검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개보위 과징금'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[유미's 픽] "설명 못 하는 AI는 리스크"…개인정보위 과징금 카드에 AI 업계 '긴장'

개인정보 침해 사고 이후 제재에 의존해 온 기존 조사 방식이 한계에 이르면서 위험 기반 접근과 개인정보 처리 전주기 관리 강화가 새로운 정책 기조로 부상했다. 인공지능(AI)·플랫폼 확산으로 대규모 데이터 활용이 일반화된 상황에서 앞으로는 AI 기업들이 기술 개발 초기 단계부터 개인정보 보호를 전제로 서비스 구조를 설계해야 할 것으로 보인다. 16일 개인정보보호위원회가 확정한 '2026년 개인정보 조사업무 추진 방향'에 따르면 정부는 앞으로 개인정보 침해 가능성이 높은 분야를 선별해 집중 점검하고, 조사·처분 전후 모니터링을 확대할 계획이다. AI와 클라우드 확산으로 최근 기업의 데이터 집중도가 높아진 점을 반영한 조치다. 이번 추진 방향에서 AI 산업이 직접적인 영향을 받는 부분은 신기술 분야에 대한 선별적 점검이다. 개인정보위는 AI 자동화 결정, 생체·영상정보 처리, 블록체인·분산신원인증(DID) 등을 위험성이 높은 영역으로 명시했다. 또 AI 채용 솔루션이나 금융·신용평가 서비스처럼 자동화된 결정을 수행하는 AI는 해당 여부와 함께 설명 의무 이행, 평가 기준의 투명성이 점검 대상이 된다. 단순한 성능 경쟁을 넘어 왜 그런 결과가 도출됐는지를 설명할 수 있어야 한다는 의미다. 얼굴·음성 인식, 영상 분석 등 생체·영상 데이터를 활용하는 AI 서비스는 고위험 분야로 분류돼 실태 점검이 강화된다. 기술 제공자라고 하더라도 개인정보 처리 책임에서 자유롭기 어렵다는 점에서 관련 기업들의 부담이 커질 것으로 보인다. 블록체인과 DID 분야 역시 점검 대상이다. 개인정보위는 분산원장의 특성으로 인해 발생할 수 있는 개인 식별 가능성 통제와 참여자 간 책임 구조를 들여다볼 계획이다. 조사 방식도 달라진다. 자료제출명령 미이행 시 이행강제금을 부과하고 조사 착수 단계에서 증거보전명령을 도입해 조사 강제력을 높인다. 특히 올해 12월 구축 예정인 기술분석센터는 AI 업계의 주요 변수로 꼽힌다. 기술분석센터는 AI 기반 서비스 전반에서 개인정보가 어떻게 처리·결합·이용되는지를 분석하는 역할을 맡는다. 이로 인해 그동안 알고리즘이 복잡하다는 이유로 설명을 피하던 대응 방식은 이제 더 이상 통하지 않을 것으로 보인다. 업계 관계자는 "이젠 AI 모델 구조와 데이터 흐름을 설명할 수 없는 상태 자체는 리스크가 될 것"이라고 말했다. 제재 수위도 크게 높아진다. 개인정보위는 매출액의 최대 10%에 달하는 징벌적 과징금 도입을 추진하고 반복 위반에 대한 가중 처벌과 감경 기준 강화를 예고했다. 이는 대규모 데이터를 다루는 AI 플랫폼 기업은 물론, 성장 단계의 AI 스타트업에도 재무적 부담이 될 것으로 예상된다. 업계에선 벌금 문제를 넘어 투자 유치나 인수합병(M&A) 과정에서 데이터 관리 체계가 핵심 검증 항목으로 떠오를 것으로 전망했다. 실제로 이번 추진 방향에는 기업 결합이나 파산·회생 과정에서 발생하는 개인정보 이전·파기의 적법성 점검도 포함됐다.이 같은 정책 기조 변화는 기업 내부 운영 방식에도 영향을 미칠 것으로 보인다. 대규모 개인정보 처리자는 해킹 대응 능력을 포함한 내부통제체계를 정기적으로 점검받게 되며 시정명령 이후 이행 여부에 대한 관리도 강화된다. 최고경영자(CEO)의 관리 책임이 강조되면서 개인정보보호책임자(CPO)의 역할 역시 커질 전망이다. AI 개발 조직과 보안·법무 조직 간 협업도 사실상 필수 요건으로 자리 잡을 가능성이 크다. 이번 조사 방향은 한국 AI 산업에 대해 빠른 기술 혁신보다 위험 관리와 책임을 우선하라는 신호로 읽힌다. 단기적으로는 규제 대응 부담이 커질 수 있지만, 중장기적으로는 개인정보 보호 역량을 갖춘 기업 중심으로 시장이 재편될 가능성도 있다. 업계 관계자는 "개인정보 보호 설계 수준이 향후 규제 대응 비용과 서비스 지속 가능성을 좌우하는 요소로 적용할 가능성이 크다"며 "앞으로 AI 경쟁력은 모델 성능뿐 아니라 개인정보 보호를 어떻게 설계했는지까지 포함하는 개념이 될 것"이라고 말했다.

