한국전력공사 장영상 차장, ‘생성형 AI를 이용한 개인정보보호 업무 활용 사례’
야놀자 김창오 CPO, ‘개인정보보호, 무엇을 기준으로 활동하고 있는가?’
대전도시공사 임형규 팀장, ‘개인정보보호 인식 제고 및 안전조치 강화’ 주제로 각각 발표
[보안뉴스 박은주 기자] 급변하는 디지털 환경 속 개인정보를 안전하게 보호하기 위해선 발전하는 기술만큼이나 다양한 전략이 필요하다. 더불어 안전한 개인정보를 전제로 데이터를 활용할 때 데이터를 기반으로 성장하는 진정한 인공지능 시대를 열어갈 수 있다.
[이미지=gettyimagesbank]
국내 최대 개인정보보호 콘퍼런스 PIS FAIR 2024에서는 생성형 AI를 이용한 개인정보보호 업무 활용방안과 개인정보보호의 활동 및 적용기준, 그리고 개인정보보호 인식 제고 및 안전조치 강화 방법에 대한 논의가 이어졌다.
한국전력공사, 생성형 AI 기술을 개인정보보호 업무에 활용해보니
▲한국전력공사 장영상 차장[사진=보안뉴스]
먼저 한국전력공사 장영상 차장은 개인정보보호 업무에 인공지능을 활용할 수 있는 사례로 △개인정보보호 관련 해외 논문 분석 △개인정보보호법과 관련한 사례를 비교 분석 및 요약 △개인정보와 관련한 기사 요약과 언론 동향 파악 △ 개인정보 유출 대응 훈련계획 보고서 작성 △개인정보와 관련된 홍보 캠페인 기획 △개인정보보호관련 음원 제작 △개인정보보호관련 영상 요약 및 블로그 포스팅 작성까지 약 7개 아이템을 소개했다.
장 차장은 “빠르고 경제적이며 가치 있는 답변을 얻을 수 있지만, 인공지능 문제로 늘 꼽혔던 거짓말을 사실처럼 말하는 할루시네이션이 가장 큰 문제”라고 말했다. 또한 “기업 내 데이터 유출과 학습 데이터 유출을 우려해 사용을 제한할 수 있다”고 설명했다. AI가 업무 효율을 향상시키는데 있어 분명 도움을 주지만 업무에 활용하기에 아직 완벽하지 않다는 것.
장영상 차장은 “AI를 도입할 때는 양질의 학습데이터 확보 등 전문 인력 및 인프라 구축이 선행돼야 한다”고 설명했다. 즉, 안전한 AI 활용을 위해 정보 유출, 범죄 예방, 저작권 등에 대한 제도적 장치가 필요한 상황이다. 실제로 업계에서는 범용성·보안성 AI를 선택해 사용하거나 B2B를 대상으로 한 프라이빗 AI가 출시되고 있다.
개인정보보호, 표준으로 정의된다
‘개인정보보호 담당자는 무엇을 기준으로 활동해야 할까?’라는 질문에 야놀자 김창오 CPO는 “표준에서 정의되는 개인정보보호, 표준활동에 대한 관심이 필요하다”고 제언했다.
▲야놀자 김창오 CPO[사진=보안뉴스]
개인정보보호 및 정보보호와 관련해 ISO27701, ISO27001 등 다양한 국제표준이 존재한다. 국제표준은 개인정보보호를 일관적이고 신뢰성 있게 관리할 수 있으며, 컴플라이언스와 보안, 효율성 측면에서 개인정보·기업·기관을 안전하게 보호할 수 있는 정책이다. 김 CPO는 “공식화된 절차에 따라서 안전하게 개인정보를 보호하고 체계적으로 활용하며 관리할 수 있는 환경을 갖춰야 한다”고 설명했다.
김창오 CPO는 표준개발에 대한 다양한 방향을 제시하며 △AI 서비스를 위한 개인정보보호 표준개발 △블록체인 환경에서의 개인정보보호 표준개발 △자율주행 환경에서의 실시간 개인정보보호 표준개발 △메타버스 환경에서 개인정보보호 요구사항 표준개발의 필요성을 강조했다.
대전도시공사의 개인정보보호 인식 제고 및 안전조치 강화 방법
실제 업무환경에서 개인정보보호 인식을 끌어올리고, 안전조치를 강화하기 위해 어떤 노력을 기울일 수 있을까. PIS FAIR 2024에서는 6년 연속으로 ‘공공기관 개인정보 관리수준 진단’에서 최고 등급(S등급)을 받은 대전도시공사의 정보보호 사례가 공유됐다.
▲대전도시공사 정보보안팀 임형규 팀장[사진=보안뉴스]
대전도시공사는 능동적인 개인정보보호 및 정보보안 체계 확립을 위해 ‘내부성과(BSC) 평가 연계’를 도입했다. 개인정보 취급자 교육 이수율과 단말기 보안 준수 여부를 팀 성과에 반영해 성과금을 부여하는 제도다. 이때 단말기 보안 점검은 가시적으로 점검결과를 확인할 수 있도록 프로그램을 자체 개발해 사용하고 있다. 대전도시공사 임형규 팀장은 “(2024년 현재) 단말기 안전율이 99% 수준으로 좋아졌다”고 설명했다.
개인정보보호 인식을 끌어올리고 역량을 강화하기 위해 개인정보보호 교육을 자율에서 의무교육으로 확대하고, 불필요한 문서처리를 정리했다. 부서 중심 맞춤형 개인정보 관리체계를 개선해 부서 담당부터 정보보호 책임자까지 총 5단계를 거쳤던 문서처리 과정을 3단계로 축소한 것.
또한, 개인정보 파일 다운로드 관리 강화를 위해 100건 이상 대규모 개인정보 처리 시 부서장에게 알림 서비스 제공하는 것을 자체 개발해 운영했다. 대규모 개인정보를 조회하거나 다운로드할 때 정확한 사유을 보고할 수 있는 체계를 갖춘 셈이다. 이를 어길 시 회차에 따라 구두경고·서면경고·접근차단 등 기능 제한이 가해진다.
임형규 팀장은 “2024년에는 내부성과 평가를 확대하고, 개인정보 파일관리 시스템을 구축할 것”이라며, “더불어 부패 리스크 평가 및 관리를 통해 개인정보를 불법적으로 유출해 금품 등을 수수하는 부패 행위를 예방할 계획”이라고 포부를 밝혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>