검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인정보보호법'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[법과 상식 사이] 이름도 개인정보가 아닐 수 있다?

“사람 이름을 아는 것만으로 개인정보 문제가 생길까?” 일상에서 우리는 수많은 사람의 이름을 알고 살아간다. 학교 친구의 이름을 기억하기도 하고 거래처 담당자의 이름을 휴대전화에 저장해 두기도 한다. 이름을 알고 있다는 사실 자체만으로는 대체로 법적 문제가 되지 않는다. 그럼에도 개인정보보호법을 이야기할 때 많은 사람들은 이름이나 연락처처럼 개인과 관련된 정보는 모두 법의 엄격한 보호 대상이라고 생각하는 경우가 적지 않다. 하지만 개인정보보호법에서 보호하려는 개인정보는 단순히 '개인과 관련된 정보'라는 의미보다 한층 더 구체적인 개념이다. 법은 특정 개인을 알아볼 수 있는 정보를 개인정보로 정의한다. 다시 말해, 정보의 종류보다 그 정보로 실제 개인을 식별할 수 있는지 여부가 중요하다. 이러한 기준 때문에 개인정보는 절대적으로 고정된 개념이 아니라 이용되는 환경과 결합 가능성에 따라 달라질 수 있는 상대적인 개념이 된다. 그래서 같은 이름이나 번호라도 어떤 상황에서는 개인정보가 되고, 어떤 경우에는 그렇지 않을 수 있다. 예를 들어 '김철수'라는 이름만으로는 동일한 이름을 가진 사람이 많아 일반적으로 특정 개인을 식별할 수 있다고 보기는 어렵다. 그러나 '○○고등학교 3학년 김철수'처럼 추가적인 속성 정보가 결합되면 누구인지 특정할 수 있는 가능성은 높아진다. 여기에 거주 지역이나 동아리 활동 정보까지 더해지면 식별 가능성은 현저히 증가한다. 직장 정보도 마찬가지다. '대기업 인사팀장'이라는 표현만으로는 특정 개인을 떠올리기 어렵지만 직원 수가 적은 회사에서 해당 직위를 가진 사람이 한 명뿐이라면 개인을 식별할 가능성이 생길 수 있다. 휴대전화 번호 전체는 개인을 식별할 수 있는 정보이지만 일부 숫자만으로는 특정 개인을 알아보기 어려운 경우가 많다. 다만 여기에 이름이나 직장 정보가 결합되면 다시 개인정보에 해당할 가능성이 높아진다. 결국 개인정보에 해당하는지는 정보의 내용만으로 기계적으로 판단되는 것이 아니라 조직 규모나 이용 환경 같은 맥락까지 함께 고려해 판단해야 한다. 개인정보 개념의 상대성 개인정보를 상대적인 개념으로 이해해야 한다는 점은 법 적용 과정에서 불확실성을 동반한다. 기술 수준이나 정보 결합 가능성에 따라 개인정보 해당 여부가 달라질 수 있어 규제 예측 가능성이 낮아진다는 비판도 존재한다. 그럼에도 법이 이러한 구조를 채택한 이유는 보호 대상을 미리 정해진 정보의 목록으로 한정할 경우 기술 발전과 함께 나타나는 새로운 식별 위험을 효과적으로 포착하기 어렵기 때문이다. 실제로 오늘날에는 위치정보, 온라인 활동 기록, 소비 패턴처럼 단독으로는 개인을 특정하기 어려운 정보라도 다른 데이터와 결합될 경우 특정 개인을 정밀하게 식별할 수 있다. 개인정보 보호가 요구되는 이유 역시 정보 자체를 보호하기 위해서라기보다 해당 정보를 통해 개인이 원하지 않는 방식으로 특정되거나 분석될 위험을 방지하기 위해서다. 이러한 맥락에서 개인정보보호법은 보호 대상을 개별 정보의 종류가 아니라 '개인을 식별할 수 있는 가능성'에 두고 있다. 가명정보는 여전히 보호대상 최근에는 통계 작성이나 연구를 목적으로 개인을 직접 식별할 수 있는 요소를 제거한 데이터 활용이 확대되고 있다. 그러나 이러한 정보가 곧바로 개인정보에서 제외되는 것은 아니다. 이름이나 주민등록번호와 같은 직접 식별 정보를 삭제하거나 대체하더라도, 다른 정보와 결합하거나 추가 분석을 통해 특정 개인을 다시 알아볼 수 있다면 해당 정보는 여전히 개인정보에 해당한다. 개인정보보호법은 이러한 중간 형태의 데이터를 '가명정보'로 구분한다. 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보이지만 재식별 가능성이 완전히 제거된 것은 아니다. 이 때문에 가명정보는 일정 범위에서 활용이 허용되면서도 여전히 개인정보로서 법적 보호의 대상이 된다. 개인정보에 해당하는지는 단순히 식별 정보가 삭제되었는지 여부만으로 결정되지 않는다. 정보의 결합 가능성, 재식별에 필요한 비용과 기술 수준, 그리고 정보가 이용되는 환경까지 종합적으로 고려된다. 데이터 분석 기술이 발전할수록 과거에는 안전하다고 평가되었던 정보라도 다시 개인을 식별할 위험을 가질 수 있기 때문이다. 이러한 이유로 개인정보 판단 기준은 고정된 정보 목록이 아니라 기술 변화와 이용 맥락에 따라 유동적으로 해석될 수 밖에 없다. 이처럼 개인정보에 해당하는지는 정보의 형태만 보고 단순하게 판단할 수 없다. 핵심 기준은 결국 “이 정보로 특정 개인을 식별할 수 있는가”라는 질문에 있다. 같은 정보라도 이용되는 환경과 다른 정보와의 결합 가능성에 따라 개인정보가 될 수도 있고 그렇지 않을 수도 있다. 따라서 개인정보보호법을 이해할 때는 특정 정보의 명칭이나 유형에만 주목하기보다 해당 정보가 개인을 식별하거나 분석하는데 어떤 역할을 할 수 있는지를 중심으로 판단할 필요가 있다. 이러한 관점은 기술 변화 속에서도 개인정보 보호의 목적과 적용 범위를 일관되게 이해하는 출발점이 된다.

