AI 시대 개인정보보호 강화...개인정보 활용 활성화 위한 가이드라인 마련 중
공공기관 개인정보 보호수준 평가, 기관장과 기관 전체의 관심과 노력·투자 강화 기대
개정 보호법 관련 공공기관 소통 확대...현장·온라인 설명회 및 온라인 콘텐츠 제공 예정
“신기술 발전에 프라이버시 침해 위험 최소화, 필수 데이터는 안전하게 활용 이끌 것”
[보안뉴스 김영명 기자] 챗GPT로 촉발된 생성형 인공지능(AI)의 급속한 확산은 인간의 삶에 있어 획기적인 변화를 이끄는 동시에 개인정보와 관련된 새로운 위협을 촉발하고 있다. 이와 관련해 전 국민의 개인정보보호 업무를 총괄하는 개인정보보호위원회(이하 개인정보위)에서는 올해 비전으로 ‘국민 삶이 풍요롭고 개인정보가 안전한 AI 시대’를 제시했다. 이에 본지는 개인정보보호위원회 고학수 위원장을 만나 AI 시대 도래에 따라 더 중요해진 개인정보보호 법제도 및 정책방향 등에 대해 인터뷰를 진행했다.
▲개인정보보호위원회 고학수 위원장[사진=보안뉴스]
Q. 올해 개인정보위는 ‘국민 삶이 풍요롭고 개인정보가 안전한 AI 시대’를 비전으로 발표했는데, AI 기술 확산에 따른 개인정보보호 정책의 방향성을 설명해 주신다면
AI 모델 개발을 위해 필요한 양질의 학습데이터의 핵심이 개인정보인 만큼, AI 기술 발전에 있어 개인정보에 대한 고려는 필수입니다. 하지만 AI 학습 등에 활용되는 데이터의 규모가 방대해짐에 따라 처리 과정이 복잡하고 예측도 어려워지고 있습니다. 이에 따라 국민은 개인정보 침해 가능성 우려를, 기업은 AI 개발을 위한 데이터 활용 과정에서 ‘개인정보 보호법’ 준수와 관련해 혼란스러운 상황에 부딪히게 됩니다. 이러한 침해 우려와 불확실성을 해소하기 위해 AI·데이터와 같이 신기술 개발이 끊임없이 이루어지고 아직 미지의 영역이 많은 분야에서는 규정(rule) 중심보다 원칙(principle) 중심의 방향 제시를 통해 현장에서 적용 가능한 유연한 규율체계가 필요합니다.
개인정보위는 지난해 8월 AI 관련 방향성을 제시하는 총론 격의 ‘인공지능 시대 안전한 개인정보 활용 정책방향’을 발표했고, 올해는 가이드라인을 마련 중입니다. 가이드라인은 ‘가드레일’과 같이 기업의 불확실성과 국민 불안감을 해소하는 역할을 할 예정인데, 기업의 추가 규제로 인식되는 가이드라인은 지양하려 합니다. AI 분야 특성을 고려, 현장에서 유연하게 접근하도록 활용사례를 제시해 기업·연구자 등이 스스로 판단하도록 지원하는 것이 주목적입니다.
올해 2월 개인정보위는 ‘비정형데이터 가명처리 기준’을 발표, 최근 AI 기술 발전으로 수요가 폭증하고 있는 영상·음성·이미지 등 비정형데이터 활용 과정에서 특수하게 나타날 수 있는 개인정보 위험을 사전에 확인·통제하기 위한 원칙을 분야별 사례·시나리오와 함께 제시했습니다. 인터넷에 공개된 개인정보를 스크래핑해서 AI 학습데이터로 활용하는 경우의 법적 근거 및 안전장치의 내용을 담은 ‘공개된 개인정보 활용 가이드라인’을 조만간 발표할 예정이며, 그 외에 얼굴·지문 등 생체인식정보 활용 등에 대한 가이드도 안내할 계획입니다.
또한 지난해 제출된 ‘AI 기본법’(인공지능 산업 육성 및 신뢰 기반 조성에 관한 법률안)도 과학기술정보방송통신위원회 법안2소위를 통과했지만, 아직 전체회의에서 계류 중인데 이번 회기에서 통과는 쉽지 않을 것 같습니다. 시민단체 등 이해관계자들의 의견을 폭넓게 수렴해 다음 국회에서 다시 논의되지 않을까 생각합니다.
Q. 개인정보 보호법 개정 이후 ‘사전적정성 검토제’ 시행, ‘자동화된 결정에 대한 조치 기준’ 고시안 행정예고 등이 있었는데, AI 서비스 제공자와 사용자들을 위해 조금 더 구체적으로 설명해 주신다면
사전적정성 검토제는 개인정보 차원에서 AI 등을 활용해 신기술·서비스를 기획·개발하고자 하는 기업의 불확실성을 줄여주기 위한 제도입니다. 이는 기획·개발 단계부터 스타트업 등 관련 분야의 기업들이 보호법 적용 방안을 기업과 개인정보위가 함께 마련하고, 이를 적정히 적용하면 추후 환경·사정 변화가 없는 한 법적조치를 취하지 않는 제도입니다. 지난해 10월부터 시범운영에 들어가 올해 4월 본격 시행됐으며, 현재까지 민간기업 4건, 공공기관 1건 등 총 5건을 검토하고 있습니다.
