개인정보보호위원회(개인정보위)가 AI 개발·운영 과정의 프라이버시 리스크와 법적 불확실성 해소를 위해 가칭 'AX 안심 지원체계'를 구축한다. 또 공익·사회적 목적의 AI 기술 개발 시 맞춤형 안전조치를 전제로 개인정보 활용을 허용하는 'AI 원본활용 특례'도 도입한다.
대규모·민감정보를 보유한 공공기관을 대상으로 개인정보 보호 및 관리 체계도 강화한다. 이에, 공공기관 시스템 중 387개 주요 개인정보 처리 시스템은 연 1회 이상 취약점 점검과 모의해킹을 의무화하고, 전문 CPO 지정 및 신고를 오는 9월부터 의무화한다. 정부24, 국민신문고 등 주요 시스템 81개를 대상으로 내년 7월부터 ISMS-P 인증을 의무화, 단계적으로 확대한다.
16일 개인정보위는 이 같은 내용을 포함한 ▲4대 역점 분야 ▲3대 개혁과제 ▲2대 지방주도 성장 과제 ▲ 3대 국가정상화 과제를 이재명 대통령에게 보고했다.
역점분야1/AX 혁신을 위한 안전한 개인정보 활용체계 구축
수요에 부응하는 안전하고 효과적인 데이터 활용 실현에 매진한다. 이를 위해 첫째, 'AI 원본활용 특례'제를 도입한다. 절차는 신청·접수 → 현장조사, 위험요인 평가 → 전문위/개인정보위 심의·의결 → 사후관리로 진행된다. 이미 지난 5월 14일 국회 상임위에서 이 같은 내용의 '개인정보 보호법 개정안'이 의결됐다.
둘째, ‘에이전틱 AI’와 ‘공공 AX’ 등 분야별 안내서를 발간해 현장의 안전처리를 지원한다. 이는 현장의 목소리를 반영한 것으로, 올 1월 23일 열린 '자율주행·로봇산업 발전 위한 개인정보 규제합리화 현장간담회'에서 "자율주행 AI 분야의 글로벌 경쟁이 심화하고 있는 상황이다. 신속한 법제 정비와 가이드라인 마련이 필요하다"는 목소리가 나왔다.
셋째, AX 종합지원 체제도 가동한다. 사안별 최적수단 매칭으로 규제 불확실성을 해소한다. 구체적으로, AI 개발·운영 과정의 프라이버시 리스크와 법적 불확실성 해소를 위해 다양한 혁신지원 제도를 통합한 가칭 'AX 안심 지원체계'를 구축한다. 또 적극 법령해석, 사전적정성 검토, 비조치 의견서 등 개인정보위 제도를 통해 적법하고 안전한 공공·민간 AX를 지원한다.
넷째, 국가간 안전한 데이터 이전도 추진한다. 국외이전수단 확대 및 지역별‧국가별 전략적 협력에 나선다. 개인정보위 마련 표준계약서(SCC)와 개인정보위 승인을 받은 기업내부규정(BCR) 에 따른 국외이전 허용 및 국외이전 영향평가제(대규모‧민감정보 이전, 보호수준 우려 국가로의 개인정보 이전 시 평가)를 신설한다.
역점분야2/예방체계 확산으로 개인정보 보호 생활화
사전실태점검으로 위험요인을 사전에 해소한다. 이를 위해 첫째, 고객센터·에듀테크·요양병원 등 국민생활 밀접분야와 사고 시 파급효과가 큰 대규모·민감정보 보유 분야를 대상으로 정기 및 수시 실태점검을 실시한다. 특히 클라우드 협업 도구, AI 에이전트 등 신기술 분야도 개인정보 위협요인을 사전에 파악한다. 둘째, 공공실태점검단을 중심으로 각 부처와 소속 및 산하기관의 실태점검을 지원하고 감독한다. 각 부처가 본부 외 소속 및 산하 기관까지 관리·점검하고, 개인정보위는 실태점검 지원으로 지속적 관리 및 점검체계를 확립한다. 특히 주요 공공 시스템(387개) 중 자체점검 결과 미흡 시스템은 합동점검하고, 주민등록번호 5천만 건 이상 보유 대민시스템(11종)은 집중 관리한다.