2026.02.12 17:06안정민 컬럼니스트

[법과 상식 사이] 전화번호를 알려줘도 될까

지인이 누군가의 전화번호를 물어보는 순간 우리는 종종 망설이게 된다. “이거 알려주면 개인정보보호법 위반 아닐까?” 개인정보 보호에 대한 사회적 경각심이 높아진 것은 분명 바람직한 변화다. 그러나 그 영향으로 법이 요구하지 않는 상황에서도 스스로를 과도하게 제한하는 장면이 적지 않다. 문제는 많은 사람들이 무엇이 실제로 금지되고 무엇이 허용되는지를 정확히 알지 못한다는 데 있다. 개인정보보호법은 몇 가지 관점만 이해해도 생각보다 훨씬 명확하게 보인다. 먼저 짚어야 할 점은, 개인정보보호법이 '개인정보처리자'를 중심으로 작동하는 법이라는 사실이다. 이 법은 모든 사람의 일상적 행위를 규제하기 위한 법이 아니라 개인정보를 업무 목적 아래 체계적으로 처리하는 주체에게 법적 의무를 부과한다. 예를 들어, 학원 원장이 수강생의 이름과 연락처 명단을 관리하거나, 온라인 쇼핑몰 운영자가 고객의 주소와 전화번호를 저장해 배송에 활용하는 경우가 그렇다. 이들은 개인정보를 특정한 목적에 따라 지속적· 체계적으로 처리한다는 점에서 전형적인 개인정보처리자에 해당한다. 이러한 법 구조를 전제로 보면 일반적으로 개인이 가족이나 지인과 사적으로 연락처를 교환하거나 휴대전화에 저장하는 정도의 행위에 대해서는 개인정보처리자에게 부과되는 것과 동일한 수준의 법적 의무가 적용되지는 않는다. 개인정보보호법상 각종 의무의 핵심적 부담 주체는 원칙적으로 업무를 목적으로 개인정보파일을 운용하는 개인정보처리자로 설정되어 있고 단순한 사적 주소록 관리는 보통 그 요건에 해당하지 않기 때문이다. 그렇다고 곧바로 “법의 규율 대상이 아니다”라고 단정해서는 안된다. 개인정보보호법은 기본적으로 개인정보처리자를 규율하지만 업무상 알게 된 개인정보를 누설하거나 부당하게 이용하는 행위는 개인정보처리자가 아니더라도 처벌 대상이 될 수 있다. 또한 법에서 말하는 개인정보의 '처리'에는 정보를 수집하거나 이용하는 것뿐 아니라 저장해 두는 행위까지 포함되므로 연락처를 휴대전화에 저장하는 행위 역시 형식적으로는 개인정보 처리에 해당할 수 있다. 물론 이러한 사적 저장이나 이용이 곧바로 위법이나 처벌로 이어지는 것은 아니다. 다만 해당 전화번호가 업무 수행 과정에서 취득되었거나 업무 목적에 따라 이용된 경우에는 개인정보처리자 여부와 관계없이 법 위반 여부를 판단해야 하는 사안이 될 수도 있다. 한편 동창회나 동호회처럼 친목 도모를 목적으로 단체를 운영하며 개인정보를 처리하는 경우, 법은 이를 전형적인 영리·업무 목적의 개인정보 처리와는 구별해 일부 규정의 적용을 배제하고 있다. 이는 해당 주체가 개인정보처리자에 해당하지 않아서라기보다는 처리 목적과 그로 인한 침해 위험의 정도를 고려해 법적 의무의 범위를 조정한 결과로 이해하는 것이 정확하다. 그래서 전화번호를 알려줘도 될까? 그렇다면 다시 처음의 질문으로 돌아가 보자. 가장 현실적이고 안전한 답은 의외로 단순하다. “번호를 전달해도 되는지 먼저 물어볼게요.” 이 한 문장은 상대방의 자기결정권을 존중하면서 불필요한 오해와 법적 위험을 동시에 줄여 준다. 개인정보보호법은 정보를 가진 사람을 통제하려는 법이 아니라 그 정보의 당사자인 정보주체에게 통제권을 보장하려는 법이다. 결국 중요한 것은 전화번호를 알려줘도 되느냐가 아니라 그 정보에 대한 결정권이 누구에게 있는지를 인식하고 존중하는 태도다. 그 점만 분명히 인식한다면 우리는 법을 과도하게 두려워할 필요도 가볍게 여길 필요도 없다.

