플랫폼·클라우드 정조준…개인정보 규제 '사후 제재'서 예방으로

[경제일보] 인공지능(AI)과 클라우드 기반 서비스 확산으로 개인정보 유출 위험이 커지면서 정부가 개인정보 규제 체계를 사후 제재 중심에서 예방 중심으로 전환한다. 대규모 개인정보를 처리하는 플랫폼과 금융권, 클라우드·서비스형 소프트웨어(SaaS) 업계를 중심으로 상시 점검과 보호 투자가 확대될 것으로 전망된다.

22일 개인정보보호위원회는 경제장관회의에서 '예방 중심 개인정보 관리체계 전환계획'을 발표했다고 밝혔다. 개인정보 침해와 유출 사고가 발생한 이후 제재하는 방식에서 벗어나 위험 가능성을 사전에 식별하고 관리하는 방향으로 정책 체계를 전환하겠다는 취지로 진행됐다.

개보위는 최근 생성형 AI와 플랫폼, 클라우드 서비스 확산으로 개인정보 처리 규모와 활용 방식이 급격히 확대되면서 개인정보 보호 문제가 산업 전반의 핵심 리스크로 떠오르고 있다는 판단이 반영됐다고 설명했다. 특히 AI 서비스 운영 과정에서 대규모 데이터 수집과 분석이 이뤄지고 SaaS와 클라우드 기반 서비스가 빠르게 늘어나면서 기존 획일적 규제 체계로는 대응에 한계가 있다는 지적이 이어져왔다.

개인정보위는 앞으로 개인정보 처리 규모와 민감도, 산업 특성 등을 기준으로 고·중·저 위험군을 구분해 차등 관리에 나설 계획이다. 고위험군에는 정기·수시 점검과 내부통제 점검을 강화하고 상대적으로 위험도가 낮은 분야는 자율점검과 컨설팅 중심으로 관리 체계를 운영한다.

올해는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보와 민감정보를 처리하는 분야를 중심으로 집중 점검이 이뤄질 예정이다. 100만명 이상 개인정보를 처리하는 사업자는 고위험군으로 분류돼 영향평가와 보호활동 공개, 보안 점검 등이 강화된다.

특히 정부는 SaaS와 클라우드, 전문 수탁업체 등 데이터 공급망 전반에 대한 관리도 확대한다. AI 서비스 상당수가 클라우드 기반으로 운영되는 만큼 개인정보 보호 책임이 플랫폼 기업뿐 아니라 인프라 사업자까지 확대되는 구조다.

이에 국내 클라우드 업계의 보안 투자 경쟁도 본격화될 가능성이 제기된다. 네이버클라우드와 KT클라우드, NHN클라우드 등 주요 사업자들은 최근 AI 인프라 확대와 함께 보안 체계 강화에 집중하고 있다. 삼성SDS와 LG CNS 등도 기업 대상 AI·클라우드 전환 사업과 함께 개인정보 보호 체계 구축 사업을 강화하는 분위기다.

정부는 개인정보 보호 중심 설계(PbD) 원칙도 확대 적용할 방침이다. 기존에는 일부 IP카메라와 로봇청소기 등에 한정됐지만 앞으로는 서비스 기획과 설계 단계부터 개인정보 보호 요소를 반영하도록 제도화를 추진한다. ISMS-P 인증과 각종 평가 체계에도 PbD 원칙이 반영될 예정이다.

기업들의 자발적 보호 투자 확대를 유도하기 위한 인센티브 제도도 마련된다. 개인정보 보호 활동과 내부통제 체계를 적극 공개하거나 법정 기준을 넘어서는 추가 보호조치를 적용할 경우 과징금 감경 등 혜택을 제공하는 방식이다.

특히 오는 9월부터 개인정보보호책임자(CPO) 지정 신고제가 도입되면서 기업 내부 통제 체계 관리도 강화된다. 개인정보위는 CPO 협의체와 핫라인을 운영해 최신 위협 정보를 공유하고 유사 사고에 대한 사전 대응 체계도 구축할 계획이다.

송경희 개인정보위 위원장은 "관계부처와 협력하여 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다"고 말했다.