2026.01.16 17:56장유미

보안 인증 받은 쿠팡, 과징금 얼마나 나올까

대한민국 국민 65%에 달하는 개인정보 유출 사고가 발생한 쿠팡의 제재 수위에 대한 관심이 모아지고 있다. 보안의 기본이라고 할 수 있는 퇴사자 권한 관리가 유출사고의 원인으로 지목되고 있는 데다, 정부에서도 엄정 제재, 징벌적 손해 배상에 대한 목소리가 높아지고 있기 때문이다. 현행 기준에 따르면 매출액 기준 최대 3%에 달하는 과징금이 부과될 수 있어 쿠팡은 최대 1조원대 과징금 철퇴를 맞을 가능성도 있다. 2일 업계에 따르면 쿠팡은 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사에 임하고 있다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당) 분석에 따르면 이번 유출사고는 퇴사자 인증키를 퇴사 즉시 수거하지 않고 방치한 데 원인이 있는 것으로 알려졌다. 직원이 퇴사를 하면 회사 내부 데이터나 서버, 네트워크에 접근하지 못하도록 권한을 수거해야 하는데 그렇지 못한 것이 화근이 된 것이다. 다만 현재 회사는 무단 접근 경로를 차단하고 내부 모니터링을 강화하는 조치를 취했다. 개인정보보호위원회(개보위) 등 조사 당국에 따르면 정부는 쿠팡의 대규모 개인정보 유출로 민·관 합동 조사단을 꾸리고 본격적인 조사에 착수한 것으로 알려졌다. 개보위는 보안 조치 의무를 위반한 사실이 확인된 경우에는 엄정한 제재를 적용하겠다고 밝혔다. 이재명 대통령도 이날 쿠팡 개인정보 유출사고와 관련해 "쿠팡 때문에 우리 국민의 걱정이 많다"며 "처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다. 관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책에 나서달라"고 지시했다. 쿠팡, 최대 1조원 이상 과징금…최대 부과 가능성 낮아 조사 당국과 정부는 쿠팡에 대한 고강도의 제재 수위를 논하는 것으로 알려졌다. 현행법상 개인정보 유출 시 관련 법을 위반한 기업에는 전체 매출액의 3% 이내에서 과징금을 부과할 수 있다. 지난해 쿠팡의 매출액이 41조원이 넘는 만큼 1조원 이상의 과징금이 부과될 수 있다는 계산이 나온다. 다만 과징금 선정 절차는 사고와 관련 없는 매출은 제외하기 때문에 최대 과징금이 부과될 가능성은 낮다. 개보위에 따르면 과징금 선정은 우선 전체 매출액에서 사고와 관련 없는 매출액을 제외한 후, 과징금 선정 기준에 따라 기준금액을 정한다. 특히 기준금액 선정 이후에는 2차례에 걸쳐 조정에 들어간다. 여러 감경 사유를 따져보고 해당 사항이 있는 경우 과징금을 깎아준다. 대표적으로 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 보유하고 있는 기업의 경우 현행법상 과징금의 최대 50%까지 감경받을 수 있다. 이에 쿠팡은 유효한 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 취득한 기업이기 때문에 과징금을 최대 50% 감경받을 수 있다. 앞서 쿠팡은 지난 2021년 ISMS-P 인증을 획득한 이후 지난해 갱신까지 마친 상태로, 유효한 ISMS-P 인증을 보유하고 있다. 이에 현행법에 따라 과징금 감경 혜택을 받을 수 있는 것이다. 단, 감경 비율은 특정 위반 행위의 내용, 기업의 협조 정도, 시정 노력 등 여러 요소를 종합적으로 고려해 최종 결정된다. 해당 감경 제도로 우리카드는 과거 인천영업센터 가맹점주 개인정보 유용사건으로 부과된 과징금을 50% 감경받아 130억원만 부과된 바 있다. 1차, 2차 조정(감경) 절차 이후에는 중대성 판단을 하게 되는데, 중대성은 매우 중대함, 중대함, 보통, 약함 등 4단계로 구성된다. 가장 높은 '매우 중대함'으로 중대성이 판단된다고 하더라도 기준금액 내에서 과징금이 결정된다. 실제 역대 최대 과징금이 부과된 SK텔레콤 해킹 사태 당시 개보위는 이런 과정을 거쳐 1천348억원의 과징금을 부과했다. SK텔레콤의 무선통신사업 매출 약 13조원을 기준으로 하면 최대 3천831억원의 과징금이 부과될 수 있지만, 기준금액 설정에 따라 제재 수준이 낮아졌다. 그러나 쿠팡의 ▲지난해 매출이 SK텔레콤보다 높은 점 ▲유출 규모가 방대한 점 ▲5개월간 피해 사실을 인지하지 못한 점 등을 고려하면 SK텔레콤보다 높은 역대 최대 규모를 경신할 금액의 과징금이 선정될 가능성이 크다. 개보위 관계자는 "과징금 산정 과정에서 기준금액을 정한 이후 들어가는 감경 절차에 ISMS-P 인증 등이 감경 조항에 포함돼 있다"면서도 "과징금 산정 규모와 관련해서는 예단할 수 없고, 미리 언급할 수 없다"고 일축했다. 염흥열 순천향대 정보보호학과 명예교수는 "현행 과징금 부과 체계는 관련 분야 매출의 3%를 기준으로 산정하지만, 가감하는 조정절차가 있다. 조사 과정에 성실하게 임했는지, 피해자 구제에 적극적으로 했는지 등의 사항을 따져보고 가중하거나 감경해 과징금을 산정한다"며 "다만 정부나 대통령이 얘기하는 징벌적 과징금의 경우는 현재 법 개정 등 논의할 사항이 남아있다. 이번 쿠팡의 경우는 현 절차에 따라 산정되겠지만, 향후에는 개보위 TF에서 논의됐던 과징금 선정 관련 인센티브 제공, 징벌적 과징금 등 가감 조정절차의 방향성에 대해서 인식할 필요는 있다"고 밝혔다.