셋째, 예방투자 상응 인센티브 설계다. 개인정보보호 노력과 연계해 과징금을 부과하고 평가 활성화도 도모한다. 이를 위해 첫째, 오는 9월 예방투자 및 유출사고 회복력(레질리언스)을 반영한 과징금 제도를 시행, 법상 의무를 뛰어넘는 실질적 예방투자에 대해 인센티브를 부여한다. 또 유출 사고 신속 탐지 및 차단, 2차 피해 방지 및 피해회복 등 보다 안전한 보호체계로의 복원 노력 수준도 과징금 산정에 반영한다.
둘째, 평가·컨설팅을 통한 개인정보 보호 관심 제고와 보호 실천 내재화 차원에서 개인정보 영향평가와 민간 활성화를 위한 평가 기준 및 방법을 오는 12월까지 재설계한다. 주요 시스템 도입·개편 시 개인정보 침해요인 분석과 개선방안 도출 등에 나선다. 다양한 업종별 평가와 심사를 하고 개인정보 보호 활동 지표 포함도 추진한다. 사례가 있다. 문체부 관광호텔업 등급평가 가점항목에 투숙객 개인정보 보호를 반영해 7월1일부터 시행중이다. 공공앱·프랜차이즈 등 국민생활 밀접 기업·기관 52곳의 처리방침을 평가한다.
셋째, 보호여력이 부족한 중소·영세 기업은 직접 지원한다. 사고 발생 시 신속 기술지원, 경미 사건은 시정을 전제로 처분을 면제하되, 반복 시 가중하는 중소·영세 기업은 처분성 경고제를 오는 9월 도입한다. 보호체계 자가점검 도구 개발 추진 및 중소·영세 기업은 우선 배포하며, 안전성 확보조치 수준 현장 진단 후 종합적 개인정보 보호 컨설팅을 해준다.
넷째, 대규모·민감정보를 보유할 수 밖에 없는 공공기관을 대상으로는 개인정보 보호·관리 체계를 강화, 주요 개인정보 처리 시스템 387개를 대상으로 의무를 확대한다. 즉, 전문 CPO 지정 및 신고를 의무화하고, 현재 자율인 개인정보보호 관리 체계 인증(ISMS-P)을 내년 7월부터 단계적 의무화하고, 현재 권장인 취약점 점검 및 모의해킹을 연 1회 의무시행해야 한다.
다섯째, 기관별 개인정보 보호 인력과 예산(취약점 점검, 접속기록 관리, 개인정보 보호 솔루션 도입 등 안전조치 예산) 확보를 지원하고 처우개선(특수업무수당, 근평 등 가점 부여 및 장기근속 우대방안 등)과 병행해 업무해태, 고의·중과실 유출 등에는 징계권고와 이행점검으로 책임성을 강화했다.
역점분야3/국민이 체감하는 개인정보 권익 증진
첫째, 개인정보 유출 피해에 대한 실질적 보상을 추진, 유출 발생 시 기업의 손해배상 책임원칙을 명시, 기업이 기술현황 등 유출책임에 대한 전반적 입증을 하도록 법정 손해배상제도 강화한다. 둘째, 유출 기업에서 징수한 과징금 수입 등이 국민 권리구제, 피해회복에 쓰일 수 있도록 통합기금 마련을 기획처 협조를 얻어 추진한다.
셋째, AX로 국민 권리행사를 효과적으로 지원하기 위해 AX 기반 개인정보 상담‧신고 처리 및 대국민 피해구제, 권리회복 지원을 위한 개인정보 침해 종합지원 서비스를 올 하반기 설계하고 내년에 구축한다. 정보주체가 개인정보에 대한 권리(열람·정지 등)를 보다 쉽게 행사할 수 있게 AI 기반 대국민 지원 서비스를 제공하고, 국민 개인정보 권익을 증진하고, 권리구제를 종합 집행하는 체계를 마련한다.
