article_right_top
개인정보보호위원회가 오는 6월부터 개인정보 침해 가능성을 사전에 차단하는 ‘위험도 기반 예방관리 체계’를 본격 가동한다. 기존의 사후 제재 중심 감독 방식에서 벗어나, 개인정보 처리 규모와 민감도에 따라 산업별 위험도를 구분해 맞춤형 점검과 예방조치를 강화하겠다는 구상이다.
이번 대책은 인공지능(AI), 플랫폼, 클라우드 서비스 확산으로 개인정보 유출 위험이 산업 전반으로 확대되고 있다는 판단에 따른 것이다. 정부는 5월 22일 경제장관회의에서 「예방 중심 개인정보 관리체계 전환계획」을 공개하고, 개인정보 침해·유출 위험을 사전에 탐지하고 관리하는 체계를 구축하겠다고 밝혔다. 개인정보위는 우선 개인정보 처리 규모와 민감정보 활용 수준 등을 기준으로 산업군을 고·중·저 위험군으로 나누고, 고위험 분야에는 정기·수시 실태점검을 집중 실시한다. 올해 중점 점검 대상에는 플랫폼 기업, 금융기관, 공공기관, 에듀테크 업계, 요양병원 등이 포함됐다.
특히 고위험 분야에 대해서는 점검 항목을 사전 공개한 뒤 내부 통제체계 운영 여부와 실제 보호조치 이행 상황까지 들여다볼 계획이다. 단순 서류 점검 수준을 넘어 실제 사고 예방 역량을 확인하겠다는 의미다. 반면 상대적으로 위험도가 낮은 분야에는 개인정보 영향평가와 ‘개인정보 보호 중심 설계(PbD)’ 원칙 적용을 유도하고, 자율점검 도구와 컨설팅을 제공하는 방식으로 관리 체계를 차등화한다. 필요한 경우 관계부처와 합동 점검도 병행된다.
정부는 개인정보 침해 위험을 구조적으로 분석하기 위한 ‘위험지도’ 구축에도 착수한다. 개인정보 처리 현황과 사고 가능성을 종합 분석해 취약 분야를 사전에 선별하고, 이를 점검 대상 선정에 활용할 방침이다. 오는 9월 도입되는 개인정보보호책임자(CPO) 지정 신고제를 계기로 민관 협력 기반의 위협 조기경보 체계도 강화된다. 개인정보위는 협회·단체와 핫라인을 구축해 최신 해킹·유출 정보를 실시간 공유하고, 유사 사고 확산을 사전에 차단하겠다고 설명했다.
신기술 분야에 대한 규제 사각지대 관리도 강화된다. 정부는 사물인터넷(IoT) 기기와 에이전트형 AI 서비스 등 신기술 영역에 대해 개인정보 침해 가능성을 선제적으로 점검하고, 기존의 획일적 안전조치 기준도 위험 수준에 따라 차등 적용하는 방향으로 제도 개편을 검토한다. 기업의 자발적 보호 투자 확대를 유도하기 위한 정책도 병행된다. 개인정보위는 서비스 기획·설계 단계부터 개인정보 보호를 기본값으로 반영하는 ‘PbD 원칙’을 법제화하고, 기존 인증·평가 체계에도 이를 반영할 예정이다.
또 기업들이 최소 법적 기준만 충족하는 수준을 넘어 추가적인 보호조치를 시행하도록 유도하기 위해 정보보호 공시 항목 확대도 추진된다. 추가 보호활동과 내부통제 체계 운영 사실이 확인될 경우 과징금 감경 등 인센티브도 제공할 계획이다. 이와 함께 클라우드, SaaS(서비스형 소프트웨어), 전문수탁업체 등 공급망 전반에 대한 관리 강화와 함께 개인정보 보호 강화기술(PET) 연구개발, 전문인력 양성도 병행 추진된다.
송경희 개인정보위 위원장은 “관계부처와 협력하여 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다.”라고 밝혔다.
-이정직기자
이정직기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
