"AI시대를 맞아 개인정보보호 체계를 사전 예방과 신뢰 기반으로 대전환하고 있습니다."
고낙준 개인정보보호위원회 예방조정심의관(국장)은 22일 열린 '제 2회 중소기업 정보보안 세미나'에서 "개인정보 유출과 침해 위협이 증가하고 있고 AI시대를 맞아 데이터 처리 환경이 변화하고 있다"며 이 같이 밝혔다.
이날 행사는 중소기업중앙회(K-BIZ)가 한국정보산업협회(KISIS)와 공동으로 개최했다. 작년에 이어 올해 두 번째로 열렸다.
고 국장은 개인정보 유출과 침해 건수가 세계적으로 증가하고 있다면서 "국내도 2025년 개인정보 유출 건수가 1억여건으로 가파르게 늘었다. 2022년 대비 20배나 많아졌다"고 소개했다. 유출 뿐 아니라 침해도 2025년 건수가 전년보다 26% 껑충 뛰었다. 이의 원인은 다양하다. 잘 구축한 IT인프라 및 클라우드화와 플랫폼 경제화로 데이터가 집중돼 공격 표면이 확장됐다. 또 생활데이터 수집 증가로 사각지대 발생과 함께 경제성장에 따른 가치상승으로 개인정보 악용 유인이 늘었다.
반면, 개인정보보호 투자 수준과 전담인력은 국제 평균 및 필요 수준에 비해 매우 낮은 상황이다. 국내는 개인정보보호 투자 예산이 민간은 전체 IT예산의 6.3% 공공은 7.3% 수준이다. 미국은 13.2%에 달한다. 국내 개인정보보호 인력도 부족하다. 민간은 전담인력이 평균 0.8명, 담당인력이 1.5명이고, 공공은 평균 전담인력 0.3명, 전담인력 1.3명에 불과하다.
고 국장은 개인정보보호 체계 대전환 필요성을 네 가지 측면에서 설명했다. 첫째, 형식적 예방제도와 처리자 간 규제 이행 괴리로, 현재는 사후 제재 및 처분 중심 규율과 획일적·일률적 규제 대응인데 이를 사전예방 중심 규율과 위험 기반 차등 관리로 전환할 예정이다.
둘째, 현재는 투자인센티브가 미비하고 CPO역할과 권한이 부족한데 이를 능동적, 자발작 예방 투자로 유도하는 한편 CEO와 CPO 중심으로 책임을 강화한다. 셋째, 보호기술개발 투자 미흡과 전문인력 부족 문제를 해결하기 위해 신기술 대응 및 감독 역량을 강화하고 전문인력 양성 기반을 구축한다. 넷째, 부적절한 처리 지속 및 권리 규제 부족 문제를 해소하기 위해 신뢰 기반 서비스 환경을 구축하고 권리구제 제도 합리화를 추진한다.
고 국장은 "촘촘한 사전 예방과 엄중한 사후 제재로 개인정보보호가 기본이 되는 안심 사회를 구현하겠다"고 강조했다. 개보위는 촘촘한 사전 예방을 위해 ▲개인정보보호 중심 설계(PbD,프라이버시 바이 디자인) 법제화 및 확산 ▲기업 예방 투자 유도 ▲보호기술 생태계 조성 ▲위험기반 예방 관리 등에 나선다. 또 엄중한 사후 제재책으로 ▲징벌적 과징금 ▲집당 소송 등 피해구제 강화 ▲원칙에 따른 처분을 마련했다.
고 국장은 개인정보보호가 기본이 되는 안심사회를 위해 개보위가 마련한 3대 추진방향과 12대 주요 추진과제도 소개했다. 즉, ▲ISMS-P 실효성 강화 ▲PbD 인증 법제화 및 확산 ▲공공과 민간의 보호 역량 강화 ▲선제적 점검 강화(이상 예방 및 점검체계 구축 내용) ▲징벌적 제재 및 보호투자 촉진 ▲권리구제 제도 실질화 ▲CEO와 CPO 책임 명문화 ▲불법유통과 딥페이크 대응 강화(이상 실효적 제재 및 권리구제 실질화) ▲신뢰 기반 데이터 활용 체계 ▲현장 활용 제도 및 기술 지원 ▲안전한 마이데이터 생태계 구축 ▲글로벌 신뢰 네트워크 구추(이상 신뢰 기반 AI사회 구축) 등이다.
또 개보위는 개인정보 보호 선제적 점검도 강화한다. 하루 평균 이용자수 100만명 이상인 서비스, AI 및 블록체인 분야 등이 대상이다. 기존에는 공개된 문서와 사업자 제출 자료에만 의존했는데 앞으로는 기술분석센터를 직접 운영한다. PbD 인증 법제화 및 확산에도 나선다. 현재 4개 영역(기본 요구 사항, 개인정보 처리 적법성, 보안 및 프라이버시, 조직적 보호 조치)에 71개 세부 항목을 평가하고 있다. SK쉴더스의 가정용 CCTV, 앤트랩의 영상정보 비식별화 장비, 삼성전자 로봇청소기, 블록오디세이 스마트경로당 키오스크 등이 PbD 인증을 받았다. 고 국장은 "올해는 솔루션으로 넓힐 계획"이라고 전했다.
개보위는 공공과 민간의 보호 역량도 강화하고 있다. "중소 및 영세 사업자를 대상으로 사전 진단과 기술지원을 확대하고 있다"면서 "사고 후 대응보다 선제 투자와 성실한 관리를 위한 기업에 이익이 되는 정책을 펴고 있다"고 말했다.
관련기사
- "AI시대 개인정보 정의 재조명"...개보위, 2차 '2026 미래포럼' 개최2026.05.20
- AI입력 정보, 개인정보보호 안전?...개보위, 책자 발간2026.05.19
- 개보위, 에듀테크 분야 개인정보 보호 실태점검2026.05.18
- "AI 전환 힘 실었지만, SW 생태계 개선 미흡"…소프트웨어 B학점2026.05.22
개보위는 신뢰 기반 AI 사회 구축에도 드라이브를 걸고 있다. 이를 위해 AI특례 제도를 도입할 예정이다. 이는 음성 분석을 통한 보이스피싱 예방 등 공익과 사회적 이익 증진을 위해 AI학습에 개인정보가 필요한 경우, 강화된 안전성 확보를 전제로 AI기술 개발 목적으로 개인정보 활용을 허용하는 제도다.
개인정보보호강화기술(PET)도 개발한다. 동형암호와 합성데이터, 연합학습이 PET의 대표기술이다. 올해 10개 과제에 132억8000만원을 지원한다. 개인정보보호 전문인력도 양성, 올해 고려대 등 2개 대학을 선정, 28억8000만원을 지원한다.
