[현장] 송경희 "개인정보 유출 3년 새 20배…사후 제재론 한계"

개인정보보호위원회가 인공지능(AI) 시대 대규모 개인정보 침해에 대응하기 위해 보안 인증 의무 범위를 확대하고 과징금 상한을 매출액의 10%로 높이는 등 개인정보 보호 체계 전면 강화에 나선다.

송경희 개인정보보호위원회 위원장은 8일 서울 강남구 삼정호텔에서 'AI시대 개인정보보호 체계 대전환'을 주제로 열린 한국IT전문가협회 조찬세미나에서 "개인정보보호가 선택적인 문제가 아니라 필수 투자 영역으로 정착될 수 있도록 징벌적 체계를 도입했다"고 밝혔다.

송 위원장에 따르면 2025년 개인정보 유출 건수는 2022년 대비 20배 증가한 1억여 건에 달한다. 사이버 침해 신고 건수도 전년 대비 26% 늘었다. 데이터 집중화와 클라우드 확산으로 한 번 침해 시 피해 규모가 급격히 커지는 구조가 굳어지고 있다는 게 개인정보위의 진단이다.

이 같은 문제의식에 따라 국회에선 개인정보보호법 개정안이 통과됐다. 반복적이고 중대한 위반이 발생할 경우 과징금 상한을 현행 전체 매출액의 3%에서 10%로 높이는 것이 개정안 핵심 내용이다. 기본 과징금 기준인 3%는 유지되며 위반의 중대성과 반복성 요건을 충족한 경우에 한해 상한선이 적용된다. 적용 기준이 되는 매출액은 국내 매출 기준으로 사고와 무관한 매출임을 입증할 경우 제외할 수 있다.

다만 과징금 강화만으로는 실질적인 보호 투자를 유도하기 어렵다는 판단 아래 예방 투자 기업에 대한 과징금 필수 감경 제도도 도입된다. 기존 법엔 예방 투자를 했더라도 과징금을 반드시 감경해야 하는 규정이 없었으나 개정법에 이를 명문화했다. 오는 9월부터 시행되며 시행령에서 구체적 감경 요건을 규정할 예정이다.

개인정보보호 관리체계 인증(ISMS-P) 제도도 대폭 강화된다. 현행 ISMS-P는 보안(ISMS) 인증만 의무화돼 있고 프라이버시(P) 인증은 자율에 맡겨왔다. 이번 개정법 통과로 대규모 통신·플랫폼 서비스 사업자와 주요 공공기관을 대상으로 프라이버시 인증도 의무화된다. 오는 2027년 7월 시행에 앞서 약 1년 반의 준비 기간이 부여될 예정이다.

인증 기준 자체도 높아진다. 국민 파급력이 큰 기업엔 현행 101개 항목에서 20개 이상을 추가한 강화 기준이 적용된다. 송 위원장은 "ISMS-P를 받은 280여 개 기업·기관 중 약 11%에서 사고가 발생한 것으로 나타났다"며 "인증이 최소한의 약속인 만큼 인증받은 대로 실제로 지켜지는지를 확인하는 체계가 필요하다"고 설명했다.

사후 관리 방식도 바뀐다. 현재는 3년의 인증 유효기간 내 사실상 점검이 없는 구조였으나 앞으로 유효기간 중 불시 현장 점검을 실시하고 심각한 문제가 확인되면 인증을 취소할 수 있도록 한다. 조사 협조를 거부하거나 자료 제출 명령을 이행하지 않는 경우에는 이행 강제금 부과도 추진한다.

공공기관 대상 보호 체계도 손질된다. 개인정보위는 최근 두 달간 680여 개 공공기관의 개인정보 보호 예산과 인력 현황을 전수 조사했다. 미국 정보기술(IT) 기업들이 IT 투자액의 13.2%를 보안에 쓰는 반면 국내 민간은 6.3%, 공공은 7.3%에 그친 것으로 나타났다. 송 위원장은 "인프라는 잘 돼 있는데 지키는 쪽은 허술한 상황"이라며 "조사 결과를 바탕으로 행정안전부, 재정경제부(옛 기획재정부)와 인력·예산 확충 협의를 진행 중"이라고 말했다.

관련기사

개인정보위는 사후 제재 강화와 함께 예방 중심의 체계로 전환도 병행 추진한다는 방침이다. 개인정보 보호 중심 설계 인증을 법제화해 기기·서비스 설계 단계부터 프라이버시 위험을 반영하도록 유도한다. 현재까지 키오스크, 로봇청소기, 가정용 CCTV 등을 대상으로 시범 인증을 운영해 왔으며, 이를 본격적으로 확대한다는 계획이다.

권태일 한국IT전문가협회 회장(빅썬시스템즈 대표)은 이날 인사말을 통해 "기술적 진보만큼이나 개인정보를 지키는 균형 잡힌 제도와 체계가 중요하다"며 "현장에 있는 우리 IT 전문가들도 윤리적인 책임감을 갖고 함께 지혜를 모아야 할 때"라고 강조했다.