한 가지 예를 들면, 특정 상황만 발췌해서 녹화가 가능한 지능형 CCTV를 운영하려면 어떻게 해야 하는지 검토를 신청한 건이 있었습니다. 이에 대해 사건·사고 장면만 원본 영상을 녹화하고, 관련 없는 사람들은 대체 이미지로 관제화면에 표시하며, 사건·사고 외의 영상을 저장하지 않고 실시간 파기하며, 촬영되는 사람들에게 운영정책을 투명하게 공개하도록 방안을 마련한 사례가 있습니다. 이 제도가 본격적으로 운영되면서 개인정보를 활용해 새로운 서비스를 기획·개발하는 기업들이 법적 불확실성을 최소화하고, 보다 혁신적인 서비스를 창출해내는데 많은 도움을 줄 수 있을 것으로 기대하고 있습니다.
다음은 AI 등에 의한 자동화된 결정에 관한 기준으로, AI 시대에 이를 이용하는 기업과 사용자 모두가 자신의 권리 보호를 위해 꼭 알아야 하는 부분입니다. 최근 AI의 발전으로 인해 채용, 복지수급자 선정 등 다양한 분야에서 AI 기술을 활용한 ‘자동화된 결정’이 이뤄지는 경우가 많습니다. 이처럼 사람의 개입 없이 AI에 의해 국민의 권리에 영향을 미치는 결정이 이뤄지는 분야는 사용자의 권익 보호를 위한 투명성 확보가 중요한 요소가 되고 있습니다.
지난해 ‘개인정보 보호법’ 개정을 통해 자동화된 시스템만으로 국민의 권리 또는 의무에 ‘생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지’, ‘정보주체의 권리가 박탈되거나 권리 행사가 불가능하게 되는지’ 등 중대한 영향을 미치는 결정을 하는 경우 설명·의견 제출을 통한 검토를 요구하거나 경우에 따라 거부할 권리를 도입해 올해 3월 15일부터 시행됐습니다. 이러한 자동화된 결정에 대한 설명, 검토 요구 및 거부 등 정보주체의 권리 보장과 관련해 개인정보처리자의 판단 기준을 보다 명확하게 구체화하는 고시 제정안을 5월 17일부터 20일간 행정예고 중입니다. 이어서 자동화된 결정 과정이 투명하게 관리되도록 다양한 사례를 담은 자동화된 결정 관련 세부 안내서도 함께 공개해 현장의 의견을 추가·보완해 나갈 계획입니다.
▲개인정보보호위원회 고학수 위원장이 보안뉴스와 인터뷰를 하고 있다[사진=보안뉴스]
Q. 올해 정부24, 법원, 교육부 등 정부부처 및 공공기관, 공공 서비스에서의 개인정보 유출 사고가 빈번하게 발생하고 있는데요. 공공부문에서의 개인정보보호 강화를 위한 추가 대응방안 등이 있다면
공공 영역은 국민의 민감한 개인정보를 대규모로 처리하고 있으며, 시스템간 연계돼 있는 경우도 많아 개인정보 유출 등 침해사고 발생 시 사회·국가적 피해로 이어질 위험성이 큽니다. 이에 개인정보위는 공공부문에 대해 2022년 ‘공공기관 개인정보 유출방지 대책’을 발표했으며, 2023년에는 ‘공공부문 개인정보 안전조치 강화계획’을 수립해 추진하고 있습니다.
이와 관련한 조치의 일환으로, 지난해에는 주민등록 연계 등 62개 주요 시스템(집중관리시스템)을 우선 점검해 미흡사항에 대해 개선 권고했으며, 2025년까지 3년간 총 1,500여개의 주요 시스템에 대해 순차적으로 점검해 국민의 불안을 줄여나갈 계획입니다.
한편, 개인정보보호 법령 개정을 통해 위법행위를 한 공공기관(개인정보처리자)과 공무원(개인정보취급자)에 대한 처벌도 강화했습니다. 종전에는 주민등록번호를 유출한 경우에만 과징금 부과가 가능했으나, 개정 보호법 시행으로 개인정보 안전조치 의무를 위반한 공공기관에 대해서도 20억원 한도의 과징금 부과가 가능해졌습니다.
또한 지난해 1월부터는 공무원이 개인정보를 고의로 유출해 중대한 2차 피해가 발생한 경우에는 한 번만으로도 공직에서 배제되도록 ‘원스트라이크 아웃제’를 도입했으며, 이를 ‘국가공무원 복무·징계 관련 예규’와 ‘지방공무원 징계업무편람’에 반영했습니다. 이외에도 대규모·민감정보를 처리하는 공공부문의 특성을 고려해 ‘엄격한 접근권한 부여·관리’, ‘이상행위 탐지·차단 기능 도입’ 등 보다 강화된 안전조치 의무를 올해 9월부터 공공기관에 부여할 계획입니다.
