검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개보위'통합검색 결과 입니다. (111건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

송경희 개보위원장, 여성의 달 계기 '사이버 외교 특별 강연'

3월 '여성의 달'을 맞이해 송경희 개인정보보호위원회(개인정보위) 위원장은 30일 주한필리핀대사관을 찾아 '사이버 외교 특별 강연'에 나섰다. 이날 송 위원장은 '디지털 전환 시대의 인공지능(AI) 및 개인정보 주요 정책에 대해 발표했다. 이번 강연은 '서울 시스터즈'로 불리는 주한 여성 대사들을 중심으로 인공지능 및 사이버 안보 등 주요 현안과 협력 방안을 논의하기 위해 마련됐다. 송 위원장은 한국의 AI 및 개인정보 보호 정책 환경과 함께 안전하고 책임 있는 데이터 활용 환경 구축을 위한 개인정보위의 주요 정책 방향을 소개했다. 아울러 데이터 활용 과정에서 소외나 왜곡이 발생하지 않도록 여성과 아동·청소년 등 다양한 사회 구성원에 대한 고려가 필요하다고 언급했다. 또 신뢰 기반의 AI 생태계를 조성하기 위해 국제사회의 협력도 중요하다고 강조했다. 송 위원장은 “AI와 디지털 기술의 발전이 모두를 포용하는 방향으로 나아가기 위해서는 신뢰 기반의 책임 있는 데이터 활용이 필수적”이라며, “앞으로도 국제사회와 긴밀하게 합력하여 누구도 소외되지 않는 디지털 환경을 조성해 나가겠다”라고 밝혔다.

2026.03.30 15:39김기찬 기자

쿠팡 사태로 '예스24' 랜섬웨어 뒷전...조사만 9개월째

예스24 랜섬웨어 해킹 사건이 발생한지 9개월이 지났음에도, 개인정보위원회의 조사가 지연되고 있다. 기술 지원을 나갔던 한국인터넷진흥원(KISA)은 이미 결과 자료를 보냈지만, 피해 경위·규모 종합 발표와 과징금 등 제재 수위 결정이 계속 미뤄지고 있는 것이다. 정부는 지난해 쿠팡 사태 등 잇단 침해사고가 발생하면서 피해 규모나 영향이 큰 사건부터 처리하다 보니 조사 결과 발표가 늦어지고 있다는 입장이다. 29일 과학기술정보통신부와 KISA에 따르면 이들은 예스24 측에 지난해 6월 발생한 랜섬웨어 관련 해킹 사건 기술 지원 결과 자료를 같은 해 가을경 전달했다. 당시 예스24는 랜섬웨어 공격으로 인해 닷새간 홈페이지, 스마트폰 앱 접속이 마비됐다가 서비스를 순차적으로 재개했다. 이 때 예스24는 시스템 점검으로 서비스가 일시적으로 제한된다고 공지했으나, 정치권에서 자료를 통해 랜섬웨어로 인한 서비스 장애라는 사실이 밝혀지며 결국 해킹 사실을 시인한 바 있다. 지원 종료 OS 사용 등이 원인 중 하나…백업 시스템 보완 권고 KISA는 정보통신망법 제48조 3에 따라 침해사고가 발생하면 정확한 원인 분석과 대응조치 방안을 지원한다. 구체적으로 발생 원인 및 침투 경로를 분석하고, 침해사고를 당한 기업에 대응조치 방안을 안내한 후 재발방지를 위해 침해 원인을 제거하는 작업에 착수한다. 랜섬웨어 피해 당시 예스24는 KISA에 적극 협조하고 있다고 주장했지만, KISA의 기술지원을 거부했던 사실이 뒤늦게 밝혀져 비난을 샀다. 이후 결국 예스24는 KISA의 기술지원을 받았으나, 침해사고 발생 약 9개월이 흐른 현재까지 종합적인 조사 결과를 발표하지 않아 피해 규모나 경위를 파악할 수 없는 상황이다. KISA가 전달한 기술 지원 결과 자료에는 사고 신고 시점과 원인, 보완 조치 방안들이 담겼다. 예스24는 사고 발생 당일인 지난해 6월 9일 신고를 접수했으며, 원인은 알려진 바와 같이 랜섬웨어로 밝혀졌다. 기술 지원이 지난 윈도 운영체계(OS)를 사용한 것 또한 사고 발생 원인 중 하나로 꼽힌다. 예스24는 윈도 서버 2018과 윈도 서버 2012를 병행 사용하고 해왔는데, 이 중 전체 시스템의 5%를 출시 13년이 넘은 윈도 서버 2012로 운영해왔다. 윈도 서버 2012는 2023년 10월 공식 지원이 종료돼 제작사인 마이크로소프트(MS)의 보안 패치 업데이트를 받을 수 없어 사이버 공격에 취약해질 수밖에 없다. 예스24에 침투한 랜섬웨어는 업무망, 서비스망 등에 접근해 악성코드를 감염시켰다. 당시 예스24는 공격자에게 수십억원 상당의 암호화폐를 지불하는 식으로 서비스를 복구한 것으로 알려졌다. 단, 이에 대한 사실유무를 회사 측이 밝힌 적은 없다. 이후 2개월 뒤 예스24는 또 다시 랜섬웨어 공격에 당해 서비스가 마비됐다. 보안업계에 따르면 한 번 랜섬웨어 공격에 타깃이 되고 금전을 지불해 협상에 응하게 되면, 공격자들 사이에서 타깃이 되기 십상이다. 다만 두 번째 공격에서 예스24는 백업 데이터를 통해 7시간 만에 서비스를 복구했다. 현재까지 상황을 요약하면 예스24는 1차 랜섬웨어 당시 KISA의 기술지원 절차가 완료됐고, 2차 랜섬웨어 때에는 백업 데이터로 복구했다. 서비스를 지속하기 위한 조치는 한 셈이다. 그러나 침해사고 과정에서 개인정보 유출이 있었다면, 피해 경위 및 규모 파악 외에도 과징금 부과 등 제재 절차가 남아있다. 과학기술정보통신부 및 개인정보보호위원회 등 유관기관은 침해사고 이후 위법사항이 발견되면 행정조치나 과징금 부과 등 제재를 가한다. “침해사고 조사, '선입선출' 아니다…파급 큰 사건부터 해결하느라 지연” 예스24 랜섬웨어 사태에 대한 기술적인 조치는 마쳤지만, 행정적인 절차는 끝맺음을 짓지 못하고 있다. 지난해 이례적으로 대형 침해사고가 연달아 터지면서 조사 인력 부족, 대형 침해사고 선결 등의 이유로 조사 단계에만 방치된 모양새다. 개인정보위 관계자는 예스24의 조사 결과 발표 지연과 관련해 “개인정보 유출신고에 대한 조사는 '선입선출' 식이 아니다”라며 “쿠팡이나 KT처럼 사건의 중요도에 따라 먼저 진행하는 식이기 때문에 다른 사건의 경우 조사가 지연되는 경우가 있다”고 밝혔다. 과기정통부 관계자는 “지난해 통신사 해킹 사태 등과 같이 큰 사고는 대대적인 조사를 통해 조사 결과를 발표한다”면서 “(예스24 랜섬웨어 사태는) 민관합동조사단이 꾸려지지 않아 특별히 조사 결과를 발표하지 않았던 것”이라고 설명했다. 사안이 큰 침해사고를 우선적으로 조사하기 때문에 조사가 지연되고 있다는 것이 관계부처의 중론이다. 실제 전문가들도 예스24 조사 결과 발표 지연과 관련해 같은 견해를 내비치고 있다. 이용준 극동대 해킹보안학과 교수는 “개인정보위, 과기정통부 등 여러 주무부처가 침해사고 조사 과정에 투입되다 보니 부처 간 합의점을 도출하기까지 시간이 오래 걸린다”며 “지난해 이례적으로 많은 사고가 터지다 보니 개인정보위와 과기정통부에 조사가 많이 밀려 있는 상태”라고 설명했다. 이 교수는 이어 “뿐만 아니라 조사에 투입되는 인원들이 대형 로펌 등으로 이직하는 경우가 잦아 조사 자체에 투입되는 인력이 부족한 상황”이라면서 “사고 조사에 투입되는 인원들에 대한 증원이 필요한 상황”이라고 말했다. 익명을 요구한 보안업계 관계자는 “과기정통부나 개인정보위가 쿠팡 사태 조사로 예스24에 대한 관심은 뒷전”이라며 “명확히 구분하면 과기정통부는 침해 경위 등에 대해 조사 결과를 발표하고, 개인정보위는 유출 사실에 대한 위법 사항을 살펴보고 징계를 내리는 부처다. 과기정통부, 사고조사기관, KISA가 합의점을 도출해 침해 경위를 밝히고, 개인정보위 역시 조사를 끝마쳐야 하는데 이런 합의가 미뤄지고 있는 것으로 보인다”고 설명했다. 결국 정확한 침해 경위 파악과 함께 개인정보 유출 시 매겨질 과징금 산정이 남은 절차다. 이 과정에서 짚어야 할 대목은 보안 조치 의무 위반, 개인정보보호법 위반 등의 사항이다. 현행 정보통신망법은 침해사고 발생 정황 인지 시점 24시간 내에, 개인정보 유출 사실은 유출 시점 인지 72시간 이내 당국에 신고하도록 규정하고 있다. 이를 어길 시 최대 3000만원의 과태료를 부과받을 수 있다. 예스24 해킹 사건의 경우 개보위 측은 회사의 신고를 받고 조사에 착수했으며, 신고 시점은 지난해 6월 11일이다. 예스24가 사고를 인지했다고 공지한 시간은 6월 9일 새벽 4시경이다. 개보위 관계자는 “6월 9일은 예스24에서 침해 사고를 인지했다고 주장한 시점”이라며 “기록 등을 보면서 정확한 조사 결과가 나와야 인지 시점이 맞는지 추정해볼 수 있다”고 설명했다. 예스24는 “(종합)조사 결과 기다리고 있다”며 “조사 결과에 대해 하나하나 이야기하는 것은 맞지 않다. 전체적인 결과를 종합적으로 봐야한다”고 답했다.

