체계가 도입된다. 하지만 무조건적인 처벌이 목적은 아니다. 송 위원장은 “평소 예방 투자를 충실히 한 기업은 사고 시 과징금을 필수적으로 감경받을 수 있도록 인센티브 체계를 시행령에 명시할 것”이라고 밝혔다. 아울러 조직 내에서 개인정보보호책임자(CPO)가 소외되지 않도록 최고경영자(CEO)의 관리 의무를 명문화하고, 주요 사항을 이사회에 보고하도록 해 개인정보 보호를 경영의 핵심 과제로 격상시킨다는 방침이다.
데이터 활용 측면에서는 '규제 기관'이 아닌 '조력자'로서의 면모를 강조했다. AI 학습을 위해 안전 조치를 전제로 원본 데이터를 쓸 수 있는 특례를 검토하고, 가명 정보 처리 절차를 대폭 간소화해 기업들의 데이터 갈증을 해소하겠다는 것이다. 특히 기술 변화가 빠른 AI 분야에서는 딱딱한 법령보다는 가이드라인 형태의 연성 규범을 통해 현장의 불확실성을 줄여나갈 계획이다.
송 위원장은 “개인정보 보호가 혁신의 걸림돌이 아니라, 신뢰를 통해 AI 산업을 지속 가능하게 만드는 기반이 되어야 한다”며 “국민이 안심하고 기업이 마음껏 혁신할 수 있는 신뢰 기반의 데이터 네트워크를 구축하겠다”는 포부를 밝히며 강연을 마무리했다.
이에 권태일 한국IT전문가협회 회장(빅썬시스템즈 대표)은 ”기술적 진보만큼이나 개인정보를 지키는 균형 잡힌 제도와 체계가 중요하다“라며, ”현장에 있는 우리 IT 전문가들도 윤리적인 책임감을 갖고 함께 지혜를 모아야 할 때“라고 말했다.
이경민 기자 kmlee@etnews.com
