[서울=뉴스핌] 양태훈 기자 = 개인정보보호위원회(이하 개인정보위)가 AI 확산에 대응해 개인정보 정책의 방향을 '사후제재'에서 '사전예방' 중심으로 전환하기 위한 민관 협력 논의에 나섰다.

23일 개인정보위는 한국CPO협의회와 서울 한국광고문화회관에서 'AI 심화 시대 사전예방 중심 개인정보 보호체계 마련'을 주제로 '2025년 하반기 개인정보 정책포럼'을 열었다. 이번 포럼은 송경희 위원장 취임 후 첫 정책 소통 행사로, 공공·민간 최고 개인정보 보호 책임자(Chief Privacy Officer, CPO)와 학계·산업계 전문가 등 200여 명이 참석했다.

송경희 개인정보보호위원장은 이날 행사에서 "최근 연이어 발생한 대규모 해킹·유출 사고는 국민의 신뢰를 근본적으로 흔드는 사안"이라며 "이제는 제재와 조사 중심의 사후 대응에서 벗어나, 사전에 위험을 식별하고 예방할 수 있는 능동적 보호체계로 전환해야 한다"고 강조했다.

이어 "국민이 체감할 수 있는 실질적 보호 환경을 만드는 것이 최우선 과제"라며, "이를 위해 AI와 클라우드 등 새로운 기술환경에 맞는 안전관리 기준을 재정비하고, 기업의 자율보호 노력에 대해서는 정밀 평가를 통해 합리적으로 책임을 완화할 수 있는 제도적 장치도 함께 마련하겠다"고 밝혔다.

또 "피해가 발생한 뒤의 징벌보다, 피해가 발생하지 않도록 만드는 예방 체계가 더 중요한 시대"라며 "CEO의 보안책임 명문화, CPO의 권한 강화, 민·관 협력 기반의 자율보호 체계 확립이 앞으로의 정책 방향이다. 정부가 주도하고 기업이 참여하는 실질적 보안 거버넌스를 통해, 국민이 안심할 수 있는 데이터 사회를 만드는 데 최선을 다하겠다"고 덧붙였다.

염흥열 회장은 AI 혁신과 개인정보보호의 균형, 민관 협력, CPO 역할 강화를 축으로 한 '동반 성장형 사전예방 체계 전환'을 촉구했다.

염흥열 회장은 "AI 심화 시대의 개인정보 보호 정책은 사후 대응 중심에서 사전 예방 체계로 전환해야 한다"고 강조했다.

염 회장은 "인공지능의 급속한 발전이 경제·산업 혁신을 촉진하고 있지만, 그 이면에는 개인정보 오남용과 프라이버시 침해라는 새로운 도전 요인이 존재한다"며 "기술과 제도의 선제적 대응이 병행돼야 한다"고 말했다.

아울러 "일례로 프라이버시 강화 기술(PETs)은 개인정보를 최소한으로 수집하면서도 최대한 활용할 수 있는 핵심 수단"이라며 "정부가 이러한 기술의 연구개발과 기업 대상 기술 지원, 인력양성, 교육 프로그램을 적극 추진하고 있는 만큼, 민간도 이에 발맞춰 기술적 투자를 확대해야 한다"고 강조했다.

나아가 "AI와 개인정보 보호는 대립적 관계가 아니라 상호 보완적인 관계로 함께 발전해야 한다"며 "국민이 안심할 수 있는 개인정보 보호 관리체계 확립을 국정 과제로 채택한 만큼, 정부와 기업, 국민 모두가 협력해야 한다"고 덧붙였다.

◆ "공격표면 줄이고 사전예방 강화"…공공·민간 현장 경험 공유

전문가들은 AI와 클라우드 환경에서 개인정보 침해 위험이 커지는 가운데, 자산 식별과 공격표면 관리 등 기본 보안관리의 정착이 무엇보다 중요하다고 입을 모았다.

김휘강 고려대학교 교수는 "최근 사고 대부분은 자산 식별 실패나 외부 노출 취약점 방치에서 비롯된다"며 "기업과 기관은 시스템 자산을 정확히 파악하고, 공격 가능 영역을 최소화하는 '공격표면 관리' 개념을 제도적으로 정착시켜야 한다"고 강조했다. 그는 또 "자격 증명 강화, 로그 기반 탐지, 내부망 다단계 방어 등 기본적 보안조치가 여전히 핵심"이라며 "사이버 위협정보(CTI)와 취약점 우선순위 평가(EPSS)를 활용해 실효성 있는 대응 체계를 갖춰야 한다"고 말했다.

공공 부문에서는 상시 모니터링과 민감정보 분산처리를 통한 사전예방 강화 전략이 제시됐다. 김유석 사회보장정보원 정보보호본부장은 "2시간 단위 상시 모니터링 체계로 접근 이상행위를 실시간 탐지하는 사전경보 시스템을 운영하고 있다"며 "내년 구축되는 'AI 인퍼런스 클라우드 센터'에서는 민감정보를 가명처리·암호화·분산 저장해 단일 사고 가능성을 원천적으로 낮출 계획으로, 4만 5000여 명을 대상으로 한 현장형 보안 교육과 전문강사 양성 프로그램도 병행 중"이라고 전했다.