2026.03.29 08:00박서린 기자

개보위 "공공 387개 시스템 연 1회 이상 해킹 테스트 해야"

개인정보위가 지정한 주요 공공시스템(58개 기관 387개 시스템)의 개인정보 보호 수준이 강화된다. 취약점 점검과 외부 전문가를 활용한 침투테스트(모의해킹)를 각각 연 1회 이상 시행해야 하고 또 점검 결과 확인된 취약점은 지체 없이 보완 및 개선해야 한다. 25일 개인정보보호위원회는 제5회 전체회의를 열고 이 같은 내용을 담은 '공공부문 개인정보보호 강화를 위한 제도개선 추진 방안'을 위원들에게 보고했다. 공공부문의 개인정보 유출 신고는 2021년부터 2025년까지 지속적으로 증가하는 추세다. 5년간 전체 유출규모의 95%가 외부 해킹에 의한 유출에 해당하며, 신고건수 기준으로는 인적 과실에 의한 유출이 61%를 차지했다. ■ 취약점 점검·침투테스트 의무화로 예방 탐지 강화 이에 외부 해킹으로 인한 유출사고를 예방하기 위해 개인정보위가 지정한 주요 공공시스템(이하 집중관리시스템, 58개 기관 387개 시스템)을 대상으로 개인정보 보호 수준을 강화할 계획이다. 앞으로 집중관리시스템은 취약점 점검과 외부 전문가를 활용한 침투테스트(모의해킹)를 각각 연 1회 이상 시행하고, 점검 결과 확인된 취약점은 지체 없이 보완 및 개선해야 한다. 개인정보위는 이러한 내용을 담은 '개인정보의 안전성 확보조치 기준(고시)'을 즉시 개정하고 내년부터 시행할 방침이다. ■ 적극적 시정명령 및 보호수준 평가 연계 강화 또한 개인정보위는 인적 과실에 의한 개인정보 유출에 대해 종전에는 재발방지 및 주의 촉구 등을 통해 개선을 유도했지만 앞으로는 시정명령을 적극 부과하며, 2026년도 공공기관 개인정보 보호수준 평가 시 보호법 위반으로 처분(시정명령 포함)받은 공공기관에 대한 감점을 대폭 확대, 처분 실효성을 높일 계획이다. 공공기관 개인정보 보호수준 평가는 '개인정보 보호법' 제 11조2에 따라 공공기관의 개인정보보호 관련 의무 준수 여부 및 기관장 노력 등을 평가하는 제도로, 구체적인 평가 기준 등은 올 상반기에 발표할 예정이다. ■ 징계권고 기준 상향 현재 개인정보위 내부지침으로 운용 중인 '개인정보보호 법규 위반에 대한 징계권고 기준'을 고시로 격상, 대외적 효과를 강화하는 한편 개인정보보호 담당에 대한 포상·인센티브 지급 등의 방안도 적극 검토할 예정이다. ■ 맞춤형 콘텐츠 제작 및 교육 강화 마지막으로 개인정보위는 공공부문에서 자주 발생하는 오입력, 오발송, 오공개 등 반복 사례 및 우수 사례를 중심으로 개인정보보호 맞춤형 교육 콘텐츠를 제작·배포하고, 2026년도 보호수준 평가 권역별 설명회와 연계한 담당자 교육을 실시, 현장 실무자의 개인정보보호 예방 역량을 높여 나갈 계획이다. 개보위는 "공공기관이 국민 개인정보를 대규모로 처리하는 만큼 공공부문 사고 특성에 맞는 예방 중심의 관리체계를 강화해 나갈 계획"이라면서 "아울러 해킹 등 외부 위협과 인적 과실에 각각 효과적으로 대응할 수 있는 제도 개선을 통해 공공영역 전반의 실질적인 개인정보보호 수준을 높여 나갈 방침"이라고 밝혔다.

2026.03.26 11:00방은주 기자

전문가들 "개인정보보호 패러다임 사전예방 중심 바꿔야"

"최근 5년간 개인정보 유출 신고는 2배 늘었고, 유출 규모도 8배 이상 증가했다. 이는 '소 잃고 외양간 고치기' 식의 사후제재 중심 개인정보 보호체계의 한계를 보여준다. 사전예방적인 패러다임 전환을 논의해야 할 시점이다" 김도승 전북대 법학전문대학원 교수는 23일 오전 10시 국회의원회관 제8간담회의실에서 개최된 '사전예방 중심 개인정보 보호 체계 구축을 위한 토론회'에서 이같이 밝혔다. 김 교수는 쿠팡이나 SK텔레콤 등에 보안 사고가 터진 이후 여러 정책적인 논의가 오갔지만 가장 부각됐던 부분은 결국 징벌적 과징금이었다면서 "연이은 사고로 사휴 제재 강화는 계속해서 누적됐다. 이러한 대응은 단기적으로는 사회적 경각심을 높이는 효과가 있지만, 정책 구조 전체를 사후 책임 중심으로 고착시키는 요인이 된다"고 짚었다. 이에 그는 사후 제재에서 사전 예방하는 방향으로 개인정보 보호 체계가 전환돼야 한다면서 "개인정보 보호 패러다임은 이제 사고 이후 책임을 묻는 시대를 넘어 위험을 설계 단계에서부터 관리하는 예방적 거버넌스로 전환돼야 한다"고 강조했다. 사전 예방 중심의 개인정보 보호 체계를 위한 선결조건으로 김 교수는 '개인정보보호위원회의 인력, 재원, 역량 확보'를 내세웠다. 그는 "예방적 보호체계가 실질적으로 작동하기 위해서는 감독기관이 위험을 사전에 식별하는 것이 중요하다. 개인정보보호위원회는 공정거래위원회, 국민권익위원회, 금융위원회 등 조직 대비 예산 및 인력 규모가 현저히 부족하다"며 "과징금 등 사후 제재로 발생한 재원을 피해구제와 개인정보보호위원회 역량 강화에 재투자하는 식으로 활용해야 한다"고 말했다. 최경진 교수 "개인정보보호가 기본값이 되는 사회 만들어야" 최경진 가천대 법학과 교수는 이날 토론회 발제자로 나서 개인정보 보호가 기본값이 되는 사회를 만들어야 한다고 주창했다. 이를 위해 데이터 생애주기 전반에 걸친 개인정보 보호체계를 마련해야 한다고 강조했다. 아울러 그는 개인정보 보호 정책 패러다임이 나아가야 할 방향에 대해 ▲사전 예방 중심 ▲위험 기반 비례적 접근 ▲실효적 사고 대응 ▲능동적 회복력 확보 등을 제시했다. 그는 "사후제재가 필요하지 않다는 것이 아니다. 그간 사후제재가 강화되면서 사고 이후 책임을 물을 수 있는 기반이 마련됐으니, 이런 억제력을 바탕으로 전주기적인 개인정보 보호체계가 필요한 것"이라며 "개인정보 처리에 따른 효용 증대를 안정적으로 뒷받침하고 효과적인 위험관리와 신속한 회복이 연결되며 내재화되는 개인정보 보호체계로 대전환해야 한다"고 말했다. 이를 위해 최 교수는 3가지 방안을 제시했다. 그는 "'데이터 햇볕정책'이 필요해 보인다. 햇볕정책도 강력한 군사적 억지력이 없으면 나올 수 없었던 정책이었다"라며 "현재까지 만들어놓은 각종 처별규정은 강력한 억제력에 해당한다. 하지만 불가피하게도 억지력만 강화하면 올바른 방향으로 정책을 마련할 수 없다. 개인정보 보호를 잘 지키면 더 큰 이득을 얻을 수 있고 지속가능한 사업을 영위할 수 있겠다는 생각을 기업들에게 심어주는 정책이 필요하다"고 밝혔다. 이어 그는 "'점'으로 된 개인정보 보호 체계를 '선'으로 이어야 한다"며 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등 보안 인증들은 어느 한 시점에 '스냅샷' 형식으로 보안의 수준을 평가하고, 전주기적인 검증이 이뤄지지 않는다. 따라서 시계열적으로 개인정보 보호체계가 적절하게 운영되고 있다는 것을 보여주기 위한 선형적 체계가 마련될 필요가 있다"고 강조했다. 이 외에도 최 교수는 입체적인 접근 방식으로 개인정보 보호 체계를 개선해야 한다고 주장했다. 방화벽, 내부자 위협 등 개인정보 보호 영역이 연결될 수 있도록 평명적인 규제에서 탈피해야 한다는 것이다. 개보위, 사전 예방 중심 종합 대책 조만간 발표 발제자들의 발표가 끝난 이후 ▲고낙준 개인정보보호위원회 예방조정심의관 ▲최동근 고려대 정보보호대학원 교수 ▲윤수영 한국CPO협의회 사무총장 ▲박소영 국회 입법조사관 등이 사전예바 중심의 개인정보 보호 체계 구축 관련 심도 깊은 논의가 이뤄졌다. 먼저 최동근 교수는 "침해사고가 발생한 기업은 엄연히 '피해자'임에도 해커나 범죄자를 검거하기보다 기업을 먼저 조사함으로써 기업 이미지 하락을 우려한 피해 기업들이 신고를 꺼리는 결과를 초래했다"며 "이로 인해 글로벌 해커들에게 한국이 좋은 먹잇감으로 선택되는 악순환의 고리가 이어지고 있다"고 말했다. 그는 "해외에서는 보안은 인프라라고 생각하지 투자라고 생각하지 않는다"며 "기업들은 매출이나 영업이익이 1순위이기 때문에 보안은 지출이며 항상 2순위에서 논의되고 있다"고 진단했다. 그는 이어 "학교 급식의 선진화를 위해 '학교급식법'을 두고 영양사 및 조리사를 도입하고 급식시설 등을 정부가 정책으로 지원한 것처럼 보안 역시 급식과 같은 인프라의 영역에서 세제 혜택 등 정책적으로 지원이 필요하다"고 강조했다. 윤수영 사무총장은 개인정보보호 인력의 처우 개선도 필요하다고 밝혔다. 윤 사무총장은 "CPO(개인정보보호 최고책임자)들은 고위험 직군이다. 높은 전문성이 요구되는 반면 사고 발생 시 책임 부담이 크고, 인사상 불이익을 받는 경우도 많다"며 "개인정보보호 부서가 조직 내 기피 부서가 되고 있다"고 밝혔다. 그는 "이에 개인정보보호 직무급, 인센티브, 위험수당 지급 및 전문성 강화 지원 등 조직 차원의 인적 투자를 핵심 평가 요소로 반영할 필요가 있다"며 "CPO가 주의 의무를 다한 경우 사고 발생 시 부당한 인사상 불이익을 받지 않도록 하는 제도적 면책이 필요하다"고 역설했다. 박소영 입법조사관은 "사전 예방의 중요성을 강조한다고 해서 사후 제재가 불필요하다는 의미는 아니다. 사후 제재가 없다면 기업은 예방에 투자해야 할 유인을 갖지 못한다"며 "문제는 현행 체계가 사후 제재에 지나치게 편중돼 있다는 것이다. 개인정보 보호의 패러다임은 이제 사고 이후 책임을 묻는 시대를 넘어 위험을 설계 단계서부터 관리하는 예방적 거버넌스로 전환돼야 한다"고 밝혔다. 이와 관련 고낙준 심의관은 "개인정보위는 개인정보 보호 정책 컨트롤타워로서 최종 책임을 지는 범부처 보호체계를 구축하고자 한다"며 "자율적 예방 노력 유도, 사회 전반의 개인정보 보호 역량 제고, 개인정보 기술분석센터 구축 등의 기본방향을 담은 사전 예방 중심 개인정보 보호 전략을 마련 중이며, 구체적인 추진 방안을 곧 발표할 예정이다"라고 말했다.