Q. ‘공공기관 개인정보 보호수준 평가’가 올해 한층 강화돼 최고 등급인 ‘S’ 등급을 받은 기관이 대폭 줄었는데, 세부적으로 평가 기준은 어떻게 변화됐는지요
올해부터 시작되는 ‘공공기관 개인정보 보호수준 평가’는 기존 ‘관리수준 진단’에 비해 대상 기관이 기존 중앙행정기관, 지방자치단체, 공공기관, 지방공사·공단 등 800여개 기관 외에 중앙행정기관의 소속기관, 시·도교육청 및 교육지원청 등이 포함된 1,400여개로 확대됐습니다.
보호수준 평가는 법적 의무사항 준수 여부 등 정량지표 중심의 자체평가(60%)와 개인정보보호 업무 추진 내용의 적절성·충실성을 반영한 정성지표 중심의 전문가 심층평가(40%)로 구성됩니다. 이어 조직 내 개인정보보호 강화를 위한 투자와 관심도 제고를 위해 개인정보보호 ‘인력·조직·예산’ 및 ‘보호책임자’ 관련 지표를 강화했고, 안전한 개인정보 활용을 위한 ‘신기술 환경에서의 안전한 데이터 활용 및 안전조치’를 평가하는 지표도 신설했습니다. 평가결과 우수기관과 소속직원에게는 포상하고, 미흡기관에는 개선 권고 및 실태를 점검해 개선을 진행할 예정입니다. 또한 평가결과가 기관평가에도 반영되는 만큼 개인정보 영역에 대한 기관장 혹은 기관 전체의 관심과 노력·투자가 한층 강화될 것으로 기대하고 있습니다.
Q. 공공기관에서는 개인정보 보호법, 시행령과 고시 등 관련 법령들이 대폭 바뀌면서 해석에 어려움을 토로하고 있는데요. 이러한 어려움을 해소하기 위해 현재 시행 중인 방안은
개인정보위는 법 개정 내용을 공유하고 현장의 의견을 듣고자 지난해 3월부터 온라인 플랫폼, 의료·복지, 스타트업, 모빌리티, 통신 등 분야별 릴레이 간담회를 진행했으며, 민간·공공분야 등을 대상으로 현장 설명회도 개최했습니다. 민간·공공분야 설명회는 2023년 9월 13~14일에 진행하고, 종합설명회도 2023년 12월과 2차 2024년 3월에 시행했습니다.
또한 수범자들의 이해도를 높이기 위해 주요 개정사항에 대한 상세한 설명을 담은 안내서도 개인정보 보호법 개정법의 1차·2차 시행 시기에 맞춰 두 차례에 걸쳐 공개했습니다. 앞으로도 개정된 제도가 현장에서 제 기능을 하도록 소통과 홍보를 지속해서 추진할 계획입니다.
올해 3월 발표된 ‘공공기관 개인정보 보호수준 평가’ 계획으로는 평가 첫해인 만큼 공공기관 개인정보 담당자의 이해도를 높이기 위한 설명회도 다양한 방식으로 개최하고 있습니다. 새롭게 평가대상에 포함된 기관은 권역별로 현장 설명회를, 전체기관 대상으로 온라인 설명회와 온라인 교육 콘텐츠도 제공 예정입니다. 신규기관 현장 설명회는 서울에서 5월 24일에 열렸고, 대전에서 6월 14일에 예정돼 있으며, 전체기관 대상 온라인 설명회는 6월말에 2회에 걸쳐 진행하게 됩니다. 전년도 수준진단 미흡 기관은 맞춤형·권역별 컨설팅 등을 진행할 계획입니다. 공공기관도 개인정보 분야가 복잡해지고 전문영역이 된다는 점을 고려해 전담인력을 적극 배치하는 등 많은 관심을 보여야 합니다.
Q. 중국계 커머스 기업 진출 확대에 따른 개인정보 침해 우려와 관련해 ‘개인정보 처리방침’, ‘개인정보 국외이전’ 등 다양한 문제가 얽혀 있는데, 이에 어떻게 대응하고 계신지요
알리나 테무와 같은 중국 전자상거래 업체에 의한 개인정보 침해 우려가 증가하고 있어 올해 2월부터 보호법 위반 여부를 조사하고 있습니다. 물품을 구매한 고객의 정보가 해외로 이전되면서 적법한 절차를 거치고 있는지, 이전된 고객 정보가 안전하게 관리되고 있는지 등을 중심으로 사실관계를 파악하고 있습니다. 상반기 내 조사 결과 발표를 목표로 법 위반사항이 확인될 경우 관련 법규에 따라 엄중히 조치할 계획입니다.
