article_right_top
인공지능(AI) 확산과 플랫폼 경제 고도화로 개인정보 유출 위험이 급증하자 정부가 기존의 사후 처벌 중심 체계를 대대적으로 뜯어고친다. 앞으로는 국가가 직접 고위험 개인정보 시스템을 상시 점검하고, 반복 위반 기업에는 최대 매출액 10% 수준의 초강력 과징금을 부과하는 반면, 선제적 보안 투자 기업에는 감경 혜택을 제공하는 ‘예방 중심’ 체계가 본격 도입된다. 개인정보보호위원회는 5월 12일 대통령 주재 국무회의에서 이 같은 내용을 담은 「예방 중심 개인정보 관리체계 전환 계획」을 보고했다고 밝혔다.
이번 대책은 AI 서비스 확대와 데이터 기반 산업 성장 속에서 대형 개인정보 유출 사고가 잇따르는 상황에 대응하기 위한 중장기 구조 개편 성격이 강하다. 핵심은 “사고 발생 후 처벌”이 아니라 “유출 자체를 사전에 차단”하는 방향으로 정책 축이 이동했다는 점이다. 정부는 올해 하반기부터 주요 공공시스템과 대규모 개인정보를 처리하는 약 1,700개 고위험 시스템을 대상으로 직접 정기 점검에 나선다. 이 가운데 주요 공공시스템 387개는 개인정보위가 집중 관리한다.
제재 수위도 대폭 강화된다. 반복적이거나 중대한 개인정보보호법 위반 행위에 대해서는 최대 매출액의 10%까지 과징금을 부과할 수 있도록 하고, 과징금 산정 기준 역시 기존 ‘3년 평균 매출액’에서 ‘직전 연도 매출액’과 비교해 더 큰 금액을 적용하도록 바뀐다. 증거 은닉 행위에 대한 처벌도 강화되며, 내부 신고를 유도하기 위한 신고포상금 제도도 도입된다. 반면 개인정보 보호에 적극 투자한 기업에는 인센티브를 제공한다. 법적 최소 기준을 넘어서는 보안 체계 구축, 선제적 보호조치, 실질적 안전관리 운영 여부 등을 종합 평가해 과징금 감경 등의 혜택을 부여할 방침이다. 단순 규제 강화가 아니라 기업 스스로 보호 역량 경쟁에 나서도록 유도하겠다는 전략이다.
특히 정부는 개인정보 관리의 새로운 기준으로 ‘개인정보 중심 설계’를 제도화하기로 했다. 이는 서비스 기획 단계부터 개인정보 보호 요소를 시스템 구조에 내재화하는 방식으로, 출시 이후 사고 대응보다 설계 단계 예방에 초점을 맞춘다. 앞으로 개인정보 영향평가와 ISMS-P 인증 기준에도 이 원칙이 반영된다. 온라인 플랫폼과 공급망 전반에 대한 감시도 확대된다. 개인정보위는 클라우드 사업자, 전문 수탁사, 시스템 공급업체까지 포함한 공급망 전체를 관리 범위에 넣기로 했다. 또한 AI 기반 모니터링 체계를 활용해 온라인상 위해 요소와 불법 개인정보 유통을 상시 탐지할 계획이다.
피해구제 체계 역시 강화된다. 개인정보 유출 사고가 발생할 경우 기업과 기관이 원칙적으로 손해배상 책임을 지도록 하고, 입증 책임도 상당 부분 기업 측에 부담시키는 방향으로 법정 손해배상 제도를 활성화한다. 다크패턴을 활용해 탈퇴나 동의 철회를 어렵게 만드는 행위도 집중 점검 대상에 포함된다. 민감정보 유출에 대해서는 SNS와 온라인 공간에서의 불법 유통 여부를 추적·삭제하고, 수사기관과 협력해 유포자와 이용자까지 끝까지 추적한다는 방침이다.
개인정보위 송경희 위원장은 “모든 사고가 그렇듯이, 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다.”라며, “개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축하여 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다.”라고 밝혔다.
-심해영기자
심해영기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