2026.03.23 17:53김기찬 기자

개보위 직원들 "국민과 소통 강화"...디지털 교육 받아

개인정보보호위원회는 전 직원을 대상으로 '국민과 소통하는 디지털 교육'을 20일 실시했다. 이번 교육은 '사전예방 체계 구축' 등 개인정보위가 추진하는 핵심 정책을 더욱 적극적으로 알리기 위한 노력 일환으로, 직원들의 대국민 소통 역량을 높이기 위한 차원이라고 개인정보위는 밝혔다. 교육은 위원장 등 간부 뿐 아니라 전체 구성원이 참여한 가운데, 주요 사회관계망서비스(SNS) 채널을 활용한 실습 중심 프로그램으로 이뤄졌다. 특히, 계정 운영, 콘텐츠 공유, 팔로워 관리 등 실제 업무에 적용 가능한 기능을 중심으로 교육을 진행했다. 강의는 IT·디지털 교육 분야에서 활동 중인 디지털거북이컴퍼니 지현이 대표가 맡았다. 지 대표는 '디지털거북이'로 활동하는 인공지능(AI) 리터러시 강사이자 콘텐츠 크리에이터다. 2025년 한해 동안 개인정보위와는 지우개 서비스, 개인정보보호 중심 설계(PbD), 사전적정성 검토제 등 개인정보위의 주요사업을 알리는 협업을 진행했다. 개인정보위는 이번 교육을 계기로 직원 개개인이 국민과 정책을 연결하는 '작은 소통 창구' 역할을 할 수 있을 것으로 기대했다. 특히 개인정보 보호와 데이터 정책은 전문성이 높은 분야인 만큼, 국민 눈높이에 맞춘 설명과 적극적인 온라인 소통이 정책 신뢰를 높이는 중요한 기반이 될 것으로 예상했다. 송경희 위원장은 “아무리 좋은 정책이라도 국민이 이해하지 못하면 정책 의미는 절반에 그칠 수 있다. 앞으로도 SNS 등 다양한 채널을 활용해 국민과 더욱 적극적으로 소통하고, 정책을 쉽고 친근하게 전달하기 위해 노력하겠다"면서 “직원 개개인의 역량과 경쟁력을 강화하는 다양한 교육을 통해 작지만 강한 조직으로 성장해 나가겠다"고 말했다.

2026.03.21 21:34방은주 기자

[인사] 개인정보보호위원회

◆ 국장급 승진임용 ▲ 예방조정심의관 고낙준

2026.03.20 13:47방은주 기자

개보위, '2026 개인정보 미래포럼' 발족...위원 40명 위촉

개인정보보호위원회는 19일 서울 양재 엘타워에서 '2026 개인정보 미래포럼' 발족식 및 제1차 전체회의를 개최했다. 미래포럼은 개인정보 분야의 중장기적 아젠다를 전문가들과 함께 선제적으로 논의하는 개인정보위의 정책 자문기구다. 2026년 미래포럼은 개인정보위 송경희 위원장과 함께 이원우 서울대 교수가 공동의장을 맡는다. 위원은 학계, 산업계, 시민단체 등 분야별 전문가와 특별위원 등 총 40명으로 구성했다. 위원들 임기는 1년이다. 지난해에는 '신산업 현장의 프라이버시 리스크 관리와 인공지능 시대 개인정보 보호'를 주제로 개인정보 보호 강화기술(Privacy Enhancing Technology)의 산업현장 활용 양상, AI 에이전트 등 인공지능 시대 개인정보 정책환경에 대한 논의를 진행했다. '2026 미래포럼'은 국민의 높아진 관심과 기대치에 부응하기 위해 이전보다 위원 구성을 다양화하고 신규 위원수도 대폭 늘렸다. 또 개인정보 관련 영역이 확장됨에 따라 인문·사회·경제 분야로 논의 주제를 다각화(개인정보의 사전예방적 관리 체계로 전환, AI 시대 개인정보의 범위 및 양상 변화, 미래사회 예측 기반 개인정보 권리 재설계, 글로벌 데이터 이동에 대한 대응 전략 등)하고 참여 위원들이 직접 발제하는 등 운영방식을 바꿔 핵심 정책 자문기구로서 영향력을 한층 강화할 계획이다. 이날 제1차 미래포럼 전체회의에서는 '개인정보의 사전예방적 관리 체계 전환'을 주제로 논의를 진행했다. 정보보안 및 개인정보 보호 전문 컨설팅 업체인 제이앤시큐리티 김경하 대표가 산업 현장 목소리를 바탕으로 실질적인 사전 예방적 관리체계 필요성을 강조했다. 특히 김 대표는 ISMS-P, 개인정보 영향 평가 등 시행중인 다양한 사고 예방 제도의 실효성 제고 등 다섯가지 방안을 제시했다. 이어 가천대 법과대학 최경진 교수가 개인정보 미래와 전주기적 개인정보보호 체계에 대해 정책 제언을 발표했다. 이어진 자유토론에서는 개인정보 보호의 사전예방적 관리체계로의 전환에 대한 위원 간 공감대가 형성됐고, 다양한 제도가 새롭게 출발함에 따라 제도 간 정합성을 제고하는 것이 중요하다는 의견이 제시됐다. 송경희 개인정보위 위원장은 "고도화된 인공지능 시대에 국민 개인정보를 안전하게 보호하고 활용하기 위해서는 기존의 정책수단만으로는 한계가 있다"면서 "미래포럼을 중심으로 중장기 아젠다를 발굴하고, 위험요인에 대해 한 발 앞서 논의하며 급변하는 정책환경에 선제적으로 대응해 나가겠다”고 밝혔다.

2026.03.19 17:19방은주 기자

"337개 종합병원 보유 개인 의료정보 원하는 곳으로 전송"

337개 종합병원이 보유한 보건의료 분야 개인정보를 원하는 곳으로 자유롭게 전송할 수 있게 됐다. 정밀한 맞춤형 진료와 건강 관리 서비스가 가능해질 전망이다. 개인정보보호위원회는 정보주체의 보건의료 분야 정보전송자 범위를 확대하는 내용의 '보건의료 분야 개인정보 전송에 관한 고시' 개정안을 보건복지부와 협의를 거쳐 마련, 개정 절차를 완료, 18일부터 발령한다고 밝혔다. 이번 개정안은 지난해 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 폭넓게 체감하고 활용할 수 있도록 하려는 목적을 담았다. 기존 50개 기관(질병관리청, 국민건강보험공단, 건강보험심사평가원, 47개 상급종합병원)으로 규정돼 있던 보건의료 분야 정보전송자 범위에 의료법 제3조의3에 따른 종합병원(337개)을 추가, 총 387개로 확대했다. 다만, 새롭게 정보전송자로 추가된 종합병원의 부담을 고려, '건강정보고속도로' 시스템에 연계된 종합병원부터 단계적으로 적용할 계획이다, 현재 337개 종합병원 중 115개가 연계돼 있는데 앞으로 지속적으로 확대할 계획이다. 전송 가능한 정보전송자 현황은 한국보건의료정보원 홈페이지(www.khis.kr)에서 확인이 가능하다. 이번 개정으로 국민 개개인은 종합병원이 보유한 자신의 보건의료 분야 개인정보를 원하는 곳으로 전송해 자유롭게 관리할 수 있게 되며, 이를 통해 정밀한 맞춤형 진료와 건강 관리 서비스가 가능해질 전망이다. 특히 상급종합병원보다 접근성‧이용률이 높은 종합병원에서 진료한 내역까지 종합적으로 관리·분석하게 될 경우, 정보주체는 보다 많은 정보를 기반으로 혁신적 서비스를 제공받을 수 있을 것으로 기대된다. 송경희 위원장은 “이번 고시 개정을 통해 국민이 보건의료 분야의 개인정보 전송요구권을 더욱 두텁게 인정받을 수 있게 됐다"면서 “향후 가스·전기 등 에너지 분야의 마이데이터의 효용 역시 체감할 수 있도록 에너지 분야의 정보전송자와 전송요구 대상 정보를 정하는 고시 제정 절차를 차질없이 진행하겠다"고 밝혔다.