Q. 기업 내 개인정보보호 최고책임자인 CPO의 자격요건과 관련한 주요 변경 내용은 무엇이고, CPO협의회 출범은 어떻게 진행되고 있는지요
기존 개인정보보호 책임자 지정은 대표자·임원 등의 직위 요건만 규정하고, 구체적인 자격요건이나 업무수행 체계 등 관련 규정이 없어 CPO를 포함한 개인정보 업무 종사자들이 전문성을 키우기 어렵고, 사고가 나면 책임만 진다는 불안감으로 개인정보 업무를 꺼리고 있으며, 인력 전문성 저하의 악순환을 불러오는 우려가 있었습니다. 이에 개인정보위는 개인정보가 현장에서 안전하게 활용되기 위해서는 CPO의 전문성과 독립성을 강화해 선순환적 구조를 만드는 것이 선결 요건이라 인식하고, 보호법령의 개정을 통해 CPO의 자격요건과 업무수행 체계를 구체적이고 명확하게 규정했습니다.
구체적으로는 CPO의 전문성을 높이기 위해 대규모 개인정보처리자는 ‘개인정보보호·정보보호·정보기술 경력 합을 4년 이상 보유하고 그중 개인정보보호 경력을 2년 이상 필수 보유’한 자격요건을 갖춘 CPO를 별도로 지정하도록 했습니다. 이때 대규모 개인정보처리자는 ①연 매출액 또는 수입이 1,500억원 이상인 자로서 100만명 이상 개인정보 또는 5만명 이상 민감·고유식별정보를 처리하는 자 ②재학생 수 2만명 이상인 대학(대학원 재학생 포함) ③ 상급종합병원 ④ 공공시스템운영기관 등이 해당됩니다.
독립성 확보 측면에서는 개인정보 처리 관련 정보 접근을 보장하며 대표자 또는 이사회에 직접 보고하는 체계를 구축하도록 해 CPO의 역할과 위상을 강화했습니다. 이는 CPO가 개인정보의 처리에 관한 총괄책임자로서 실질적 역할을 수행하도록 하면서 기업 내 개인정보 관련 사항에 대해 최고경영진부터 전사적으로 관심을 갖도록 유도하기 위한 것입니다.
한편 이번 보호법 개정을 통해 개인정보처리자가 개인정보의 안전한 처리 및 보호, 정보교류, 공동사업 수행을 위해 CPO협의회를 구성·운영하고 개인정보위가 지원하는 근거가 마련됐습니다. 이때 공동사업이란 ①개인정보보호 강화를 위한 정책 조사·연구 ②개인정보 침해사고 분석·대응 ③CPO 실태 파악 및 제도개선 ④CPO의 역량 및 전문성 향상 ⑤CPO 업무 관련 국내외 주요동향 조사 ⑥개인정보처리시스템 안전한 관리 등이 있습니다. CPO협의회는 올해 4월에 50여개 기업·기관 등의 CPO가 참여한 ‘공공·민간 CPO 정책간담회’에서 협의회 설립 및 운영방향에 대해 활발한 논의가 있었습니다. 하반기에는 공식적으로 출범할 수 있을 것으로 기대됩니다. 개인정보위는 출범할 CPO협의회가 각계의 협력을 통해 개인정보보호 저변을 확대하고 정부-민간 간 정책 소통의 대표창구로 기능하도록 적극적으로 지원할 계획입니다.
▲개인정보보호위원회 고학수 위원장 약력[자료=개인정보위]
Q. 6월 4~5일에 개인정보위 주최로 열리는 제13회 개인정보보호 페어 & CPO워크숍(PIS FAIR 2024)의 대주제는 ‘AI, 신뢰를 넘어 데이터 가치를 열다’인데요. AI와 개인정보와의 연계성 측면에서 개인정보위가 향후 나아갈 방향은 무엇인가요
PIS FAIR는 국내 최대의 개인정보보호 콘퍼런스로 개인정보보호 중요성의 인식 확대에 큰 역할을 하고 있습니다. 사회 전반에서 챗GPT를 필두로 AI가 화두가 되는 만큼, 이번 PIS FAIR에서 진행되는 논의 결과를 개인정보위도 관심 있게 지켜보고 참고하겠습니다.
AI 모형을 개발하는 과정에서는 유용한 학습용 데이터를 구하는 것이 핵심입니다. 유용한 데이터는 대부분 개인정보를 포함해 데이터의 수집·활용이 조심스러울 수밖에 없습니다. 특히 보안과 관련해 개인정보의 중요성이 전반적으로 커지고 있습니다. 따라서 개인정보 활용이 사회적 신뢰를 얻지 못한다면 아무리 뛰어난 AI 기술도 사회로부터 외면받게 될 것입니다.
따라서 개인정보를 안전하고 신뢰성 있게 활용할 수 있는 체계를 지속해서 구축해 나가는 것이 개인정보위의 최우선 정책 목표입니다. AI 등 신기술 발전으로 인한 프라이버시 침해 위험은 최소화하면서 AI 혁신 생태계 발전에 꼭 필요한 데이터는 안전하게 활용할 수 있도록 방향을 앞서 제시하고 정책을 끌어나가려고 합니다. AI·마이데이터 등이 일상화·현실화되고, 실질적 의미에서 데이터를 둘러싼 세상의 본격적인 변화가 나타나는 시기인 만큼 우리나라가 이러한 세계적 흐름을 이끌고 선도적인 위치에 자리매김하도록 최선을 다하겠습니다.