넷째, 신기술 프라이버시 침해 예방 차원에서 일상생활과 밀접한 분야 이용자수가 많은 주요 앱(300개 내외)을 대상으로 다크패턴(눈속임 설계) 현황을 분석, 탈퇴 방해와 선택동의 강요, 지속·반복적 동의 요구, 불명확한 문구 통한 동의 획득 등 주요 다크패턴 유형 분류 및 현실적 규율체계를 마련한다. 다섯째, 개인정보 생애 전주기 프라이버시 침해방지 연구개발(R&D)도 신규 과제로 추진, 개인정보 비식별화, 추론방지 등 산업현장에서 활용할 수 있게 실증 및 상용화를 목표로 하는 개인정보보호 강화 기술(PET) 연구개발에 나선다. 즉, 개인정보 유출사고 발생시 신속한 초동대응을 위한 ‘AI 기반 로그 통합분석 기술’ 연구를 범부처 현장수요 신속대응 R&D 사업으로 과기정통부 협조를 얻어 추진한다.
역점분야4/신속한 조사·처분 및 실효적 제재
첫째, 중요 사건(100만건 이상 유출 등) 중심 신속한 조사·처분으로 개인정보 유출 2차 피해 방지 및 국민 피해 구제 지원에 나선다. 특히 중요 사건의 경우 전담 조사단(TF)을 구성해 신속히 처분하고, 국민 손해배상청구 등에 증거로 활용할 수 있게 지원한다. 개보위는 "급증하는 사건 신속 조사·처분을 위한 조사 수행인력 현실화도 필요하다"고 밝혔다.
둘째, 처분례가 확립된 소규모 사건에 대해서는 신속 처리절차를 도입한다. 예컨대, 소액 과징금(예 1억원) 사건의 경우 개인정보위 소위원회에서 집중 심의한다.
셋째, 제재 실효성은 강화, 책임에 상응하는 엄정제재 및 조사 강제력을 강화한다. 즉, 중대·반복 위반 시 징벌적 과징금을 부과(매출액의 최대 10%)하고, 유출신고 및 통지를 지연하거나 피해 확산 방지 조치 불이행 시 과징금을 가중해 부과한다.
넷째, 조사 비협조에 대한 이행강제금 및 증거보전명령, 위반 확정 전 침해중지 등을 명할 수 있는 긴급 보호조치 명령 등 조사력 강화 제도도 마련한다. 이와 관련한 '개인정보 보호법' 개정안이 올 2월 발의, 현재 정무위에 계류 중이다.
다섯째, 기술 역량 강화로, AI 해킹 등 신규 위협 대응 과학적 조사체계를 구축한다. 즉, 랜섬웨어 등 복잡한 증거 확보 및 분석이 가능하게 포렌식랩 기능을 고도화하고, AI·신기술 침해위협 적시 대응을 위한 기술분석센터를 올 12월 구축한다.
3대 개혁과제
개보위는 이 같은 하반기 중점과제 외에 3대 개혁 과제로 AI시대 위험기반·원칙중심 규율 체계로 전환, 사망자 정보 규제 합리화, 마이데이터를 통한 국민 편익 증진을 제시했다.
1)AI시대 위험기반·원칙중심 규율 체계로 전환: AI 시대 필수 요소인 데이터(개인정보) 활용 혁신방안을 수립 및 이행, 3대 메가프로젝트 등 국가적 사업에 적극 동참한다. 또 사회적 합의를 통해 수용 가능한 개인정보 적법처리 근거 확대를 추진한다. 예컨대, 현행 민간 ’공익’ 목적 데이터 활용 제약을 개선, 공익 목적(범죄대응, 재난방지 등)에 활용하게 하는 것이다. 또 현재 사고 CCTV 열람 등 정당한 사유에도 데이터 처리가 불가한데 이를 개선하는 것 등이다. 스마트글라스, 로봇 등 현실 데이터 환경을 반영한 처리 및 보호 원칙도 수립한다. 카메라·마이크 등 주변을 실시간 인식, 주변인 데이터 수집·이용이 불가피한 측면이 있는 반면, 오남용 등 프라이버시 침해 위협도 존재함에 따라 균형적 고려가 필요하다.