2026.03.18 22:19방은주 기자

개보위, 6기 가명정보 결합 선도사례 수요조사 실시

개인정보보호위원회는 가명정보를 활용해 사회난제 해결책을 모색하는 연구과제를 발굴하기 위한 '제6기 가명정보 결합 선도사례' 수요조사를 다음달 30일까지 진행한다고 밝혔다. 가명정보는 데이터 활용 가치는 유지하면서도 개인이 식별되지 않게 안전하게 처리, 과학적 연구 등을 위해 활용 가능한 정보를 말한다. 그동안 개인정보위는 개인정보가 안전하게 활용될 수 있도록 도입(2020. 8.)한 가명정보 제도와 가명정보 결합 제도의 활성화를 위해 국민 체감도가 높고 사회적 파급효과가 있는 연구과제를 '선도사례'(5년간 총 33개)로 선정, 지원해왔다. 첫 해인 2021년엔 7건, 2022년 4건, 2023년 9건, 2024년 6건, 2025년 7건을 지원했다. 올해 선도사례는 외부 전문가로 구성한 평가위원회가 신청기관의 연구 프로젝트에 대해 ▲구체성 ▲참신성 ▲국민 체감도 및 사회적 효과성 ▲데이터 제공협의 여부 ▲정책 반영 가능성 등을 종합적으로 고려해 선정한다. 또 이번 제6기 선도사례는 국민주권정부 국정과제와 인공지능(AI) 혁신 관련 연구과제를 우선적으로 선정할 계획이다. 다음달 30일까지 수요조사를 하고 5월 과제 검토 및 선정평가에 이어 6월 최종 선정한다. 개인정보위는 선정된 연구과제에 대해 가명정보 활용 전(全) 주기(사전 검토-가명처리 기술·결합 지원-안전한 관리)에 대한 '밀착 컨설팅' 뿐만 아니라 실무 TF를 통해 가명정보 활용을 가로막는 장애요인을 해결할 수 있도록 중점적으로 지원할 예정이다. 또 개인정보위가 주최하는 가명정보 활용 경진대회에 해당 연구과제를 출품할 경우 가산점을 부여하며, SNS와 가명정보 지원 플랫폼 등 다양한 채널을 통해 홍보할 계획이다. 실무TF 구성에는 개인정보위, 선도사례 연구기관, 데이터 보유기관, 한국인터넷진흥원 등이 참여한다. (가명정보 활용 경진대회는 개인정보위가 2021년도부터 매년 가명정보 제도 활성화를 목적으로 가명정보를 활용한 다양한 아이디어와 우수사례 발굴을 위해 개최하는 경진대회다. 가명정보를 활용할 계획이 있는 학계, 공공기관, 기업 등은 '가명정보 지원 플랫폼(dataprivacy.go.kr)내 신청서를 내려받아 작성해 제출하면 된다. 제6기 선도사례 수요조사와 관련된 자세한 안내사항은 플랫폼에서 확인할 수 있다.

2026.03.16 15:42방은주 기자

송경희 개보위위원장 "스냅샷 방식 ISMS-P 심사 한계"

정부가 관할하는 정보보안과 정보보호 분야 통합 인증이 ISMS-P다. 2018년 만들어졌다. 이 통합인증은 과기정통부의 정보보호 관리체계(ISMS, 2001년 제도 도입)와 개보위의 개인정보보호 관리체계(PIMS, 2011년 제도 도입) 인증을 합친 것(2018년)으로, 한국인터넷진흥원(KISA)이 인증을 주관하고 있다. ISMS-P 체크리스트는 102개(ISMS 88개+PIMS 22개)다. 이 통합인증은 기업 및 기관이 구축·운영 중인 정보보호 및 개인정보보호 체계가 적합한지 당국이 검증하는 것으로, 개인정보위와 과기정통부는 지난해 12월 6일 인증제 개선 관계부처 대책회의를 개최하는 등 인증제도의 합리적 운영을 위한 협력을 지속해 왔다. 통합인증과 관련, 개보위와 과기정통부는 12일 송경희 개보위 위원장과 류제명 과기정통부 2차관이 참석한 가운데 서울 중구 소재 HJ 비즈니스센터에서 인증기관(한국인터넷진흥원장과 금융보안원장)과 심사기관, 인증심사원 등이 참여한 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회'를 개최했다. KISA 등 인증기관은 인증에 관한 업무를 수행할 수 있게 관련 법에 따라 지정한 기관으로, 인증서 발급과 인증 품질관리, 인증위원회 운영 등의 일을 수행한다. 또 심사기관은 인증심사 업무를 수행할 수 있게 관련 법에 따라 지정한 곳으로, 신청 기업 및 기관에 대한 심사업무를 수행한다. 정보통신기술협회, 정보통신진흥협회, 개인정보보호협회, 차세대정보보안인증원, 한국경영인증원 등 5곳이 심사기관이다. 기업 및 기관은 ISMS-P 통합인증을 통해 보유한 정보자산을 식별하고 개인정보 처리 흐름을 체계화하며 잠재적인 보안위험을 관리하는 등 관리체계를 고도화한다. 하지만최근 ISMS-P 통합 인증을 받은 통신사, 대형 플랫폼 사업자 등에서 보안 및 개인정보 유출사고가 발생함에 따라, 인증제도 실효성을 강화하기 위한 종합 대책 마련이 필요한 상황이다. 이에 개인정보위와 과기정통부는 ISMS·ISMS-P 인증제도가 실질적으로 작동할 수 있도록 '정보보호 및 개인정보보호 인증제 실효성 강화방안'을 수립, 발표할 계획이다. 이에 앞서 현장의 의견을 청취하기 위해 이번에 논의 장을 마련했다. 이날 간담회에서는 정부가 마련 중인 인증제도의 실효성 강화를 위한 정책 방향을 소개했다. 주요 내용으로 ▲인증 의무대상 확대 및 인증기준 강화 ▲예비심사 신설과 기술심사·현장실증형 심사 적용 등 심사방식 개편 ▲유출사고 방지를 위한 인증 사후관리 강화 ▲심사기관 감독 강화 및 심사원 전문성 제고를 통한 심사 품질 향상 등이 제시됐다. 개보위는 "참석자들이 이 같은 실효성 강화 방향에 대해 인공지능 발전과 해킹 기술 고도화 등 급변하는 기술 환경에 대응하기 위한 시의적절한 접근이라고 평가했다"면서 "나아가 기술심사 강화 등의 개선책이 현장에서 실질적으로 작동하기 위한 세부 고려사항에 대해 다양한 의견을 제시했다. 특히 심사의 일관성을 확보하기 위해 기술심사 가이드 마련 등 제도적 보완이 필요하며, 전반적인 심사 품질 강화를 위해 심사기관에 대한 적극적인 모니터링과 심사원의 심사 참여 요건 개선 등의 정책이 필요하다고 제언했다"고 밝혔다. 개인정보위와 과기정통부는 이번 간담회에서 논의된 현장 의견을 적극 반영해 '정보보호 및 개인정보보호 인증제 실효성 강화방안'을 발표할 예정이다. 송경희 개인정보위 위원장은 “ISMS-P 인증제도는 기업이 운영 중인 개인정보 보호 관리체계를 선제적으로 점검함으로써 개인정보 침해를 예방할 수 있는 중요한 사전 예방 정책 중 하나”라며 “현장의 목소리를 적극 반영해 인증제도가 우리 사회 전반의 데이터 보호 수준을 실질적으로 높이는 인프라로 기능할 수 있도록 지속적으로 개선해 나가겠다”고 말했다. 이어 송 위원장은 행사후 본인 페이스북에 "인증기관, 심사기관, 인증심사원 등 실제 제도를 운영하고 심사를 수행하는 분들이 한자리에 모여 현장에서 느끼는 어려움과 정부가 검토중인 제도 개선 방향에 대한 의견을 직접 들을 수 있는 매우 의미있는 자리였다"면서 "특히 인증심사원 역량과 전문성 강화, 심사방식과 절차 개편, 심사원 배정 방식 개선 등 현장에서 실제 심사를 수행하며 느낀 점과 제도 개선에 대해 다양한 의견을 활발히 제시, 경험에서 나온 이야기들이라 더욱 인상 깊었다"고 말했다. 이어 인증을 받은 기업들이 잇달아 개인정보 유출 사고를 일으켜 인증제 실효성에 대한 우려가 제기, 마음이 무겁다면서 "그럼에도 ISMS-P 인증제는 기업이 운영중인 개인정보보호 관리체계를 선제적으로 점검할 수 있는 사전 예방수단"이라면서 "다만 특정 시점의 상태를 한번의 심사로 판단하는 '스냅샷' 방식 심사의 한계가 있는 만큼, 제도가 현장장에서 실질적으로 작동할 수 있게 지속적으로 개선해나가겠다"고 덧붙였다. 류제명 과기정통부 제2차관은 “최근 사이버 공격이 나날이 고도화되면서 침해사고 가능성과 이로 인한 파급효과가 더욱 높아지고 있다”면서 “ISMS-P 인증제도 개선을 통해 기업의 경각심과 보안 수준을 한 단계 높여, 침해사고로 인한 국민들의 피해를 방지하고 그로 인한 피해를 최소화할 수 있는 기반을 만들겠다"고 강조했다.

2026.03.15 14:49방은주 기자

송경희 개보위원장 "한-미 개인정보 데이터 교류 환경 조성"

개인정보보호위원회는 글로벌 기업과 정책 소통을 강화하기 위해 주한 미국상공회의소(AMCHAM) 초청으로 국내 이용자에게 서비스를 제공하는 주요 글로벌 사업자 대상 간담회를 13일 개최했다. 암참(AMCHAM)은 한-미 간 무역과 투자 증진을 위해 1953년 설립된 단체다. 구글·마이크로소프트·애플 등 약 800개 미국 기업을 회원사로 두고 있다. 송경희 개보위 위원장은 간담회에서 '2026년 개인정보 핵심 정책 방향'을 공유하고, AI 시대 신뢰 기반 데이터 활용과 개인정보 보호체계 혁신을 위한 주요 정책 과제에 대해 참석자들과 의견을 나눴다. 특히 개인정보위는 디지털 서비스 확산과 글로벌 데이터 경제 성장에 대응, 안전한 국경 간 데이터 이동에 대한 전략적 관리 체계를 마련하고 관련 제도를 정비해 나갈 계획이라고 설명했다. 이를 위해 표준계약 조항, 구속력 있는 기업규칙 등 국제적으로 통용되는 안전한 국외이전 제도를 도입하고, 국외이전 영향평가 등 추가적인 보호조치를 마련할 계획이다. 이날 간담회에는 글로벌 플랫폼·IT·금융 등 다양한 분야의 기업들이 참석해 개인정보 보호 정책과 제도 운용에 대한 현장의 의견을 전달했다. 송 위원장은 질의응답을 통해 우리 개인정보 보호법에 대한 기업들의 궁금증을 해소하는 한편 해외기업들이 국내법과 제도를 충실히 준수해 줄 것을 당부했다. 제임스 김(James Kim) 암참 회장 겸 대표는 “한국과 미국이 모두 AI를 핵심 경제 전략으로 추진하고 있는 만큼 양국 간 협력을 더욱 확대할 수 있는 중요한 시점”이라며 “특히 데이터 거버넌스와 국경 간 데이터 이동 등 분야에서 상호운용성을 높이는 노력이 필요하다"고 말했다. 송 위원장은 “디지털 경제 시대에는 데이터가 국경을 넘어 흐르기 때문에 국가 간 신뢰 기반의 데이터 협력이 매우 중요하다"면서 “특히 한국과 미국은 다양한 산업에서 긴밀한 협력 관계에 있는 만큼 양국의 개인정보 보호 체계를 고려한 데이터 교류 환경을 조성해 나가겠다"고 밝혔다. 행사 이후 송 위원장은 본인 페이스북에서 "앞으로 글로벌기업들과도 활발히 소통하겠다. 기업들이 안정적으로 서비스를 제공하고 이용자의 신뢰를 쌓아갈 수 있는 환경을 만들어가겠다"고 말했다.