[대담=권준 편집국장, 정리=김영명 기자(boan@boannews.com)]
공공기관 개인정보 보호수준 평가, 기관장과 기관 전체의 관심과 노력·투자 강화 기대
개정 보호법 관련 공공기관 소통 확대...현장·온라인 설명회 및 온라인 콘텐츠 제공 예정
“신기술 발전에 프라이버시 침해 위험 최소화, 필수 데이터는 안전하게 활용 이끌 것”
[보안뉴스 김영명 기자] 챗GPT로 촉발된 생성형 인공지능(AI)의 급속한 확산은 인간의 삶에 있어 획기적인 변화를 이끄는 동시에 개인정보와 관련된 새로운 위협을 촉발하고 있다. 이와 관련해 전 국민의 개인정보보호 업무를 총괄하는 개인정보보호위원회(이하 개인정보위)에서는 올해 비전으로 ‘국민 삶이 풍요롭고 개인정보가 안전한 AI 시대’를 제시했다. 이에 본지는 개인정보보호위원회 고학수 위원장을 만나 AI 시대 도래에 따라 더 중요해진 개인정보보호 법제도 및 정책방향 등에 대해 인터뷰를 진행했다.
▲개인정보보호위원회 고학수 위원장[사진=보안뉴스]
Q. 올해 개인정보위는 ‘국민 삶이 풍요롭고 개인정보가 안전한 AI 시대’를 비전으로 발표했는데, AI 기술 확산에 따른 개인정보보호 정책의 방향성을 설명해 주신다면
AI 모델 개발을 위해 필요한 양질의 학습데이터의 핵심이 개인정보인 만큼, AI 기술 발전에 있어 개인정보에 대한 고려는 필수입니다. 하지만 AI 학습 등에 활용되는 데이터의 규모가 방대해짐에 따라 처리 과정이 복잡하고 예측도 어려워지고 있습니다. 이에 따라 국민은 개인정보 침해 가능성 우려를, 기업은 AI 개발을 위한 데이터 활용 과정에서 ‘개인정보 보호법’ 준수와 관련해 혼란스러운 상황에 부딪히게 됩니다. 이러한 침해 우려와 불확실성을 해소하기 위해 AI·데이터와 같이 신기술 개발이 끊임없이 이루어지고 아직 미지의 영역이 많은 분야에서는 규정(rule) 중심보다 원칙(principle) 중심의 방향 제시를 통해 현장에서 적용 가능한 유연한 규율체계가 필요합니다.
개인정보위는 지난해 8월 AI 관련 방향성을 제시하는 총론 격의 ‘인공지능 시대 안전한 개인정보 활용 정책방향’을 발표했고, 올해는 가이드라인을 마련 중입니다. 가이드라인은 ‘가드레일’과 같이 기업의 불확실성과 국민 불안감을 해소하는 역할을 할 예정인데, 기업의 추가 규제로 인식되는 가이드라인은 지양하려 합니다. AI 분야 특성을 고려, 현장에서 유연하게 접근하도록 활용사례를 제시해 기업·연구자 등이 스스로 판단하도록 지원하는 것이 주목적입니다.
올해 2월 개인정보위는 ‘비정형데이터 가명처리 기준’을 발표, 최근 AI 기술 발전으로 수요가 폭증하고 있는 영상·음성·이미지 등 비정형데이터 활용 과정에서 특수하게 나타날 수 있는 개인정보 위험을 사전에 확인·통제하기 위한 원칙을 분야별 사례·시나리오와 함께 제시했습니다. 인터넷에 공개된 개인정보를 스크래핑해서 AI 학습데이터로 활용하는 경우의 법적 근거 및 안전장치의 내용을 담은 ‘공개된 개인정보 활용 가이드라인’을 조만간 발표할 예정이며, 그 외에 얼굴·지문 등 생체인식정보 활용 등에 대한 가이드도 안내할 계획입니다.
또한 지난해 제출된 ‘AI 기본법’(인공지능 산업 육성 및 신뢰 기반 조성에 관한 법률안)도 과학기술정보방송통신위원회 법안2소위를 통과했지만, 아직 전체회의에서 계류 중인데 이번 회기에서 통과는 쉽지 않을 것 같습니다. 시민단체 등 이해관계자들의 의견을 폭넓게 수렴해 다음 국회에서 다시 논의되지 않을까 생각합니다.
Q. 개인정보 보호법 개정 이후 ‘사전적정성 검토제’ 시행, ‘자동화된 결정에 대한 조치 기준’ 고시안 행정예고 등이 있었는데, AI 서비스 제공자와 사용자들을 위해 조금 더 구체적으로 설명해 주신다면
사전적정성 검토제는 개인정보 차원에서 AI 등을 활용해 신기술·서비스를 기획·개발하고자 하는 기업의 불확실성을 줄여주기 위한 제도입니다. 이는 기획·개발 단계부터 스타트업 등 관련 분야의 기업들이 보호법 적용 방안을 기업과 개인정보위가 함께 마련하고, 이를 적정히 적용하면 추후 환경·사정 변화가 없는 한 법적조치를 취하지 않는 제도입니다. 지난해 10월부터 시범운영에 들어가 올해 4월 본격 시행됐으며, 현재까지 민간기업 4건, 공공기관 1건 등 총 5건을 검토하고 있습니다.