규율체계도 차등화, 일률적 규율체계를 재검토한다. 개인정보 성격·민감도, 처리결과 예측가능성 등 중요도·파급력을 고려해 위험도 기반으로 차등적 안전조치 개선방안을 수립해 추진한다. 에이전틱 AI의 자율성을 고려한 책임성 확보 방안과 피지컬AI의 실시간 데이터 처리 위험성 통제 방안 등 기술별 리스크 관리 기준도 마련한다.
2)사망자 정보 규제 합리화: 사고 발생 시마다 법령해석을 거치는 현행 체계를 탈피, 재난 등 특수한 상황의 사망자 정보 이용기준을 수립한다. 즉, 재난상황 시 사망자·유족의 개인정보 처리·보호 지원 안내서를 10월께 발간하고, 사자(死者) 정보 이용 보호를 위해 생전 의사표시 등에 기반한 유족의 사망자 계정 접근 허용 및 사망자·제3자 프라이버시 보호 균형 방안을 마련한다. 현행법 상 살아있는 개인의 정보만 개인정보로 규정하므로, 사망자 정보는 법 적용 불확실성이 존재한다.
3)마이데이터를 통한 국민 편익 증진: 첫째, 국민 체감 선도서비스를 출시한다. 즉, 마이데이터 제도를 통해 국민(정보주체)이 편리하고 주체적으로 데이터를 활용하고 서비스를 체감할 수 있게 한다. 이를 위해 의료·통신·에너지 등 각 분야를 융·복합한 혁신 서비스를 오는 12월께 출시한다. 국민체감 혁신 서비스의 예는 다음과 같다. (의료) 병원 진료·검사내역 파편화 ⇒ 진료내역 활용을 통한 비대면 진료 고도화, 맞춤형 식단 서비스, (통신) 통신요금의 과다여부 확인 애로 ⇒ 실제 이용패턴을 기반으로 맞춤형 요금제 추천, (에너지) 청년·주부·고령자 등은 금융이력 부족 ⇒ 공과금 납부 이력을 활용한 대안 신용평가 등이다.
둘째, 마이데이터 주권 실현 구체화에 나선다. 개인정보 활용 수익의 일정 부분을 소유자인 정보주체에게 환원하는 것을 검토, 새로운 차원의 개인정보 권리 보장을 추진한다.
셋째, 마이데이터 제도와 연계한 이익공유(환원) 방안 마련 및 시범사업도 추진한다. 개보위는 이의 사례로 아래 내용을 들었다. 주민, 기업 등 자발적 참여를 기반으로 원본 및 빅데이터(의료, 에너지 데이터 등)를 연구, AI 구축 등에 활용해 부가가치를 창출한 경우, 일부를 참여자에게 환원하는 모델.
넷째, 돌봄·응급이송 등 사회난제 해결 위한 국민참여 리빙랩 방식 실증 등으로 마이데이터 제도의 효과를 확산한다.
2대 지방주도 성장 과제
개인정보위는 지방 주도 성장 과제 2가지도 제시했다. 데이터 안전활용 인프라 확산으로 지역혁신 촉진과 지방 청년 인재양성 및 청년 스타트업 지원이다.
1)데이터 안전활용 인프라 확산으로 지역혁신 촉진: 첫째, 지방 주도 데이터 산업 육성이다. 5극 3특 국가균형성장 전략, 3대 메가프로젝트 등 국가역점사업 지원을 위한 개인정보 활용 제도를 혁신하고, 목적 제한 완화로 가명·결합정보의 활용 범위를 확대 및 재사용을 허용한다즉, 현재는 특정 개별 연구에 활용 후 즉시 파기해야 하는데 이를 개선, 다양한 연구에 재사용 가능한 데이터셋을 사전에 구축해 안전한 환경에서 보관한다. 지역 시범사업에 선(先)적용(예 광주 의료데이터) 후 단계적 제도화를 추진한다.
둘째, 가명제도 거점을 확대한다. 지역 한계가 없는 AX를 위해 지역 플랫폼을 확대한다. 각 지역 가명정보 활용 지원센터의 가명처리 서비스 대상을 확대하고, 가명정보 결합기능도 부여, 데이터 활용 거점으로 도약한다. 텍스트 뿐 아니라 영상·음성·이미지 등 비정형 데이터까지 가명처리 인프라를 확보한다.