2026.03.15 14:04방은주 기자

개보위, 공공AX 지원 헬프데스크 가동...1호는 IRIS

정부가 공공부문 인공지능 전환(AX)을 지원하는 '공공 AX 혁신지원 헬프데스크'를 본격 가동한다. 헬프데스크는 공공기관의 인공지능 전환(AX) 사업 과정에서 발생할 수 있는 프라이버시 이슈에 대해 개인정보위가 검토·자문을 수행하는 창구다. 공공기관이 헬프데스크를 통해 검토를 신청하면 ▲사전적정성 검토제(인공지능 등 신기술·신서비스 기획·개발 단계에서 개인정보 보호법 준수 방안을 개인정보위와 함께 마련하고, 이를 이행한 경우 사후에 불이익한 처분을 부과하지 않는 제도) ▲규제유예제도(샌드박스) ▲원스톱 가명처리 ▲적극 법령해석 등 사업별 적합한 제도·수단과 연계해 기획·개발 단계부터 개인정보 처리 흐름을 함께 검토하고, 필요한 안전조치를 공동 설계해 안전한 서비스가 구현되도록 지원한다. 이와 관련 개인정보위는 11일 제4회 전체회의를 개최하고 '헬프데스크 1호 지원 사례'로 과학기술정보통신부(부총리 겸 과기정통부 장관 배경훈, 이하 '과기정통부')의 '범부처 통합연구지원시스템(이하 'IRIS')이 제공하는 평가위원 및 협업 연구자 AI 추천 서비스'에 대한 사전적정성 검토 결과를 의결했다. 과기정통부는 해당 서비스 개발 과정에서 단순한 단어(키워드) 매칭 방식이 갖는 한계를 극복하기 위해 인공지능(AI) 기술을 도입했다. 사람처럼 문맥과 의미를 파악하는 인공지능이 IRIS에 축적된 논문·특허·연구보고서 등 방대한 자료를 분석, 해당 분야에 가장 적합한 전문성을 갖춘 '평가위원'을 추천('26년 시범)하고 연구자에게 최적의 파트너인 '협업 연구자'를 연결('27년 예정)해 주는 서비스를 제공할 계획이다. 개인정보위는 IRIS 설치·운영 근거인 '국가연구개발혁신법' 취지와 목적, IRIS 내 연구자 데이터가 혁신법 제20조 등 명확한 법령을 근거로 수집·구축된 점 등을 고려해 사업의 적정 여부를 검토했다. 아울러, AI 추천 서비스 도입 과정에서 발생할 수 있는 프라이버시 리스크를 줄이기 위해 'AI 프라이버시 리스크 관리 모델'을 기반으로 내부 관리 계획 수립, 투명성 강화, 추천 관련 이의제기 창구 마련 등 안전조치 방안을 과기정통부와 함께 마련했다. 한편 인공지능이 사회 전 부문의 혁신을 견인하는 핵심기제로 자리를 잡은 가운데, 2026년 정부 인공지능 전환(AX) 예산도 전년 대비 약 5배 증가한 2조4000억원 규모로 확대되는 등 공공부문의 인공지능 전환이 가속화하고 있다. 공공부문은 국민 일상과 밀접한 방대한 데이터를 보유하고, 공공서비스 제공과 정책 집행을 통해 강한 영향력을 행사한다. 아울러, 대규모 자원이 투입되는 공공 인공지능 전환(AX) 특성상 프라이버시 침해가 발생할 경우 복구가 어렵고 사회적 수용성을 저하시킬 수 있다. 이에, 개인정보위는 공공부문 인공지능 전환(AX) 사업의 안전한 운영을 지원하기 위해 헬프데스크를 올해 1월 출범했다. 개인정보위는 기관의 검토 신청을 상시 접수하고, 프라이버시 쟁점이 예상되는 과제를 선제 발굴하여 지원 대상을 확대해 나갈 계획이다. 앞으로 개인정보위는 공공 인공지능 전환(AX)이 프라이버시 보호라는 신뢰의 토대 위에서 추진되도록 지원을 확대할 방침이다. 이를 위해 헬프데스크 홍보와 현장 접근성 제고에도 적극 나설 예정이다.

2026.03.11 21:59방은주 기자

개인정보보호 미흡땐 과징금 최대 매출 10%...9월11일 시행

강화된 개인정보보호법이 이달 10일 공고를 거쳐 오는 9월 11일부터 시행된다. 이에 따라 반복적이거나 중대한 개인정보보호 위반행위에 대해서는 기업 전체 매출액의 최대 10%까지 징벌적 과징금을 물어야 한다. 또 CEO를 개인정보 처리 및 보호의 최종책임자로 법에 규정, 관리·감독 의무를 명확히 부여했다. 일정 규모 이상 개인정보처리자는 반드시 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고해야 한다. 특히 공공·민간 분야에서 파급력이 큰 주요 기업·기관(현재 기업 50곳, 기관 57곳 총 107곳)에 대해서는 기존에 자율적으로 운영하던 개인정보 보호 인증(ISMS-P 인증)을 의무화, 시행은 다른 조항과 달리 내년 7월 1일부터 한다. 9일 개인정보보호위원회에 따르면, 앞서 이 법은 ▲국회 정무위원회 의결('25.12.17.) ▲본회의 의결('26.2.12.) ▲국무회의 의결('26.3.3.)을 거쳤다. 이번 법 개정은 최근 연이은 대규모 개인정보 유출사고로 불안과 사회적 우려가 커지는 상황에서, 기업·기관의 개인정보 보호 책임을 강화하기 위해 신속히 추진됐다. 개인정보 침해에 대한 엄정한 제재를 통해 강력한 억지력을 확보하는 한편, 사전예방적 투자를 촉진하고 개인정보 관리 체계를 강화, 개인정보 유출사고의 재발을 막기 위한 취지다. 개정 법률안의 주요 내용은 다음과 같다. 사전예방 투자땐 인센티브...과징금 필수 경감 반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 특례를 도입했다. 기존 과징금 제도(전체 매출액의 3% 이하)만으로는 개인정보 침해 사고에 대한 실효적인 억지력 확보에 한계가 있다는 점을 고려, 반복적·대규모 피해 발생 등의 경우에는 강화된 제재를 부과할 수 있는 법적 근거를 마련했다. 반복적, 대규모 피해 발생의 예는 ▲최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우 ▲고의 또는 중대한 과실로 대규모(1천만명 이상) 피해를 초래한 경우▲시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등이다. 아울러, 개인정보 보호를 위한 사전 예방적 투자를 활성화하기 위한 인센티브도 함께 도입, 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우 과징금을 필수 감경(고의·중과실의 경우는 제외)하도록 했다. 유출 가능성 통지제 도입 등 현행 개인정보보호법은 개인정보처리자가 '유출등이 되었음을 알았을 때' 정보주체에게 알리도록 규정하고 있어, 유출 등 가능성이 있음에도 통지를 지연한 문제가 있었다. 유출등 사고 발생 초기부터 정보주체가 이를 인지하고 신속하게 대응할 수 있도록 '유출등의 가능성이 있음을 알게 되었을 때'에도 지체없이 통지하도록 의무화했다. 또 기존에는 랜섬웨어 등으로 인한 개인정보의 위조·변조·훼손의 경우는 통지·신고 대상에 포함되지 않아 신속한 대응에 어려움이 있었다. 이에 개인정보의 분실·도난·유출뿐만 아니라 위조·변조·훼손도 '유출등 사고'의 범위에 포함해 통지·신고 대상이 되도록 했다. 더불어, 개인정보 유출통지 시 손해배상 청구, 분쟁조정 신청 등 피해구제 방법을 함께 알리도록 했다. 대표자(CEO) 및 개인정보 보호책임자(CPO) 책임 강화 개인정보 유출사고를 근본적으로 예방하기 위해서는 기업·기관 차원에서 개인정보 처리·보호에 대한 인식 강화와 관심 제고가 필수적인 점을 고려, 사업주 또는 대표자(이하 'CEO'), 개인정보 보호책임자(이하 'CPO')의 책임성 강화를 통한 개인정보의 안전한 관리체계 확보도 함께 추진한다. 우선, CEO에 개인정보 처리 및 보호의 최종책임자로서 관리·감독 의무를 명확히 부여했다. 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했다. CPO를 의무적으로 지정해야 하는 곳은 4개 분야다. ▲첫째, 연 매출액 또는 수입이 1500억원 이상인 곳으로 100만명 이상 개인정보 또는 5만명 이상 민감·고유식별정보를 처리하는 개인정보처리자 ▲둘째, 재학생 수 2만 명 이상인 대학(대학원 재학생 수 포함 2023년 4월 기준 23곳으로 현재 교육부 통해 규모 파악중) ▲셋째, 대규모 민감정보(건강정보)를 처리하는 상급종합병원 57곳 ▲넷째, 공공시스템운영기관 등이다. CPO 자격은 개인정보보호·정보보호·정보기술 경력을 합해 총 4년 이상(개인정보 경력 2년 필수)이여야 한다.(아래 표 참조) 또 상시적인 개인정보 안전관리 체계를 구축하기 위해 CPO의 역할을 강화했다. CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 의무화했고, 대표자와 이사회에 개인정보 보호 관련 사항을 보고하도록 했다. 주요 개인정보처리 공공·민간 총 107곳 ISMS-P 인증 의무화 마지막으로, 공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 기존에 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)을 의무화했다. 정보보호 및 개인정보 보호 수준을 스스로 강화하도록 하고, 실효성 있는 개인정보 보호 관리체계를 구축하기 위해서다. ISMS-P 인증 의무화 대상 범위는 개인정보 보호법 시행령 개정 과정에서 구체화할 예정이다. ISMS-P(Personal Information & Information Security Management system) 인증은 주요 정보자산 유출 및 피해 예방을 위해 기업 또는 기관이 스스로 구축·운영 중인 정보보호 및 개인정보보호 관리체계가 적합한지를 인증하는 제도다. 개정 법률은 오는 9월 11일부터 시행한다. 다만, ISMS-P 인증 의무화 규정은 고시 신설과 관련 예산 확보 등에 소요되는 기간을 고려해 2027년 7월 1일부터 시행할 예정이다. 개보위가 현재 파악하고 있는 ISMS-P 인증 의무화 대상은 공공 기관 57곳(387개 시스템), 민간 기관 50곳 정도다. 개인정보위는 개정 법률이 차질없이 시행될 수 있도록 위임규정 마련 등 후속 시행령 개정을 신속히 추진하는 한편, 제도개선 사항이 현장에서 안정적으로 운영될 수 있게 산업계, 공공기관 등과 소통을 강화해 나갈 계획이다.