한 가지 예를 들면, 특정 상황만 발췌해서 녹화가 가능한 지능형 CCTV를 운영하려면 어떻게 해야 하는지 검토를 신청한 건이 있었습니다. 이에 대해 사건·사고 장면만 원본 영상을 녹화하고, 관련 없는 사람들은 대체 이미지로 관제화면에 표시하며, 사건·사고 외의 영상을 저장하지 않고 실시간 파기하며, 촬영되는 사람들에게 운영정책을 투명하게 공개하도록 방안을 마련한 사례가 있습니다. 이 제도가 본격적으로 운영되면서 개인정보를 활용해 새로운 서비스를 기획·개발하는 기업들이 법적 불확실성을 최소화하고, 보다 혁신적인 서비스를 창출해내는데 많은 도움을 줄 수 있을 것으로 기대하고 있습니다.
다음은 AI 등에 의한 자동화된 결정에 관한 기준으로, AI 시대에 이를 이용하는 기업과 사용자 모두가 자신의 권리 보호를 위해 꼭 알아야 하는 부분입니다. 최근 AI의 발전으로 인해 채용, 복지수급자 선정 등 다양한 분야에서 AI 기술을 활용한 ‘자동화된 결정’이 이뤄지는 경우가 많습니다. 이처럼 사람의 개입 없이 AI에 의해 국민의 권리에 영향을 미치는 결정이 이뤄지는 분야는 사용자의 권익 보호를 위한 투명성 확보가 중요한 요소가 되고 있습니다.
지난해 ‘개인정보 보호법’ 개정을 통해 자동화된 시스템만으로 국민의 권리 또는 의무에 ‘생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지’, ‘정보주체의 권리가 박탈되거나 권리 행사가 불가능하게 되는지’ 등 중대한 영향을 미치는 결정을 하는 경우 설명·의견 제출을 통한 검토를 요구하거나 경우에 따라 거부할 권리를 도입해 올해 3월 15일부터 시행됐습니다. 이러한 자동화된 결정에 대한 설명, 검토 요구 및 거부 등 정보주체의 권리 보장과 관련해 개인정보처리자의 판단 기준을 보다 명확하게 구체화하는 고시 제정안을 5월 17일부터 20일간 행정예고 중입니다. 이어서 자동화된 결정 과정이 투명하게 관리되도록 다양한 사례를 담은 자동화된 결정 관련 세부 안내서도 함께 공개해 현장의 의견을 추가·보완해 나갈 계획입니다.
▲개인정보보호위원회 고학수 위원장이 보안뉴스와 인터뷰를 하고 있다[사진=보안뉴스]
Q. 올해 정부24, 법원, 교육부 등 정부부처 및 공공기관, 공공 서비스에서의 개인정보 유출 사고가 빈번하게 발생하고 있는데요. 공공부문에서의 개인정보보호 강화를 위한 추가 대응방안 등이 있다면
공공 영역은 국민의 민감한 개인정보를 대규모로 처리하고 있으며, 시스템간 연계돼 있는 경우도 많아 개인정보 유출 등 침해사고 발생 시 사회·국가적 피해로 이어질 위험성이 큽니다. 이에 개인정보위는 공공부문에 대해 2022년 ‘공공기관 개인정보 유출방지 대책’을 발표했으며, 2023년에는 ‘공공부문 개인정보 안전조치 강화계획’을 수립해 추진하고 있습니다.
이와 관련한 조치의 일환으로, 지난해에는 주민등록 연계 등 62개 주요 시스템(집중관리시스템)을 우선 점검해 미흡사항에 대해 개선 권고했으며, 2025년까지 3년간 총 1,500여개의 주요 시스템에 대해 순차적으로 점검해 국민의 불안을 줄여나갈 계획입니다.
한편, 개인정보보호 법령 개정을 통해 위법행위를 한 공공기관(개인정보처리자)과 공무원(개인정보취급자)에 대한 처벌도 강화했습니다. 종전에는 주민등록번호를 유출한 경우에만 과징금 부과가 가능했으나, 개정 보호법 시행으로 개인정보 안전조치 의무를 위반한 공공기관에 대해서도 20억원 한도의 과징금 부과가 가능해졌습니다.
또한 지난해 1월부터는 공무원이 개인정보를 고의로 유출해 중대한 2차 피해가 발생한 경우에는 한 번만으로도 공직에서 배제되도록 ‘원스트라이크 아웃제’를 도입했으며, 이를 ‘국가공무원 복무·징계 관련 예규’와 ‘지방공무원 징계업무편람’에 반영했습니다. 이외에도 대규모·민감정보를 처리하는 공공부문의 특성을 고려해 ‘엄격한 접근권한 부여·관리’, ‘이상행위 탐지·차단 기능 도입’ 등 보다 강화된 안전조치 의무를 올해 9월부터 공공기관에 부여할 계획입니다.
