합리적인 수준에서 개인정보 보호 노력 인정할 수 있어야
[데이터넷] 생성형AI로 인해 개인정보 보호가 새로운 국면을 맞게 됐다. 통제 일변도의 개인정보 보호 규제가 ‘자유로운 활용·강력한 보안’이라는 새로운 원칙을 적용받게 됐다. 세부 사항 하나하나 지정했던 기존의 개인정보 보호 규제는 빠르게 변하는 AI시대에 맞지 않으며, 자유로운 활용 문제 또한 고려해야 하는 시대가 됐다.<편집자>
챗GPT가 아니어도 정보유출은 날이 갈수록 심각한 문제가 되고 있다. 아무리 강력한 개인정보 보호 규제와 보안 시스템이 갖춰져 있어도 정보유출을 완벽하게 막지 못한다. 공격자들은 대비하지 못한 허점을 교묘하게 파고들고, 불만을 가진 내부자를 매수하거나 정상적인 업무 환경에서 사용자의 실수를 유도해 정보를 유출하도록 한다.
관리 소홀로 인한 정보유출 사고는 지금도 계속되고 있다. 과학기술정보통신부 조사에 따르면 29만7000여명의 개인정보를 유출시킨 LG 유플러스는 고객인증 시스템의 관리자 암호를 초기 상태로 방치하는 등 데이터 접근 통제 정책을 적용하지 않은 것으로 드러났다. LG 유플러스 뿐만 아니라 많은 기업들이 고객정보를 암호화하고 키를 관리하지 않거나 접근통제에 소홀하고, 관리자 계정을 보안에 취약한 상태로 방치해 정보유출 사고를 일으킨다.
개인정보보호위원회가 중앙부처·지자체·공기업 등 799개 공공기관에 대한 ‘2022년 개인정보 보호 관리수준 진단’ 결과를 공개했는데, 이 중 11곳이 최하등급인 D등급을 받았다. 이 기관은 개인정보처리시스템 접속기록의 안전한 관리, 개인정보 보호를 위한 인력·예산 등이 부족했으며, 개인정보 파기 및 다운르도 사유 미확인 등의 문제를 갖고 있는 것으로 나타났다.
개인정보위는 개인정보 보호 규제 위반 행위 중 66%가 안전조치가 미흡해서 발생한 것으로 분석했으며, 그 중 25%는 저장·전송시 암호화 위반, 22%는 접속기록 보관·점검 위반, 19%는 공개·유출 방지 조치 위반 등으로 나타났다.
기업 책임 강화한 개정 개인정보보호법
개인정보 유출사고를 막기 위해 세계 각국 정부는 강력한 개인정보 보호 규제를 마련하고 있으며, 우리나라 개인정보보호법도 강력한 규제 중 하나로 꼽힌다. 9월 시행되는 개인정보보호법 개정안에서는 개인정보 유출 사고 시 전체 매출액의 최대 3%까지 과징금을 부과하도록 해 개인정보 보호에 더 적극적으로 투자하도록 했다.
이정현 KISA 개인정보제도팀장은 “기존 개인정보보호법은 개인정보 침해에 대한 책임이 개인에 대한 형벌을 중심으로 했으며, 개인정보 보호 책임이 있는 기업에 대한 제재가 미미하고 개인정보 보호에 대한 기업의 투자를 촉진하지 못한다는 문제가 있었다. 그래서 이번 개정안에서는 정보통신서비스 제공자 등에 적용되는 과징금을 개인정보처리자로 확대하고 과징금 부과 기준도 상향시켜 기업의 투자를 유도하고자 한다”고 말했다.
개정 개인정보보호법은 정보주체의 권리를 한층 강화시켰다. 서비스를 이용하는 소비자에게 ‘개인정보 수집 동의’만 받으면 모든 활용이 가능하다는 ‘동의 만능주의’를 해결하기 위해 개인정보 처리방침 평가제를 도입하도록 했다. 동의 외에 개인정보 적법 처리 요건을 확대하고 개인정보 적정성 평가를 시행하도록 했다.
개인정보 국외이전 방식을 다양화하고 중지 명령을 신설했으며, 공개된 장소에서 드론, 자율주행차 등 이동형 기기의 영상정보처리기기의 사용을 원칙적으로 제한하되 정보주체의 동의가 있거나 촬영사실을 표시했는데 거부 의사를 밝히지 않은 경우 허용하기로 했다.
또 개정안에서는 개인정보 침해조사 시정명령 부과 요건을 개선해 조사를 거부할 때 부과하는 과태료를 상향했으며, 정당한 권한 없이 혹은 허용된 권한을 초과해 타인의 개인정보를 이용할 때 처벌 근거를 마련했다.
‘합리적으로 기대 가능한 정보보호 조치’ 이뤄져야
개인정보보호법에서 모든 개인정보 유출 사고에 대해 매출 3%의 과징금을 부과하는 것은 아니다. 개인정보 보호 의무 준수 수준을 따져 과징금을 부과하는데, 그 판단 기준은 개인정보 유출 규모뿐만 아니라 해킹·내부자 유출을 방지하기 위해 구축된 정보보안 기술 수준, 전체적인 보안 조치 내용, 투자규모, 사회 통념상 합리적으로 기대 가능한 정도의 보호 조치 등을 본다.
차윤호 KISA 개인정보조사단장은 “보안 시스템 설치, 인증 유무가 개인정보 보호 의무 위반을 판단하는 기준이 아니며, 침해사고 대응을 위한 합리적인 기대 수준 이상 준비가 돼 있는지를 점검한다. 이는 개인정보 안전성 확보를 위한 최소한의 기준”이라며 “또한 지속적으로 보안 기술의 적정성을 검증하고 개선하며, 이상행위 탐지, 대응 등의 실질적인 활동이 이뤄져야 한다”고 강조했다.
또한 개인정보보호법에서는 개인정보의 안전한 보호와 함께 활용할 수 있는 방안도 크게 확대했다. 2020년 데이터3법 개정으로 시작된 마이데이터 사업을 전 산업으로 확대할 수 있도록 개인정보 전송 요구권을 신설했다. 개인정보 전송요구권은 공공·금융 등 일부 분야에서 근거를 마련해 추진하고 있지만, 전 산업에 공통으로 적용되는 것은 아니었다.
개인정보 전송 요구권은 서비스 사업자에게 자신의 개인정보를 제3자에게 전송하도록 요구하는 권리를 말한다. 예를 들어 SNS 서비스를 사용하다가 다른 서비스가 더 매력적이라고 느낄 때 기존에 사용하던 SNS 서비스 사업자에게 새로운 서비스로 자신의 정보를 이동할 수 있다. 지금은 제3기관으로 전송이 어렵기 때문에 개인이 직접 데이터를 일일이 내려받아 이동시켜야 한다. 개인정보보호법에서 개인정보 전송요구권의 근거가 마련됨에 따라 전 산업 마이데이터 사업 추진에 한결 힘을 받게 됐다.