2026.03.09 17:15방은주 기자

개보위, 6차 현문현답...10개 학회와 협력 모색

개인정보보호위원회는 9일 서울 중구 한국지능정보사회진흥원에서 올해 여섯 번째 '현문현답(현장에 묻고 현장에서 답을 찾다)'인 '개인정보 유관학회 정책간담회'를 개최했다. 간담회에는 10개 유관학회 학회장 및 대표인사 10명이 참여했다. 개인정보보호법학회를 비롯해 대한의료정보학회, 한국공법학회, 한국데이터인공지능법정책학회, 한국인공지능법학회, 한국인공지능학회, 한국정보통신법학회, 한국정책학회, 한국행정학회, 한국IT서비스학회가 참여했다. 이날 간담회는 지난 2월 25일 있었던 소비자·시민단체 개인정보 정책간담회에 이어 열렸다. 최근 생성형 AI를 넘어 에이전트AI, 피지컬 AI가 등장함에 따라 개인정보를 둘러싼 국민의 기대와 우려가 그 어느 때보다 높은 상황이다. 이에 개인정보위는 새롭게 제기되는 개인정보 위협과 정책 환경을 진단하고 정책의 실효성을 높이기 위해 이번 행사를 마련했다. 간담회에서는 개인정보위의 '26년 주요 정책 추진 계획을 공유했다. '개인정보 보호 신뢰 기반의 AI융합사회 촉진'이라는 비전을 제시한 개인정보위는 지난달 국회를 통과한 '개인정보 보호법 개정안(징벌적 과징금(10%로 상향), ISMS-P 인증 의무화, 유출가능성 통지, 개인정보 보호 책임자(CPO)의 신분보장 및 권한 강화 등) 등 법·제도적 기틀을 바탕으로 개인정보 보호 체계를 근본적으로 개선하는 정책들을 소개했다. 동시에 'AI 특례' 도입과 'AI 에이전트 관련 가이드라인' 수립, 다크웹에서 불법유통되는 개인정보에 대한 대응 계획도 소개, 학회의 지속적인 관심과 협력을 요청했다. 이어 유관학회 참석자들은 주요 정책 추진 방향에 대해 질의하면서 각 분야에서 필요한 내용들을 제안했다. 특히 AI 시대를 맞아 ① 개인정보자기결정권을 넘어선 개인정보 보호 법익 확장 ② 피지컬 AI 기술 개발 관련 산업 현장의 안전한 데이터 수집·가공·활용을 위한 거버넌스 체계 재검토 ③ 스타트업 등 개인정보 보호 역량이 부족한 처리자들에 대한 통합적 지원 등을 요청했다. 나아가 개인정보의 국외이전, 불법유통과 같은 글로벌 이슈들과 관련해 학회와의 공동 연구 및 대응을 제안하기도 했다. 송경희 개인정보위 위원장은 “사후 제재를 통한 억지력만으로는 AX 시대 새롭고 잠재적인 위협에 대응하기 어려워짐에 따라, 개인정보위는 리스크 기반의 접근을 구체화하며 사전예방 체계로 나아가고자 한다”며 “앞으로도 학계와 긴밀히 협력하여 미래사회를 선제적으로 대비하고, 적실성 있는 정책을 만들어 나가겠다”고 말했다.

2026.03.09 16:00방은주 기자

"개인정보 처리 투명히"...개보위, 메타 등 11곳과 현장간담

개인정보보호위원회는 4일 서울 중구 한국프레스센터에서 국내외 주요 생성형 인공지능(AI) 기업 및 전문가들과 '생성형 AI 분야 개인정보 처리방침 개선을 위한 간담회'를 개최했다. 이번 간담회는 최근 생성형 AI 서비스가 빠르게 확산·고도화하는 환경에서, 개인정보 처리 투명성을 강화하고 합리적인 개인정보 처리방침 개선 방향을 논의하기 위해 마련했다. 간담회에는 구글, 메타, 마이크로소프트, 오픈에이아이, 네이버, 카카오, SK텔레콤, LG유플러스, 엔씨에이아이, 스캐터랩, 뤼튼테크놀로지스 등 11개 생성형 AI 기업 및 AI 전문가들이 참석했다. '개인정보 처리방침 평가'는 개인정보처리자가 수립·공개한 처리방침을 평가해 개인정보 처리 투명성과 책임성을 제고하기 위한 제도다. 인공지능, 자율주행 등 신기술을 활용하거나 대규모 민감정보 및 개인정보를 처리하는 대표서비스를 대상으로 지난 2024년부터 평가를 시행하고 있다. 7대 분야에 대해 최초 실시한 2024년도 평가에서는 전체 평균 점수가 57.9점에 그쳤으나, 2025년도에 평가매뉴얼 배포, 작성지침 개정 및 평가지표 설명회 개최, 기업간담회 등 설명과안내를 적극 강화한 결과, 2025년 7대 분야 전체 평균 점수는 71점으로 상승, 처리방침 전반의 작성 수준이 개선된 것으로 나타났다. 2024년 시행 대상은 ▲빅테크 ▲온라인 쇼핑 ▲온라인 플랫폼(주문·배달, 숙박·여행) ▲병·의료원 ▲온라인 동영상 서비스(OTT) ▲엔터테인먼트(게임, 웹툰) ▲인공지능(AI) 채용 분야를, 2025년은 ▲커넥티드카 ▲에듀테크 ▲스마트홈 ▲생성형 AI ▲통신 ▲예약 및 고객관리 ▲건강관리앱이 대상이였다. 다만, 생성형 AI 분야의 경우 적정성, 가독성, 접근성 전반에서 상대적으로 미흡한 사례를 확인했다. 일부 서비스는 '처리하는 개인정보 항목'을 포괄적으로 기재하거나 '처리의 법적근거'를 구체적으로 밝히지 않았고, '개인정보 보유‧이용기간'을 모호하게 표현한 경우도 있었다. 또한, 개인정보를 제3자에 제공하면서 '협력업체', '서비스 제공업체' 등 추상적인 용어를 사용해 제공받는 자를 명확히 특정하지 않은 사례도 확인했다. 아울러, 정보주체의 권리행사 방법을 영문으로 안내하거나, 개인정보 관련 민원 처리를 지연하는 사례도 있었다. 일부 모바일 앱은 처리방침을 확인하기 위해 로그인을 요구하거나 여러 단계를 거치도록 운영, 접근성 측면에서 개선이 필요하다는 평가를 받았다. 번역투의 문장과 장문의 서술형 문장이 이어져 정보주체의 이해를 어렵게 하는 사례도 확인했다. 이에, 개인정보위는 생성형 AI 기업이 보다 구체적이고 이용자 눈높이에 맞는 처리방침을 작성할 수 있게 지원하기 위해 이번에 논의의 자리를 마련했다. 이날 간담회에서는 ▲'25년 개인정보 처리방침 평가 결과 및 시사점을 공유하고 ▲프롬프트 입력정보의 처리 및 학습 활용 관련 기재 방식 ▲처리의 법적근거 명확화 ▲글로벌 정책과의 정합성 문제 ▲이용자 권리행사 절차의 실효성 제고 방안 등을 중심으로 실질적 개선 과제를 논의했다. 참석 기업들은 생성형 AI의 기술적 특성상 처리 구조가 복잡하고 글로벌 본사 정책과의 조율이 어려움이 있다고 설명하면서도, 이용자의 신뢰 확보를 위해 보다 명확하고 이해하기 쉬운 설명 방식이 필요하다는 데 공감했다. 특히, 입력정보의 학습 활용 여부, 보유기간, 옵트아웃(Opt-out) 절차 등에 대해서는 이용자가 직관적으로 이해할 수 있게 구체성을 높이는 방향으로 개선해 나가겠다는 의견을 제시했다. 송경희 개보위 위원장은 “이용자가 자신의 정보가 어떻게 활용되는지 쉽게 알 수 있을 때 AI에 대한 신뢰도 함께 높아질 수 있다”면서 “앞으로도 기업과 지속적으로 소통하며 현장에서 적용 가능한 합리적 기준을 마련해 책임 있는 AI 환경을 조성하겠다”고 밝혔다. 개인정보위는 이번 간담회 논의 결과를 바탕으로 생성형 AI 기업이 보다 명확하게 처리방침을 작성할 수 있게 개인정보 처리방침 작성지침을 보완할 계획이다. 아울러 기업·기관들이 개정 기준을 충분히 이해하고 현장에 적용할 수 있게 4월 중 '개인정보 처리방침 작성지침 개정본'을 발간하고 설명회도 개최할 예정이다.