Q. ‘공공기관 개인정보 보호수준 평가’가 올해 한층 강화돼 최고 등급인 ‘S’ 등급을 받은 기관이 대폭 줄었는데, 세부적으로 평가 기준은 어떻게 변화됐는지요
올해부터 시작되는 ‘공공기관 개인정보 보호수준 평가’는 기존 ‘관리수준 진단’에 비해 대상 기관이 기존 중앙행정기관, 지방자치단체, 공공기관, 지방공사·공단 등 800여개 기관 외에 중앙행정기관의 소속기관, 시·도교육청 및 교육지원청 등이 포함된 1,400여개로 확대됐습니다.
보호수준 평가는 법적 의무사항 준수 여부 등 정량지표 중심의 자체평가(60%)와 개인정보보호 업무 추진 내용의 적절성·충실성을 반영한 정성지표 중심의 전문가 심층평가(40%)로 구성됩니다. 이어 조직 내 개인정보보호 강화를 위한 투자와 관심도 제고를 위해 개인정보보호 ‘인력·조직·예산’ 및 ‘보호책임자’ 관련 지표를 강화했고, 안전한 개인정보 활용을 위한 ‘신기술 환경에서의 안전한 데이터 활용 및 안전조치’를 평가하는 지표도 신설했습니다. 평가결과 우수기관과 소속직원에게는 포상하고, 미흡기관에는 개선 권고 및 실태를 점검해 개선을 진행할 예정입니다. 또한 평가결과가 기관평가에도 반영되는 만큼 개인정보 영역에 대한 기관장 혹은 기관 전체의 관심과 노력·투자가 한층 강화될 것으로 기대하고 있습니다.
Q. 공공기관에서는 개인정보 보호법, 시행령과 고시 등 관련 법령들이 대폭 바뀌면서 해석에 어려움을 토로하고 있는데요. 이러한 어려움을 해소하기 위해 현재 시행 중인 방안은
개인정보위는 법 개정 내용을 공유하고 현장의 의견을 듣고자 지난해 3월부터 온라인 플랫폼, 의료·복지, 스타트업, 모빌리티, 통신 등 분야별 릴레이 간담회를 진행했으며, 민간·공공분야 등을 대상으로 현장 설명회도 개최했습니다. 민간·공공분야 설명회는 2023년 9월 13~14일에 진행하고, 종합설명회도 2023년 12월과 2차 2024년 3월에 시행했습니다.
또한 수범자들의 이해도를 높이기 위해 주요 개정사항에 대한 상세한 설명을 담은 안내서도 개인정보 보호법 개정법의 1차·2차 시행 시기에 맞춰 두 차례에 걸쳐 공개했습니다. 앞으로도 개정된 제도가 현장에서 제 기능을 하도록 소통과 홍보를 지속해서 추진할 계획입니다.
올해 3월 발표된 ‘공공기관 개인정보 보호수준 평가’ 계획으로는 평가 첫해인 만큼 공공기관 개인정보 담당자의 이해도를 높이기 위한 설명회도 다양한 방식으로 개최하고 있습니다. 새롭게 평가대상에 포함된 기관은 권역별로 현장 설명회를, 전체기관 대상으로 온라인 설명회와 온라인 교육 콘텐츠도 제공 예정입니다. 신규기관 현장 설명회는 서울에서 5월 24일에 열렸고, 대전에서 6월 14일에 예정돼 있으며, 전체기관 대상 온라인 설명회는 6월말에 2회에 걸쳐 진행하게 됩니다. 전년도 수준진단 미흡 기관은 맞춤형·권역별 컨설팅 등을 진행할 계획입니다. 공공기관도 개인정보 분야가 복잡해지고 전문영역이 된다는 점을 고려해 전담인력을 적극 배치하는 등 많은 관심을 보여야 합니다.
Q. 중국계 커머스 기업 진출 확대에 따른 개인정보 침해 우려와 관련해 ‘개인정보 처리방침’, ‘개인정보 국외이전’ 등 다양한 문제가 얽혀 있는데, 이에 어떻게 대응하고 계신지요
알리나 테무와 같은 중국 전자상거래 업체에 의한 개인정보 침해 우려가 증가하고 있어 올해 2월부터 보호법 위반 여부를 조사하고 있습니다. 물품을 구매한 고객의 정보가 해외로 이전되면서 적법한 절차를 거치고 있는지, 이전된 고객 정보가 안전하게 관리되고 있는지 등을 중심으로 사실관계를 파악하고 있습니다. 상반기 내 조사 결과 발표를 목표로 법 위반사항이 확인될 경우 관련 법규에 따라 엄중히 조치할 계획입니다.
