|
최근 해킹 및 정보 유출 사고가 기업과 정부부처·공공기관을 막론하고 잇따르고 있지만, 사전예방과 사후제재 모두 민간에만 집중돼 있다는 지적에 대한 의견이다. 언급한 ISMS(정보보호관리체계) 역시 공공 부문에선 법적 의무 없이 자율적인 인증 취득만 이뤄지고 있다. 한국인터넷진흥원(KISA)에 따르면 2021년~2025년 8월 기간 ISMS 인증은 기업(967곳) 대비 공공기관(39곳)이 현저히 부족하다.
송경희 위원장은 “세계 1위 AI 정부를 만들겠다는 국정과제 목표를 위해선 공공 분야 정보보호가 필수”라며 “공공 AX(AI 전환) 분야에서 개인정보위가 많은 역할을 해야 한다”고 강조했다.
“사전예방 체계가 사전규제 강화 의미는 아냐”
송경희 위원장은 이날 우리나라 개인정보보호 체계를 ‘사전예방’ 중심으로 전환해야 한다며 이를 위해 강력한 인센티브와 강력한 처벌을 병행하겠다는 의지를 내비쳤다.
송경희 위원장은 “사전예방이라고 해서 사전규제를 강화하겠다는 뜻이 아니다”라며 “기업이 정보보호 투자를 하고 인증을 받으면 확실한 인센티브를 주되, 그럼에도 중대하거나 반복적 사고가 발생했다면 그만큼의 징벌적 과징금을 내도록 하겠다”고 강조했다.
다만 지난 4일 산하 분쟁조정위원회가 SK텔레콤의 올해 4월 유심정보 유출 사고에 대해 분쟁조정 신청자 3998명을 대상으로 인당 30만원 손해배상을 권고한 것에 대해서는 “(기업의) 전체 보상이 있어도 개인이 받은 피해 보상이 충분하지 않을 때 같이 작동할 수 있는 제도가 분쟁조정 제도”라는 입장을 밝혔다.
개인정보위는 제도개선 태스크포스(TF)를 통해 기업의 개인정보보호 노력 및 자발적 신고에 따른 인센티브 강화 방은을 모색하는 한편, 개인정보보호법 개정을 통한 과징금 상한 상향과 피해구제 기금 신설 등을 추진하겠다는 방침이다.
송경희 위원장은 구체적 방안으로 현행 개보위 소관의 ISMS-P(개인정보보호관리체계) 제도 실효성 확보, 제품·솔루션 개발 시 처음부터 개인정보보호를 전제로 설계하는 ‘프라이버시 바이 디자인(PBD)’ 인증 제도 도입 등을 제시했다. “현행 ISMS-P는 3년간 유효인데, 1년마다 현장 중심 심사와 모의해킹을 확대하겠다”며 “PBD 인증은 의무화보단 시장에서 선택받을 수 있게 해 인센티브를 강화하는 방향으로 가겠다”고 했다.
이어 “소상공인을 비롯한 중소기업·스타트업은 투자와 전문인력 확보가 어려운 부분이 있으므로, 개인정보위가 필요한 지원과 컨설팅을 아끼지 않겠다”고 덧붙였다.
AI 시대 개보위 역할 달라져야…예산 확보 총력
이 같은 청사진을 실현하기 위한 예산 확보 문제는 여전히 숙제로 남아 있다. 연이은 정보 유출 사고 대응 및 AI 시대 데이터 활용을 위해 개인정보위의 역할과 위상이 어느 때보다 커졌음에도, 관련 예산과 인력 부족이 발목을 잡고 있는 것이다.
최근 국회의 내년도 정부·예산안 심의가 본격화된 가운데, 송경희 위원장은 “개인정보위가 달라진 개인정보 환경에서 어떤 역할을 해야 하는지 계속 설득하고 있다”며 대표적으로 기술분석센터 필요성을 지적했다.
실제 지난 정무위원회 종합감사에선 개인정보위의 다크웹 대응 예산이 전무하다는 점이 지적됐으며, 일례로 중국산 로봇청소기 ‘로보락’의 개인정보 유출 여부 분석을 위한 예산이 부족해 단 3대의 청소기만 구매할 수 있었다는 사실이 알려지기도 했다.
송경희 위원장은 “로봇청소기뿐 아니라 스마트TV, IP카메라 등 AI 기반 스마트 기기들이 늘어날 텐데, 국민 정보가 제대로 보호되고 있는지 기술 분석을 위한 솔루션 도입과 전문인력이 필요하다”며 “기술분석센터 설립, 다크웹 대응 등을 위한 예산을 피력하고 있다”고 전했다.
특히 AI 시대 개인정보 활용을 위한 신뢰 기반을 쌓는 것이 도전적 과제로 지목된다. 송경희 위원장은 “최적의 AI 서비스를 이용하려면 결국 이용자가 자신의 정보를 알려줘야 하는데, 그 정보가 안전하게 보호될 수 있다는 신뢰를 만드는 것이 개인정보위의 일”이라며 “지속적인 실태점검과 모니터링은 물론, 제도개선을 통해 신뢰를 축적해나가겠다”고 말했다.