2026.03.04 16:30방은주 기자

개보위, 1회 '개인정보 고래상' 시상..."우수 성과 보상"

개인정보보호위원회는 26일 정부서울청사에서 '제1회 개인정보 고래상' 시상식을 개최하고, 우수한 성과를 창출한 직원 2명(팀)에게 총 600만원의 특별성과 포상금을 수여했다고 밝혔다. '개인정보 고래상'은 탁월한 성과를 창출한 개인정보위 공무원을 선정해 포상금을 지급하는 제도다. '인사는 공정하게, 신상필벌은 확실하게'라는 국정철학에 따라 올해 처음 시행됐다. '칭찬은 고래도 춤추게 한다'는 의미를 담아 개인정보 보호 분야에 기여한 공무원의 성과를 격려하기위해 '고래상'으로 명명했다. 개인정보위는 이를 분기별로 운영하고, 연말에는 올해 수상자 중 최고 성과자를 선정해 금고래상(1000만 원)을 수여할 계획이다. 이와 별개로 수상 여부와 관계없이 선정된 우수 공적자에게는 은고래상(300만 원)도 수여한다. 이번 수상자들은 대규모 개인정보 유출사태를 계기로 한 징벌적 과징금 도입 등 '개인정보 보호법' 개정과 범정부 차원의 유출 예방 중심 종합 대응체계 구축에 기여한 공로로 선정됐다. 수상자인 보호법제팀(개인정보보호정책과 임종철 서기관, 조사총괄과 최현진 사무관 등 6인)은 대규모 개인정보 유출사태와 관련해 기업 책임성을 근본적으로 강화하기 위한 '개인정보 보호법' 개정을 주도했다. 징벌적 과징금 도입 등 유출 대응 관련 개정안은 지난 12일 본회의를 통과했는데, 이는 지난해 12월 부처 업무보고를 통해 입법방향을 공식화한 이후 두 달만에 이룬 성과다. 이번 개정에는 징벌적 과징금 도입, 유출 가능성 통지제 신설, 대표자·개인정보 보호책임자 책임 강화, ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 인증 의무화 등 유출 대응 핵심 과제가 반영됐다. 특히 '제재는 강화하되, 예방 투자는 유도한다'는 원칙 아래, 반복·중대 위반에 대해서는 징벌적 수준의 제재가 가능하도록 하는 한편, 선제적으로 예방 투자 노력을 기울인 기업에게는 과징금을 필수적으로 감경해 사전 예방중심의 보호체계를 확립했다. 또다른 수상자인 개인정보보호정책과 이정수 사무관은 대규모 개인정보 유출사태와 관련한 범정부 차원의 '개인정보 유출방지 종합 제도개선 방안' 수립에 기여한 공로로 선정됐다. 이 사무관은 해당 방안 수립에 있어 관계부처 협의와 국가정책조정회의 안건 상정 등을 총괄하며 징벌적 과징금 도입 등 핵심 제도개선 과제가 신속히 입법으로 이어질 수 있도록 정책 기반을 마련했다. 수상자들은 "묵묵히 해온 일들이 인정받아 감사하다"라며 "앞으로도 국민의 개인정보 권익 보호를 최우선으로 삼아 최선을 다하겠다"라고 말했다. 송경희 위원장은 “탁월한 성과를 창출한 공무원에게는 그에 상응하는 보상이 반드시 뒤따라야 한다”며 “파격적이고 실질적인 보상을 통해 일하는 방식의 변화를 이끌고, 개인정보 보호 역량을 한층 강화하여 국민 신뢰를 더욱 공고히 하겠다”고 밝혔다.

2026.02.27 20:06방은주 기자

한국 등 세계 52국 "딥페이크 공동 대응"...선언문 채택

그록(Grok) 등 생성형 인공지능(AI) 서비스를 악용한 딥페이크와 미성년자 성적 이미지의 생성·확산이 최근 세계 문제로 부상함에 따라 국제 개인정보 감독기구들이 공동 대응에 나섰다. 개인정보보호위원회(개인정보위)는 국제 개인정보 감독기구 협의체(GPA) 차원의 '인공지능 생성 콘텐츠와 개인정보 보호에 관한 공동선언문' 채택에 참여했다고 23일 밝혔다. 이번 선언은 실제 인물이 당사자의 동의 없이 묘사·확산되는 프라이버시 위협에 대해 국제 사회가 신속하고 일관된 목소리를 냈다는 점에서 의의가 크다고 개보위는 설명했다. 이 선언문에는 인공지능 시스템 개발 및 활용 기관이 준수해야 할 4가지 핵심 원칙을 담았다. 구체적으로 △개인정보 오남용 및 동의 없는 성적 콘텐츠 생성을 방지하기 위한 안전조치 이행 △인공지능 시스템 이용 가능 범위 등에 대한 투명성 확보 △신속한 신고 및 삭제를 위한 효과적인 구제 절차 마련 △연령 적합 정보 제공 등 아동·청소년에 대한 강화된 보호조치 이행 등의 내용을 담았다. 또 각국 감독기구는 '신뢰할 수 있는 인공지능 혁신'이라는 공동의 가치를 실현하기 위해 정책, 집행, 교육 등 대응 경험을 적극적으로 공유하고 연대를 강화하기로 했다. 이번 선언문은 한국 개인정보위가 참여하고 있는 국제 개인정보 감독기구 협의체(GPA) 산하 국제집행협력 작업반 주도로 마련됐다. 사안의 시급성에 공감한 50개 이상 회원국의 개인정보 감독기구가 서명에 참여하는 등 국제 사회 전반의 폭넓은 지지가 있었다고 개인정보위는 설명했다. GPA는 한국, 프랑스, 영국, 싱가포르, 캐나다, EU 등 52개국 61개 개인정보 감독기구가 참여하고 있는 단체다. 송경희 개인정보위 위원장은 “딥페이크 등 인공지능 콘텐츠 생성 기술 오남용으로 인한 개인정보 침해 위험에 국제 사회와 공동으로 대응하겠다”면서 “앞으로도 국내외의 신뢰 기반 인공지능 활용 환경 조성을 주도해 나가겠다”고 밝혔다.

2026.02.23 15:30방은주 기자

프랜차이즈, 자사앱 활성화 안간힘…이용자 보호는?

프랜차이즈 업계가 자사 앱 이용을 늘리는 흐름이 뚜렷해지면서, 개인정보 보호에 대한 관심과 투자의 중요성도 커지고 있다. 자사 앱을 통해 수집·이용되는 개인정보의 양이 방대해지는 만큼, 고객 보호를 위한 보다 강화된 보안 조처가 필요해 보인다. 20일 관련업계에 따르면, 프랜차이즈 업계는 자사 앱을 키우는 데 앞다퉈 속도를 내고 있다. 배달 플랫폼 수수료 부담을 낮추고, 멤버십·쿠폰·선물하기·퀵오더 등 기능을 통해 충성 고객을 직접 확보하려는 목적에서다. 앱 주문 비중이 커질수록 본사가 고객 데이터를 축적할 수 있고, 이를 마케팅이나 메뉴 기획, 재구매 유도에 활용할 수 있다는 점도 자사 앱 강화의 동력으로 꼽힌다. 한 프랜차이즈 업계 관계자는 "외식 프랜차이즈의 경우 자사 앱이 없는 곳은 손에 꼽힌다"며 "점주에게도 배달수수료 절감 등의 이점이 있는 만큼 자사 앱 확대는 프랜차이즈로써는 숙제"라고 설명했다. 자사앱 확대 속도에 못 미치는 개인정보 관리 수준 문제는 업계 전반의 개인정보 관리 수준이 자사앱 확대 속도를 따라가지 못하고 있다는 점이다. 앱의 기능이 늘수록 수집 항목과 처리 과정이 복잡해지는 만큼, 개인정보 침해나 사고로 이어질 가능성이 크다는 지적이 나온다. 실제로 지난해에는 파파존스와 써브웨이 등 프랜차이즈에서 주문 페이지 취약점으로 고객 주문정보와 주소 등이 노출될 수 있다는 우려가 나왔다. 이들 프랜차이즈는 주문조회 페이지 주소 일부를 바꾸는 방식으로 다른 고객 정보에 접근할 수 있어 논란이 됐다. 국회 과학기술정보방송통신위원회에 따르면 파파존스가 개인정보를 유출한 기간은 총 8년 6개월, 이를 통해 유출된 개인정보는 약 3730만 건으로 추정된다. 여기에 전자금융거래에 따른 정보는 최대 5년간 보관할 수 있지만, 회사는 소비자의 주문 정보를 8년 이상 보관했다. 이에 김승주 고려대 정보보호대학원 교수는 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라고 지적하기도 했다. 올해도 개인정보 보호법을 위반한 프랜차이즈들이 도마에 올랐다. 개보위는 지난 11일 제3회 전체회의에서 식음료 프랜차이즈와 원격 예약 플랫폼 등 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과하고 시정명령·공표명령을 의결했다. 이들 중 다수 기업은 개인정보 미파기와 안전조치 미흡 등 '관리 부실'로 적발됐다. 여기에 버거킹 운영사 비케이알과 메가MGC커피 운영사 엠지씨글로벌 두 곳은 동의 없는 처리와 목적 외 이용 등 위반 무게가 큰 사안까지 지목돼 과징금이 집중됐다. 개인정보보호위원회는 비케이알이 법정대리인 동의 없이 만 14세 미만 아동 개인정보를 처리했고, 엠지씨글로벌은 마케팅 활용에 동의하지 않은 회원이 자동 동의 처리돼 메시지가 발송되도록 설정돼 있었다고 설명했다. 프랜차이즈 "개인정보 보호 조치 강화" 한 목소리...전문가 "보안 투자 필수" 프랜차이즈 기업들의 자사 앱 확대가 흐름인 만큼, 각 사는 개인정보 보호 조치를 강화하고 있다고 설명했다. 파파존스는 “지난해 주문 시스템 관련 논란 이후 한국인터넷진흥원(KISA)을 통한 보안 취약점 점검을 진행했고, 점검 과정에서 제시된 권고사항은 모니터링하며 적용을 진행 중”이라고 밝혔다. 최근 개인정보위 제재 대상에 포함된 투썸플레이스는 이번 사안이 “키오스크 주문 시 진동벨 발급 과정에서 전화번호를 수집한 것이 문제로 지적된 것”이라며 “현재는 관련 절차를 수정한 상태”라고 설명했다. 교촌은 “자사 앱 규모가 커진 만큼 개인정보 관리에 더 신중을 기하고 있다”며 “관련 업무를 맡는 보안 조직이 사내에 별도로 존재하고, 개인정보 관리에 신경쓰고 있다”고 말했다. 회사의 자사 앱 가입 회원 수는 약 733만명으로 전년 대비 약 17.7% 증가했고, 자사앱 매출 비중은 전체의 12% 수준이다. bhc는 앱 개편 과정에서 접근 통제를 손봤다고 밝혔다. bhc를 운영하는 다이닝브랜즈그룹 관계자는 “앱 개편 시 개인정보를 곧바로 열람할 수 없게 이중화 조치를 취했다”며 “2024년 IT 전략실을 신설하며 관련 체계를 공고히 한 상태”라고 설명했다. 염흥열 순천향대 정보보호학과 교수는 프랜차이즈가 자사 앱 회원 수 늘리기에만 급급하면 사고 가능성이 커진다고 지적했다. 그는 “프랜차이즈의 경우 현장에서 개인정보 관리가 미흡하다는 얘기를 많이 듣는다”며 “특히 전화번호처럼 수집 가능성이 큰 정보는 유출 시 2차 피해로 이어질 수 있어 관리가 필요하다”고 말했다. 특히 논란이 됐던 써브웨이의 사례를 예로 들어 “주문 페이지에서 URL의 일련번호만 바꿔도 다른 이용자 정보가 보이는 구조는 정보보호 측면에서 많이 미흡하다고 볼 수 있다”면서 “ID를 바꾸면 다시 인증을 거쳐야 하는데, 그런 과정 없이 다음 정보를 보여주는 방식은 취약점”이라고 설명했다. 염 교수는 “프랜차이즈 업계도 개인정보 유출로 처벌을 받은 사례가 있고, 공격 방식도 이미 알려져 있다”며 “과거 사례를 타산지석으로 삼아 자사 데이터베이스 관리에 취약점이 없는지 점검해야 한다”고 강조했다.

