"AI 시대 개인정보보호, 강력한 인센티브·징벌적 제재 병행"
||2025.11.05
![송경희 개인정보보호위원장. [사진: 개인정보위]](https://www.digitaltoday.co.kr/news/photo/202511/602598_558780_4427.jpg)
[디지털투데이 황치규 기자]지난달 취임한 송경희 개인정보보호위원장이 개인정보보호 정책 방향과 관련해 사전 예방체제로 전환, AI 시대에 맞는 제도 재정비를 주요 과제로 내걸었다. 그 일환으로 잘하는 기업들에게는 확실하게 인센티브를 주고, 반복적이고 심각한 사고를 내는 기업들은 징벌적으로 제재하는 투트랙 정책을 펼쳐나가겠다는 입장이다.
송경희 위원장은 5일 취임 후 첫 기자 대상 정례 브리핑을 열고 "1위 기업들이 투자를 해 개인정보호 체계를 강화하는게 중요하다. 이런 기업들에게는 확실하게 인센티브를 주겠다. 사고가 났을 때 감경액도 늘릴 수 있다. 하지만 중대하거나 반복적으로 사고가 발생할 경우 징벌적으로 과징금을 부과하겠다"고 거듭 강조했다.
그는 "그동안 개인정보보호 체계는 본인 동의 기반으로 최소 수집 및 저장 개념에 기반해왔는데 AI 시대, 다양한 형태로 데이터 활용이 요구되는 상황에서 어떻게 신뢰를 유지하고 프라이버시를 보호하면서 데이터 활용 가치를 개인들이 누릴 수 있도록 하느냐가 도전적인 숙제가 됐다"며 "제도 개선 TF를 통해 개선 방안을 계속 찾아나가겠다"고 말했다.
사전 예방 체제로 전환과 신뢰 획보는 한 번에 끝나는게 아니라 지속적으로 이뤄지는 동적인 과정 점도 송 위원장이 강조한 부분. 그는 "동적인 과정은 사고가 나면 조사하고 처분을 내리고 식이 아니라 평소에 이용자와 기업들이 개인정보를 안전하게 활용하는지 확인하고, 이렇게 할 수 있는 체계를 만들어주고 지속적인 모니터링을 통해 개인들이 신뢰를 갖도록 하는 것이 중요하다"고 말했다.
송 위원장은 신뢰 강화 및 사전 예방 체제로 전환 일환으로 개인정보관리체계(ISMS-P) 인증 제도를 개선하고 처음부터 프라이버시를 염두에 두고 서비스나 상품을 설계하는 개인정보 보호 중심 설계(Privacy by Design, PbD) 인증제 도입도 검토 중이다.
송 위원장은 "ISMS-P 인증은 한번 받으면 3년 간 유효하다. 인증을 받은 이후 관리가 잘 안되는 측면도 있어 1년 마다 심사를 해 인증제 실효성을 높이는 방안을 논의하고 있다. 공공기관부터 단계적으로 ISMS-P 인증을 의무화하는 것도 고려하고 있다"고 말했다.
송 위원장은 이같은 행보가 규제 강화로 비춰질 수 있다는 점에 대해서는 그렇지 않다는 점을 분명히 했다.
그는 "규제로 얻을 수 있는 이득이 비용보다 커야 한다. 규제를 만들 때는 심사숙고하겠다"면서 "사전 예방은 사전 규제가 아니라 자발적인 참여가 핵심이다 사전 예방에 적극 나설 수 있는 강력한 인센티브를 제도 개선 TF에서 논의 중으로 구체적인 결과물을 내놓을 것이다"고 말했다
이어 "규제 중심으로 접근하지는 않겠지만 AI에서 핵심은 프라이버시 보호다. 이게 확보되지 않은 AI가 시장에서 경쟁력이 있을지는 의문"이라며 "반복적인 사고를 내는 기업들에 대해서는 규제를 강화할 수 있다"고 말했다.
규제는 민간 기업 뿐만 아니라 공공기관들에도 같은 잣대가 적용된다. 송 위원장은 "공공 AX가 탄력을 받을 것이다. 가장 위협적인 요소는 프라이버시 보호다. 해외서도 공공 부문에서 과도한 개인정보 수집과 활용으로 손해 배상으로까지 이어진 사례가 있었다"면서 "공공 AX가 처음부터 제대로 이뤄지도록 개인정보위도 적극 역할을 할 것이다. 개인 정보를 유출한 공공기관에 과징금도 부과하고, 평가 내용 공개 및 기관장 책임에 대해서도 생각하고 있다"고 말했다.
개인정보위는 소상공인이나 스타트업 등 여력이 부족한 곳들이 개인정보보호 체계를 강화할 수 있도록 지원하는 방안도 적극 추진한다.
송 위원장은 "이런 곳들은 개인정보보호에 투자를 하기가 쉽지 않다. 지식도 없고 인력도 부족하다. 이들 기업에 개인정보보호 프로세스를 안내하고 컨설팅을 포함해 필요한 지원을 해주면 좋을 것 같다. 예산 문제 상 올해는 어렵더라도 내년에는 구체화해 나갈 것이다"고 말했다.
정부와 민간 모두에 걸쳐 디지털 전환이 가속화되면서 개인정보유출을 포함해 보안 사고로 이어질 수 있는 리스크는 점점 커지고 있지만 인력과 예산 문제로 개인정보위가 이같은 상황에 제대로 대처하기 못한다는 지적이 계속 있어왔다.
송 위원장은 간담회에서 " 2022년 조사관이 31명이었는데, 지금도 31명이다. 하지만 (개인정보를 처리하는 행위와 관련된 법적 책임 및 처벌을 의미하는) 처분권 수요는 50% 이상 , 사고 규모는 500% 증가했다"면서 "인원 충원 및 예산 확대를 적극 요청하고 있다"고 말했다.
