데이터 처리 규모 및 민감도 따라 고·중·저 위험군 분류해 차등 점검
ISMS-P 등 주요 정보보호 평가 체계에도 개인정보보호 중심 설계 원칙 반영

[보안뉴스 조재호 기자] 사후 제재 위주로 운영되던 국가 개인정보 관리체계가 사전 위험 식별 및 예방 중심으로 전면 개편된다.


[출처: 생성형 AI 활용 이미지]

개인정보보호위원회는 22일 경제장관회의에서 ‘예방 중심 개인정보 관리체계 전환계획’을 공식 발표했다. 최근 AI와 클라우드 기반 서비스 확산으로 데이터 처리 규모가 급증하면서 해킹 등의 위험이 산업 전반의 리스크로 확대된 데 따른 선제적 조치다.

정부는 우선 개인정보 처리 규모와 민감도 및 산업별 특성을 종합적으로 고려해 관리 대상을 고위험, 중위험, 저위험군으로 세분화하고 차등 점검을 진행한다. 올해 집중 점검 대상이 되는 고위험군은 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 민감 데이터를 처리하는 산업군이다.

정부는 점검 분야를 사전에 공개한 뒤, 정기 및 수시 점검을 통해 기업의 내부통제 운영 실태를 집중적으로 살펴볼 방침이다. 아울러 관계부처가 참여하는 범정부 정책협의체를 구성해 부처별 소관 분야의 개인정보 관리 실태를 공유한다.

침해 위협에 빠르게 대응하기 위한 조기경보 체계도 가동된다. 오는 9월 개인정보보호책임자(CPO) 지정 신고제가 도입됨에 따라 협의회 등과 핫라인을 구축해 위협 정보를 신속하게 전파하고, 사물인터넷(IoT) 기기·에이전트 AI 등 신기술 영역의 취약점도 선제적으로 들여다볼 계획이다.

기업의 자발적인 보안 투자를 유도하기 위한 대책도 마련됐다. 서비스 기획 및 설계 단계부터 보안을 기본값으로 반영하는 개인정보 보호 중심 설계(PbD) 원칙을 제도화하기 위해 관련 가이드라인을 보급하고 기존 평가 기준에 이를 반영한다. 특히 기업이 법적 최소 기준을 상회하는 추가 보호조치 내역과 CPO 내부통제 프로세스를 적극 공개하고 실효성이 입증될 경우, 과징금 감경 등의 혜택을 부여할 예정이다.

이외에도 대량의 데이터가 집중되는 SaaS 및 전문수탁사 등 공급망 전반에 대한 관리를 강화하고, 개인정보 보호 강화기술(PET) 연구개발 투자를 확대해 개인정보 생태계를 활성화한다.

송경희 개인정보위 위원장은 “관계부처와 협력해 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다”고 말했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>