송경희 개인정보위원장 “올해 사전 예방 중심 체계 전환…징벌적 과징금 동반” [현장+]

송경희 개인정보보호위원회 위원장이 서울 중구 프레스센터에서 출입기자단 간담회를 개최하고 인사말을 하고 있다. 정우진 기자

송경희 개인정보보호위원회 위원장이 21일 서울 중구 프레스센터에서 출입기자단 간담회를 개최하고 취임 100일 소감과 함께 올해 계획을 밝혔다.

송 위원장은 이날 간담회에서 “위원장으로 취임한 지 이달 14일로 어느덧 100일을 넘겼다”라며 “이 기간 개인정보위는 개인정보 보호체계를 사후제재가 아닌, 사전예방 방식으로 전환하기 위한 기반 마련에 집중해 왔다”라고 말했다.

이어 “100일 간의 시간을 돌아보면 개인정보위가 가장 주목받은 부분은 안타깝게도 통신사, 유통 플랫폼 등 국민생활 밀접분야에서 발생한 대규모 개인정보 유출사고였다”라며 “이들 기업은 대량의 개인정보를 보유하고 있는 만큼 그에 상응하는 높은 수준의 보호조치가 요구된다”라고 덧붙였다.

그러나 개인정보위에 따르면 실제 조사 과정에서 확인된 개인정보 유출 사고들은 첨단 해킹 기법보다 기본적인 관리‧점검‧통제의 부재에서 비롯된 경우인 것으로 파악된다. 이는 개별 기업의 문제를 넘어 사후 대응에 치중해 온 기존 보호 체계의 구조적 한계를 보여주는 셈이다.

특히 인공지능(AI)와 자동화 기술이 확산된 환경에서 개인정보 침해가 발생한 이후 조사‧처벌하는 방식으로는 실질적 보호가 어려운 현실이다.

송 위원장은 AI 시대 개인정보 보호에 대해 “AI 기반 서비스와 플랫폼 환경에서는 한 번의 관리 실패가 단기간에 대규모‧연쇄적 피해로 확산될 수 있다”라며 “사고를 인지하고 대응했을 때는 이미 개인정보가 복제‧유통된 이후인 경우가 많다”라고 설명했다.

또 “이러한 환경에서 개인정보 보호의 핵심은 사고 이후 책임을 묻는 것은 충분하지 않다”라며 “사고가 발생하지 않도록 설계 단계에서부터 위험을 관리하는 것으로 이동할 수밖에 없다”라고 사전 예방 중심 체계로의 전환을 강조했다.

다만 사전 예방 중심 체계로의 전환이 제재를 약화시키는 것을 의미하는 것은 아니라는 입장이다.

개인정보위는 중대‧반복 위반에 대해 징벌적 과징금 특례를 도입(전체 매출액의 10%까지 부과 가능)을 추진 중이다. 이는 처벌을 강화하기 위한 목적보다는 개인정보 보호를 기업의 선택이 아닌 경영의 전제 조건으로 인식하도록 하는 구조적 장치라는 설명이다.

송 위원장은 “기업이 선제적으로 개인정보 보호에 투자하고 예방 조치를 충실히 이행한 경우에는 과징금 감경 등 인센티브제도의 법적 근거를 확보할 것”이라며 “예방 중심 관리가 합리적인 선택이 되도록 정책적 유인을 강화하겠다”라고 했다.

이어 “전사적 개인정보 관리체계가 작동할 수 있도록 CEO의 개인정보 보호에 대한 최종 책임을 명확히 하고, CPO의 권한 강화와 CPO 지정 신고제 도입 등을 포함한 법 개정도 추진 중”이라고 말했다.

개인정보위는 유출 사고 발생 시 정보주체가 실질적인 보호와 구제를 받을 수 있도록 피해구제 제도 전반에 대한 개선 방안도 마련 중이다. 이어 지난해 말 사전 예방을 전담하는 부서를 신설했고 포렌식 센터를 마련했다.

송 위원장은 올해 △기술분석 센터 구축 △공공‧민간 AX 지원 △가명정보 원스톱 지원 △비조치의견서 시범운영 △개인정보 이노베이션 존 등을 적극 추진하겠다고 밝혔다.

이와 함께 그는 “AI 사업 추진시 개인정보 침해 위협이 우려되거나 불확실한 경우 ‘공공 AX혁신지원 헬프데스크’를 통해 사전 컨설팅을 받을 수 있도록 지원하는 방안을 추진하니 많은 관심을 부탁드린다”라고 전했다.

이어 “딥페이크 등 새로운 개인정보 침해 위협에도 지속적으로 대응하며 신뢰 기반의 AI시대를 위한 개인정보 처리 기준에 대한 연구에도 박차를 가하겠다”라고 덧붙였다.