2026.02.20 17:42류승현 기자

국회 "쿠팡 영업정지 고려는 아직...계정 도용 확인돼야"

3367만 건의 개인정보가 유출된 쿠팡 사태를 두고 공정거래위원회는 과징금을, 개인정보보호위원회는 과태료 부과 여부를 들여다본다. 영업정지는 법적 요건이 충족되지 않아 현실화가 불투명하지만, 요건이 충족될 경우 실현 가능성을 배제할 수는 없을 전망이다. 이훈기 더불어민주당 의원은 19일 서울 국회의원회관에서 열린 '을지로위원회 쿠팡 개인정보 유출 대책 간담회'에 참석해 “영업정지는 법 적용도 그렇고, 많이 고민해볼 사안”이라고 말했다. 영업정지의 핵심 쟁점이 되는 '개인정보 도용' 여부가 입증되지 않았기 때문이다. 현재 공정위 차원에서는 쿠팡 사태에 대해 과태료 및 시정 조치를, 개보위는 과징금을 부과하는 제재를 검토 중이다. 김남근 더불어민주당 의원은 “영업정지에 대해서는 전자상거래법상 개인정보 유출이 아니라 다른 사람에게 넘어가서 이용되고 있다는 도용까지 확인돼야 하는데, 이것까지는 확인되지 않았기 때문에 영업정지는 아직 고려하지 않고 있다”고 답했다. 영업정지 처분이 현실화되려면 공정위가 조사 결과를 토대로 계정 도용으로 인한 재산상의 손해가 발생했거나 발생할 우려가 있는지, 사업자가 피해 회복 조치를 취하지 않았는지를 검토한 후 시정 조치를 취해야 한다. 시정 조치만으로 소비자 피해보상이 어렵다고 판단되면 이 때 영업정지 처분이 가능해진다. 다만, 개인정보 도용 확인 시 영업정지 가능성은 열어뒀다. 김 의원은 추후 쿠팡의 개인정보 유출 사고로 인한 도용 사태가 발생하면 영업정지나 과태료 처분 등을 추가적으로 고려할 수 있을지를 묻는 질문에 “그럴 수 있다고 본다”고 덧붙였다. 이날 을지로위원회에서는 정부가 다양한 방식을 통해 유출된 개인정보가 3367만 건이라는 점을 바로잡을 수 있도록 노력하겠다고 밝혔다. 이어 배송지 목록 등이 유출됐다는 점을 고려해 쿠팡 회원이 아닌 인물들도 피해가 예상된다는 점을 통지하기로 했다. 또 모의해킹 과정에서 발견된 문제점과 관련해서는 근본적인 개선 방안을 마련할 것을 촉구했다. 보안 측면에서는 재발 방지 대책을 수립할 것을 권고했다. 가령 비정상적으로 발급된 토큰(전자출입증)을 사전에 탐지하고 차단하는 체계를 도입하는 식이다. 회원 탈퇴가 어렵게 돼 있던 부분에 대해서는 쿠팡 측에서도 권고를 받아들여 탈퇴 절차를 간소화하기로 했다. 이외에도 을지로위원회는 김범석 쿠팡Inc 의장의 재벌 총수 지정 문제와 택배 과로사, 독과점 문제 등은 앞으로도 계속해서 점검해나가기로 뜻을 모았다.

2026.02.19 16:40박서린 기자

개보위, 마이데이터 전 분야로 확대...시행령 개정 8월 시행

·# A씨는 여러 대형병원에 흩어져 있는 건강검진, 진료내역 등을 마이데이터 기관을 통해 자신의 건강 상태를 스스로 관리할 수 있다(의료 마이데이터). 또 필요할 경우 건강관리 서비스를 지원하는 전문기관을 통해 장기 치료 중인 질병에 부담이 적은 맞춤형 일자리를 추천받고(고용 마이데이터), 치료 중 소득 공백을 메울 수 있는 복지지원금 신청을 자동 안내받을 수 있으며(복지 마이데이터), 구매 내역을 분석해 건강관리에 도움이 되는 식재료를 추천받아 할인된 가격에 이용할 수 있다(유통 마이데이터). 개인정보위원회가 그리는 마이데이터 전 분야 확산 시나리오다. 개보위는 정보주체가 자신의 개인정보를 원하는 곳으로 이동해 활용할 수 있는 '마이데이터 제도'와 관련한 '개인정보 보호법 시행령' 개정안이 지난 10일 국무회의에서 의결됐다고 밝혔다. 이에, 시행령 개정을 통해 앞으로는 대형병원 뿐만 아니라 교통, 문화,여가, 유통 등 일정 규모 이상의 전 분야 기업과 기관의 홈페이지에서 조회되는 정보를 개인이 직접 내려받아 관리하거나, 안전성이 보장된 전문기관의 도움을 받아 다양한 본인 정보를 한 곳에 모아 활용하는 것이 가능해진다. 위에 언급한 A씨의 전송정보를 활용하는 전문기관은 안전조치 요건 등을 갖췄는지 엄격한 심사를 통해 지정받으며, 정보전송자와 사전협의해 안전성 및 신뢰성이 보장된 방식으로만 정보를 전송할 수 있다. A씨는 '온마이데이터' 플랫폼에서 안전하다고 판단되는 서비스를 스스로 선택할 수 있고, 모든 전송 과정은 A씨의 명시적인 판단 및 의사결정 확인 후 진행된다. 또한, A씨는 온마이데이터 플랫폼을 통해 언제든 정보 전송을 중단하거나 이미 전송된 정보의 삭제를 요청할 수도 있다. 이번 개정안은 지난해 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 폭넓게 체감하고 활용할 수 있도록 확대한 것으로, 기존 의료·통신 분야에 한정된 본인 대상 정보전송자(개인정보 처리자)와 전송정보 범위를 전 분야로 확대한 내용을 담고 있다. 또 전 분야로 확대된 본인전송요구권을 보다 안전한 방식으로 행사할 수 있게 절차와 방법 등도 구체화해 규정했다. 개정안은 유예기간을 거쳐 오는 8월부터 시행된다. 개정안은 국민이 직접 본인 정보를 관리한다는 컨셉이다. 하지만 산업계 일각에서는 개인정보 유출 위험성과 국내 소비자 정보의 중국계 기업 활용 등을 우려하는 지적이 나왔다. 본인 대상 정보전송자 및 전송정보 기준 첫째, 본인 대상 정보전송자의 기준은 개인정보 보호역량을 갖추고 있는 대규모 개인정보처리자 등으로 규정했다. 구체적인 기준은, 중소기업기본법 등에 따른 평균매출액 등이 1800억원 초과하면서 정보주체 수가 100만 명 이상 또는 민감·고유정보 5만 명 이상의 대규모 시스템 운영 기관, 공공시스템 운영기관, 제3자 대상 정보전송자 등이다. 전송을 요구할 수 있는 정보는 정보주체의 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 포함 된다. 다만 별도 생성 정보(개인정보처리자의 본질적 행위와 '별도'로 개인정보를 분석·가공해 생성한 정보를 의미. 예를 들어 환자 치료와 별개로 진단·처방내역 등을 분석한 후 별도 생성한 위험군 등 분류·통계정보 등), 제3자 권리·이익을 침해하는 정보, 영업비밀 등 다른 법령에 따라 보호가 필요한 정보는 제외할 수 있다. 안전한 본인전송 방법 둘째, 정보주체가 대리인을 통해 본인전송요구를 행사할 경우에 안전하게 전송할 수 있는 전송방법을 규정했다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받게 했다. 원칙적으로는 API(애플리케이션 프로그래밍 인터페이스) 연계 방식을 권장하지만, 단기적으로는 본인 대상 정보전송자가 대리인과 사전협의를 거친 안전성‧신뢰성이 보장된 대리인에 한해 제한적으로 스크래핑을 허용했다. 또 본인 대상 정보전송자는 대리인이 사전에 협의한 방식으로 본인전송요구를 대리하는 경우 정당한 사유없이 거절하지 못하도록 규정했다. 아울러, 본인전송방법으로 본인 대상 정보전송자가 자신이 관리하는 인터넷 홈페이지를 통해 정보주체가 접속해 열람, 조회할 수 있는 정보를 안전한 암호화 알고리즘으로 암호화해 내려받는 방식도 가능하다고 명시했다. 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있다. 전송요구권 행사 범위 확대 셋째, 정보주체의 전송요구권 행사 범위가 기존 의료‧통신에서 전 분야로 확대된다. 다만 본인 대상 정보전송자의 전송 준비 등에 소요되는 시간 등을 고려해 공공시스템운영기관과 제3자 대상 정보전송자는 시행을 공포된 날로부터 6개월 유예하되, 평균 매출액 등이 1800억원을 초과하는 민간 분야에 해당하는 본인 대상 정보전송자(평균 매출액 등 1800억원 초과하는 자로서 정보주체수 100만명 이상 또는 민감‧고유식별정보 5만명 이상인 개인정보처리자, 시행령 제42조의2제1항제1호)의 경우 1년 유예했다. 향후 계획 개인정보위는 마이데이터가 국민이 체감 가능한 분야로 확산되도록 제3자 전송 분야도 '26년도 에너지, 교육, 고용, 문화‧여가 분야로 확대하기 위한 실무협의체를 구성, 운영할 계획이다. 아울러 이번에 개정한 시행령 주요 내용과 본인전송요구권 확대와 관련해 오는 3월부터 개인정보관리 전문기관 지정 및 지원사업 계획에 대한 설명회를 열 계획이다. 송경희 위원장은 “이번 시행령 개정으로 정보주체인 국민은 자신의 개인정보 주권을 적극적으로 행사하고, 본인의 의사에 따라 정보를 이동해 활용할 수 있을 것으로 기대한다”면서 “안전하고 신뢰 가능한 기업 및 기관을 통해 정보가 전송되도록 함으로써 마이데이터 제도에 대한 국민의 신뢰 및 체감 가능한 성과를 창출하도록 노력할 것”이라고 말했다.

2026.02.16 12:32방은주 기자

Prev 1 2 3 4 5 6 Next