Q. 기업 내 개인정보보호 최고책임자인 CPO의 자격요건과 관련한 주요 변경 내용은 무엇이고, CPO협의회 출범은 어떻게 진행되고 있는지요
기존 개인정보보호 책임자 지정은 대표자·임원 등의 직위 요건만 규정하고, 구체적인 자격요건이나 업무수행 체계 등 관련 규정이 없어 CPO를 포함한 개인정보 업무 종사자들이 전문성을 키우기 어렵고, 사고가 나면 책임만 진다는 불안감으로 개인정보 업무를 꺼리고 있으며, 인력 전문성 저하의 악순환을 불러오는 우려가 있었습니다. 이에 개인정보위는 개인정보가 현장에서 안전하게 활용되기 위해서는 CPO의 전문성과 독립성을 강화해 선순환적 구조를 만드는 것이 선결 요건이라 인식하고, 보호법령의 개정을 통해 CPO의 자격요건과 업무수행 체계를 구체적이고 명확하게 규정했습니다.
구체적으로는 CPO의 전문성을 높이기 위해 대규모 개인정보처리자는 ‘개인정보보호·정보보호·정보기술 경력 합을 4년 이상 보유하고 그중 개인정보보호 경력을 2년 이상 필수 보유’한 자격요건을 갖춘 CPO를 별도로 지정하도록 했습니다. 이때 대규모 개인정보처리자는 ①연 매출액 또는 수입이 1,500억원 이상인 자로서 100만명 이상 개인정보 또는 5만명 이상 민감·고유식별정보를 처리하는 자 ②재학생 수 2만명 이상인 대학(대학원 재학생 포함) ③ 상급종합병원 ④ 공공시스템운영기관 등이 해당됩니다.
독립성 확보 측면에서는 개인정보 처리 관련 정보 접근을 보장하며 대표자 또는 이사회에 직접 보고하는 체계를 구축하도록 해 CPO의 역할과 위상을 강화했습니다. 이는 CPO가 개인정보의 처리에 관한 총괄책임자로서 실질적 역할을 수행하도록 하면서 기업 내 개인정보 관련 사항에 대해 최고경영진부터 전사적으로 관심을 갖도록 유도하기 위한 것입니다.
한편 이번 보호법 개정을 통해 개인정보처리자가 개인정보의 안전한 처리 및 보호, 정보교류, 공동사업 수행을 위해 CPO협의회를 구성·운영하고 개인정보위가 지원하는 근거가 마련됐습니다. 이때 공동사업이란 ①개인정보보호 강화를 위한 정책 조사·연구 ②개인정보 침해사고 분석·대응 ③CPO 실태 파악 및 제도개선 ④CPO의 역량 및 전문성 향상 ⑤CPO 업무 관련 국내외 주요동향 조사 ⑥개인정보처리시스템 안전한 관리 등이 있습니다. CPO협의회는 올해 4월에 50여개 기업·기관 등의 CPO가 참여한 ‘공공·민간 CPO 정책간담회’에서 협의회 설립 및 운영방향에 대해 활발한 논의가 있었습니다. 하반기에는 공식적으로 출범할 수 있을 것으로 기대됩니다. 개인정보위는 출범할 CPO협의회가 각계의 협력을 통해 개인정보보호 저변을 확대하고 정부-민간 간 정책 소통의 대표창구로 기능하도록 적극적으로 지원할 계획입니다.
▲개인정보보호위원회 고학수 위원장 약력[자료=개인정보위]
Q. 6월 4~5일에 개인정보위 주최로 열리는 제13회 개인정보보호 페어 & CPO워크숍(PIS FAIR 2024)의 대주제는 ‘AI, 신뢰를 넘어 데이터 가치를 열다’인데요. AI와 개인정보와의 연계성 측면에서 개인정보위가 향후 나아갈 방향은 무엇인가요
PIS FAIR는 국내 최대의 개인정보보호 콘퍼런스로 개인정보보호 중요성의 인식 확대에 큰 역할을 하고 있습니다. 사회 전반에서 챗GPT를 필두로 AI가 화두가 되는 만큼, 이번 PIS FAIR에서 진행되는 논의 결과를 개인정보위도 관심 있게 지켜보고 참고하겠습니다.
AI 모형을 개발하는 과정에서는 유용한 학습용 데이터를 구하는 것이 핵심입니다. 유용한 데이터는 대부분 개인정보를 포함해 데이터의 수집·활용이 조심스러울 수밖에 없습니다. 특히 보안과 관련해 개인정보의 중요성이 전반적으로 커지고 있습니다. 따라서 개인정보 활용이 사회적 신뢰를 얻지 못한다면 아무리 뛰어난 AI 기술도 사회로부터 외면받게 될 것입니다.
따라서 개인정보를 안전하고 신뢰성 있게 활용할 수 있는 체계를 지속해서 구축해 나가는 것이 개인정보위의 최우선 정책 목표입니다. AI 등 신기술 발전으로 인한 프라이버시 침해 위험은 최소화하면서 AI 혁신 생태계 발전에 꼭 필요한 데이터는 안전하게 활용할 수 있도록 방향을 앞서 제시하고 정책을 끌어나가려고 합니다. AI·마이데이터 등이 일상화·현실화되고, 실질적 의미에서 데이터를 둘러싼 세상의 본격적인 변화가 나타나는 시기인 만큼 우리나라가 이러한 세계적 흐름을 이끌고 선도적인 위치에 자리매김하도록 최선을 다하겠습니다.
[대담=권준 편집국장, 정리=김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