셋째, 거점별 이노베이션 존 간 데이터 연계(클라우드화)로 자유로운 개인정보 분석·활용 수행, 데이터 결합·분석까지 가능게 연계 확대 및 추진에 나선다.
넷째, 가명제도 거점을 확대한다. 지역적 한계가 없는 AX를 위해 지역 플랫폼을 확대, 각 지역 가명정보 활용 지원센터의 가명처리 서비스 대상을 확대하고, 가명정보 결합 기능도 부여,데이터 활용 거점으로 도약시킨다. 텍스트 뿐 아니라 영상·음성·이미지 등 비정형 데이터까지 가명처리 인프라를 확보한다.
또 거점별 이노베이션 존 간 데이터 연계(클라우드화)로 자유로운 개인정보 분석·활용을 수행한다. 현재 가명 처리·활용 지원센터는 7개(서울·인천·원주·대전·전주·대구·부산), 결합전문기관은 가명정보 간 결합 수행은 18곳으로 서울·경기·강원·대전·전북·대구·경북·전남 등이다.
또 이노베이션 존은 8곳으로 서울·경기·춘천·대전·광주·대구·김천 등이다.
2)지방 청년 인재양성, 청년 스타트업 지원: 첫째, 찻방소재 대학 등 IT 전공 청년을 대상으로 개인정보 법령·기술을 집중교육한 후, 개인정보 보호 관리체계 컨설팅 활동으로 연계를 추진
한다. 둘째, 전문성 보증을 위한 개인정보 분야 공인 민간자격·국가 자격 도입을 검토한다. 즉, 국가직무능력표준(NCS)의 기능 분류 및 설계를 참고해 필수 역량 등을 도출한다. 셋째, 접근성 낮은 지역 중심으로 현장맞춤을 지원한다. 또 가명정보 활용 지원센터를 통해 투자여력이 낮은 청년 스타트업 대상 개인정보 법령·기술을 컨설팅하고, 권역별 처리자 교육(20회), 전국 초·중·고 및 노령층 등 피해예방 교육(250회) 실시, 공공기관 보호수준 미흡 권역(3개 지역) 맞춤형 컨설팅을 시행한다.
2대 국가정상화 과제
개인정보 유출신고 역설(성실신고 기업이 더 큰 부담) 해소: 첫째, 미신고 적발 시 더 큰 경제적 부담을 지도록, 장기간 해태·의도적 방치 시 과징금 가중, 신고·조기 대응에는 인센티브를 9월께 부여한다. 둘째, 온라인 상 노출 및 불법유통 개인정보 탐지를 강화한다.
관련기사
- 개보위, 3기 개인정보처리 평가위원 30명 위촉...위원장 이희정 고대 교수2026.07.06
- 개보위, 광주TP서 헬스케어 현장 간담...'이노베이션 존' 현판식2026.07.04
- 개보위, 나주 KISA 방문 현장간담회 개최2026.07.04
- 급한 불 끈 홈플러스...경영 정상화는 ‘산 넘어 산’2026.07.16
1)증거 은닉·폐기 시 제재 및 신고포상금 도입: 첫째, 개인정보 유출사고와 권리침해 사항을 은폐‧축소하기 위해 관련 자료를 은닉‧폐기한 행위에 대한 과징금 등 제재를 신설하고, 신고포상금제를 도입, 은닉‧폐기 행위를 신고해 위법행위 처분에 도움이 된 자에게 과징금의 일정비율을 포상금으로 지급한다.
2)개인정보 불법유통 탐지·대응 강화: 첫째, 형벌규정을 신설, ‘누구든지’ 유출된 개인정보임을 알면서 구매·제공·유포하는 행위를 금지하고, 형벌규정(5년이하 징역, 5천만원 이하 벌금) 신설하고 둘째, 수사 협업 근거를 마련, 개인정보위의 불법유통 관련 정보 수집·분석 및 탐지·삭제·차단 근거를 마련하고 수사기관 등 관계기관과의 협업체계를 구축한다. 또 개인정보 불법유통 탐지체계를 다크웹 등 음성화 사이트로 6월부터 확대, 운영중이다.











