[보안뉴스 강현주 기자] “경제성 논리에 밀려 미흡했던 개인정보보호 분야에 대해 인력과 예산의 구체적 기준을 마련하겠습니다.”

윤여진 개인정보보호위원회 자율보호정책과장은 27일 서울 삼성동 코엑스에서 열린 ‘PIS FAIR 2025’에서 이같이 밝혔다. 기업 전체 IT 예산 중 10% 이상 보안 투자 권고 검토 등을 언급했다.


▲윤여진 개인정보위 과장이 PIS FAIR 2025에서 발표하고 있다.[자료: 보안뉴스]

윤 과장은 ‘AI 시대 개인정보 보호를 위한 기반 마련’이란 주제로 발표하며 개인정보 평가제와 자율규제에 대한 현황과 방향성을 짚었다.

이날 발표에서 윤 과장은 현재 자율에 맡기고 있는 기업들의 정보보호 투자에 대해 언급했다.

현재 국정원이나 금융권 외에는 조직의 전체 정보기술 예산 중 정보보호 예산 비중은 자율에 맡기고 있다. 현재 우리나라 기업들의 정보보호 예산은 6% 안팎으로 미국의 10%에 비해 저조하다. 이 문제는 최근SKT 해킹 사태로 인해 사회적 이슈로 부각되고 있다. 이 기업들이 보안에 최소치만 투자하려는 경향이 있어 위험이 크다.

이에 개인정보위는 오는 2027년까지 전체 정보보호 예산의 10% 이상, 2030년까지 15% 이상 할당을 권고하겠다는 방침이다. 이를 통해 이상감지시스템, 취약점 점검 모의 해킹 등 필요 분야에 반영하게 한다는 것이다. 더불어 개인정보보호책임자(CPO) 외 최소 1명 이상 개인정보보호 전담인력 배치, 전체 IT 인력 중 최소 10% 개인정보보호 담당 인력 배정 등을 검토하고 있다. 다만, 이 계획들은 아직 의견수렴을 위한 초안이며 확정된 내용은 아니다.

윤 과장은 ISMS-P 인증 체계 실효성 개선에 대해서도 언급했다. 개인정보위는 이 인증제도의 심사 실효성 제고, 사후 관리 강화, ISMS-P 의무화 등을 검토하고 있다. 평가 방식을 서면 평가에서 현장 평가로 전환하는 안 등이 거론되고 있다고 윤 과장은 설명했다.

윤 과장은 “개인정보 안전관리 체계를 강화하기 인증 심사 실효성을 높이고, 조직의 인력과 예산 등 개인정보보호 분야 투자의 최소 기준을 명확히 하고자 한다”고 말했다.

이 외에도 윤과장은 이날 발표에서 개인정보 처리방침 평가제와 공공기관 개인정보 보호수준 평가제, 개인정보 영향평가 등 3대 개인정보 평가제를 소개하고 현황을 공유했다.
[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>