민간에서는 투자 지속과 내부통제 고도화를 통한 자율적 보호 사례가 공유됐다. 지정호 비바리퍼블리카 최고정보보안책임자(Chief Information Security Officer, CISO)는 "IT 예산 대비 보안 투자 비중을 상시 두 자릿수(10%대)로 유지하고 있다"며 "전사 DLP 체계를 자체 개발해 텍스트·OCR 탐지부터 협업툴, 클라우드, 엔드포인트까지 일관 정책으로 통제한다"고 설명했다.

또 "생성형 AI 보안통제는 API 게이트웨이 기반으로 프롬프트 공격과 개인정보 노출을 실시간 차단하고 있다"며 "자산은 물리·클라우드·애플리케이션·CI/CD 전 과정까지 전수 정의·검증해 관리한다"고 전했다.

◆ "제도 실효성 높이고 피해구제 현실화"…민관, 예방 중심 정책 전환 한목소리

패널토론에서는 공공·민간 전문가들이 징벌적 제재 중심의 현 체계에서 벗어나, 실효적 예방과 피해구제 중심으로 개인정보보호 제도를 전환해야 한다고 입을 모았다.

김도승 전북대학교 교수(개인정보보호법학회 회장)는 "과징금이 일반회계로 흡수되면 피해구제나 재발방지로 이어지지 않는다"며 "유출 피해자를 직접 지원하고 재발방지 투자를 유도할 '피해구제 기금' 도입이 필요하다"고 제안했다.

이어 "AI 시대 개인정보위가 다뤄야 할 정책 규모와 위험 수준이 커진 만큼 조직·예산 확충을 통한 역량 강화가 필수"라고 강조했다.

김병필 한국과학기술원 교수는 "AI 에이전트 시대의 위험은 학습 데이터보다 실행 과정에서 투입되는 개인 데이터 관리 실패에 있다"며 "사용자가 인지하지 못한 상태에서 대량의 개인정보가 AI 입력값으로 사용되는 구조를 통제할 새로운 법제 패러다임이 필요하다"고 지적했다.

또한 "동의 중심 체계만으로는 위험 통제가 어렵다"며 "데이터의 고지·통제·최소화를 중심으로 한 '실행 데이터 보호' 프레임워크를 마련해야 한다"고 강조했다. 

민간 기업들은 현실적 기준과 인센티브 기반의 자율규제 강화를 주문했다. 신용석 토스페이먼츠 CPO는 "보안투자 비율 10%는 도전적이지만 충분히 달성 가능한 목표"라며 "개인정보 전담 인력 확충과 공시체계 세분화로 기업 간 선의의 경쟁을 유도해야 한다"고 말했다.

나아가 "전 서버 분기별 취약점 점검과 연 2회 모의해킹, 버그바운티, 암호화 범위 확대를 상시 시행 중"이라며 "수탁사 점검을 효율화할 표준화·인센티브 제도 도입이 필요하다"고 제안했다.

김형준 현대자동차 팀장은 "의무 모의해킹·취약점 점검을 실효성 있게 운영하려면 '주요 개인정보처리 시스템' 기준을 명확히 해야 한다"고 강조했다. 또한, 김 팀장은 "대량·민감정보 처리 시스템 중심의 집중심사로 인증의 깊이를 높이고, 시장지배적 수탁사에 대해서는 정부가 공동점검에 나설 필요가 있다"고 전했다.

제도 개선을 위한 구체적 실천방안도 나왔다. 김경하 제이앤시큐리티 대표는 "정보보호 및 개인정보보호 관리체계(ISMS-P) 인증은 리스크 기반 PDCA(Plan, Do, Check, Act) 체계가 본질인데, 현재는 형식적 평가로 흐르고 있다"며 "심사 품질을 높이고, 위험도에 따라 기간·비용을 차등화하는 등 인증제의 실효성을 강화해야 한다"고 말했다.

의료·공공 분야에서는 균형 잡힌 제재와 인센티브 구조가 필요하다는 지적도 나왔다. 황희 카카오헬스케어 대표는 "인증 무용론은 과도하다. 투자와 인증을 충실히 이행해도 무결보장은 어렵지만, 합리적 인센티브가 병행돼야 기업이 적극적으로 투자할 수 있다"고 말했다.

황 대표는 "레거시 시스템을 사용하는 중소 의료기관을 위한 기술·가이드 지원을 확대하고, 마이데이터 산업이 신뢰를 기반으로 재도약할 수 있도록 규제와 진흥의 균형을 맞춰야 한다"고 강조했다.

임현정 국민건강보험공단 CPO는 "공공기관은 예산제약 때문에 개인정보보호 인센티브가 바로 집행되기 어렵다"며 "예산 편성 시 개인정보보호 성과와 연계하도록 제도화해야 한다"고 말했다. 그는 "경영평가에서 개인정보보호 지표 비중이 0.25점에 불과하다"며 "지표 상향과 ISMS-P 심사 후 컨설팅형 권고 의무화로 예방 중심 행정이 자리 잡을 것"이라고 덧붙였다.

dconnect@newspim.com