2025.12.02 18:19김기찬

개보위, SKT 제재안 27일 상정…과징금 얼마나?

개인정보보호위원회(위원장 고학수)는 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 제재안을 오는 27일 전체회의에 상정하기로 했다고 21일 밝혔다. 전체회의는 비공개로 열린다. 이날 결론이 나면 개인정보위는 별도 브리핑을 통해 결과를 설명할 예정이다. 앞서 개보위는 지난 4월 SKT로부터 개인정보 유출 신고를 받은 뒤 조사에 착수한 바 있다. 이후 4개월여 조사를 거쳐 이번 전체회의가 열리는 것이다. 조사 과정동안 개보위는 SKT가 개인정보를 유출한 이후 고객 통지를 제대로 했는지, 외부 침입 차단 등 안전조치 의무를 준수했는지 등을 중점적으로 점검했다. 개보위는 대부분의 조사 절차를 마치고 지난달 말 SKT에 처분 사전통지를 했다. '개인정보보호위원회의 조사 및 처분에 관한 규정'에 따르면 예정된 처분에 대해 개보위 조사관은 사전통시서를 당사자에 통지해야한다. 사전통지서에는 처분 원인 및 내용, 적용 법령, 의견 제출 기한 등이 포함된 것으로 알려졌다. 고학수 개보위 위원장은 이달 초 열린 '생성형 인공지능 프라이버시 오픈 세미나'에서 SKT 제재와 관련해 "법과 원칙에 따라 엄정하게 처분할 것"이라고 언급한 바 있다. 개인정보보호 당국이 엄정 처분을 예고한 만큼 제재 수위에 대한 관심은 더욱 높아지는 모양새다. 개인정보보호법에 따르면 과징금은 매출액 3% 이내에서 부과할 수 있다. 고시 기준에 따라 가중·감경 사유들을 전반적으로 고려 후 개인정보위 전체회의를 열어 제재 수준을 정하게 된다. SKT의 지난해 매출액은 17조9406억원이다. 이 중 무선통신사업 매출액은 약 12조7700억원으로, 최대 3%에 해당하는 약 3800억원대의 과징금이 부과될 것이라는 관측도 나온다. 다만 SKT가 개인정보 유출 사실을 자발적으로 신고하고 피해자 구제와 재발 방지 대책도 내놨던 만큼 감경 사유로 적용돼 과징금 수위는 이보다 낮아질 가능성도 크다. 지난달 과학기술정보통신부(과기정통부)가 발표한 SKT 침해사고 최종 조사결과에 따르면 총 28대가 공격을 받았고, 악성코드 33종이 발견돼 조치가 완료됐다. 유출된 정보는 9.82GB(기가바이트) 규모의 유심 정보 25종과 가입자 식별번호(IMSI) 기준 2천696만건이다. 과기정통부는 SKT 해킹 사태가 SKT의 계정정보 관리 부실과 2022년 2월 있었던 침해사고에 대한 대응 미흡 등에 원인이 있다고 봤다. 아울러 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호관리체계(거버넌스) 강화, 정보보호 인력 및 예산 확대 등의 재발방지 대책을 마련할 것을 강조했다.

2025.08.21 13:58김기찬

고학수 개보위원장 "SKT 해킹, 국민이 이미 큰 피해"

고학수 개인정보보호위원장이 SK텔레콤 해킹으로 국민이 이미 큰 피해를 당했다고 일침을 날렸다. 개인정보가 털린 데다 국민이 불안해 가입자식별모듈(USIM·유심)을 바꾸려 새벽부터 몰리는 일 모두 피해 양상이라는 입장이다. 고 위원장은 21일 서울 중구 은행회관에서 열린 '개인정보 정책 포럼' 기자간담회에서 “SK텔레콤은 역대급 사고를 냈다”며 “국민 믿음이 무너지는 매우 중대한 사건”이라고 말했다. 그는 “SK텔레콤 고객과 일반 국민 관점에서 이 사건을 바라봐야 한다”며 “회사를 믿었던 고객 2600만명이 엄청난 피해를 입었다”고 강조했다. 고 위원장은 “'피해를 증명하면~'이라는 단서를 다는 사람이 있지만, 이미 어마어마한 피해가 발생했다는 게 핵심”이라며 “개인정보 나간 것 자체가 피해”라고 지적했다. 그는 “국민이 불안한 게 또 피해”라며 “'내 전화번호 나가서 어떡하지' 불안해하고 유심 바꾸려 새벽부터 줄 서고 시간 쓰고 돈 쓰고 애쓰면서 혼란스러워한다”고 전했다. 그러면서 “이게 피해가 아니면 무엇이 피해냐”며 “자꾸 '정보 유출로 인한 피해가 없다'거나 '복제폰 못 만들어서 피해 없다'고 하지 말라”고 비판했다. 이어 “복제폰 같은 2차 피해가 터져야 피해 생겼다고 말하는 것은 잘못”이라며 “2차 피해는 당연히 이후 감시하고 최소화해야 한다”고 덧붙였다. 고 위원장은 “SK텔레콤이 피해를 막지 못했다”며 “왜 못 막았는지, 어떤 안전 조치를 안 지켰는지 개인정보위가 철저하게 조사해 SK텔레콤이 법을 어겼다면 강력히 제재할 것”이라고 밝혔다. 과징금에 대해서는 “LG유플러스와 차원이 전혀 다른 유례없는 상황”이라고 언급했다. SK텔레콤 고객 정보가 빠져나가 징벌적손해배상도 화두로 떠올랐다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 털어놨다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 나섰다. SK텔레콤이 소비자에게 '개인정보가 유출됐다'고 하지 않고 '가능성이 있다'며 빠져나갈 구멍을 만든 데에도 쓴 소리를 했다. 고 위원장은 “개인적으로 굉장히 유감”이라며 “'유출 가능성', '조사 결과 나중에 필요하면 알리겠다'는 식은 개인정보보호법이 요구하는 바가 아니다”라고 주장했다. 그는 “이렇게 큰 회사가 몇 주 지날 때까지 통지하지 않은 것도 잘못”이라며 “법적으로 제때 통지하지 않으면서 그마저도 부실하게 통지했다”고 목소리를 높였다. 다만 “개인정보위는 SK텔레콤이 충실하게 이행하지 않았다고 생각해 '통지가 미흡했다'고 회사에 공문 보냈다”며 “'다시 통지하라'고 하기에는 실익이 떨어져 처분 과정에 이런 통지 내용을 반영할 것”이라고 설명했다.

2025.05.21 22:56유혜진