2026.02.06 15:03안정민 컬럼니스트

[법과 상식 사이] 당신의 CCTV는 선을 지키고 있는가

우리나라는 전 세계적으로 손꼽히는 CCTV 고밀도 국가다. 골목길과 엘리베이터, 상가와 아파트를 가리지 않고 일상의 거의 모든 동선에 CCTV가 배치되어 있다. 유독 한국에 이처럼 많은 CCTV가 설치된 이유는 영상 녹화가 범죄 예방과 안전을 위해 필요하다는 사회적 공감대가 깊이 형성되어 있기 때문이다. 우리는 CCTV가 범죄 예방, 시설 안전, 화재 방지 등 공익적 목적을 위해 운영될 필요성과 정당성을 폭넓게 인정해 왔다. 사생활 보호라는 가치만큼이나 '공공의 안전' 역시 포기할 수 없는 가치로 받아들여졌고, 이러한 사회적 합의는 오늘날 촘촘한 CCTV 환경을 지탱하는 강력한 명분이 되었다. 이러한 합의가 우리 사회를 얼마나 더 안전하게 만들었는지에 대해서는 다양한 의견이 존재할 수 있다. 다만 CCTV가 일상의 필수 인프라로 자리 잡게 된 배경이라는 점만큼은 분명하다. 원칙적으로 개인정보보호법은 누구나 다니는 공개된 장소에 CCTV를 마음대로 설치하는 것을 금지하고 안전과 공익을 위해 꼭 필요한 6가지 경우에만 예외적으로 설치와 운영을 허용한다. 법령에 근거가 있거나 범죄 예방과 수사, 시설 안전과 화재 예방, 교통 단속이나 교통정보 제공처럼 공익적 필요가 분명한 경우에 한해 정당한 권한을 가진 자만 설치할 수 있다. 또한 촬영된 영상을 저장하지 않는 등 사생활 침해 우려가 낮은 경우에는 대통령령이 정하는 범위에서 예외가 인정된다. 즉, CCTV는 단순한 편의 장비가 아니라 명확한 필요성과 목적이 있을 때만 허용되는 장치다. 하지만 CCTV의 고수용성이 '현대판 파놉티콘'을 정당화하지는 않는다. 안전을 위해 설치한 CCTV가 적법한 파수꾼으로 남기 위해서는 법이 허용하는 '기록의 범위'와 '공개의 원칙'이라는 두 가지 선이 명확하게 지켜져야 한다. 기록의 범위: CCTV는 '눈'이어야지 '귀'가 되어서는 안 된다 영상과 음성은 법적으로 전혀 다른 위험도를 가진 정보다. CCTV 영상은 사람이 어디에 있고 무엇을 하고 있는지를 보여주는 객관적 정보지만 음성은 다르다. 대화에는 개인의 사상, 신념, 건강 상태, 내밀한 인간관계가 자연스럽게 담기기 때문이다. 그래서 법은 음성을 단순한 행동 기록이 아니라 사생활 침해 위험이 매우 큰 정보로 취급하며 통신비밀 보호에 준하는 수준으로 엄격하게 규제한다. 흔히 “녹음 중이라고 써 붙이면 되지 않느냐”는 오해가 있지만 답은 명확하다. 불특정 다수가 이용하는 공개된 장소에서는 자발적인 동의가 성립하기 어렵기 때문이다. 길을 지나가는 행인이나 손님은 녹음을 원하지 않더라도 그 공간의 이용을 포기하거나 녹음만 선택적으로 피할 현실적인 수단이 없다. 따라서 안내문을 부착했다는 이유만으로 원칙적으로 금지된 음성 녹음이 합법화되지는 않는다. 공개의 원칙: 안내표지판, 선택권을 보장하기 위한 최소한의 장치 CCTV가 적법한 지위를 유지하기 위해 필요한 또 하나의 기준은 투명한 공개다. 안내표지판 부착은 단순한 형식적 요건이 아니라 시민이 촬영 사실을 인지하고 그 공간을 이용할지 스스로 판단할 기회를 보장하기 위한 핵심 장치다. 촬영 목적이 아무리 정당하더라도 안내판이 없거나 글씨가 너무 작아 알아보기 어렵다면 그 설치 자체가 위법으로 판단될 수 있다. 안내판은 촬영 대상자가 “지금 이 공간에서, 어떤 이유로, 누구에 의해 촬영되고 있는지”를 직관적으로 알 수 있도록 작성되어야 하며 이를 위해 법은 안내표지판에 최소한 ▲설치 목적 및 장소 ▲촬영 범위 및 시간 ▲관리책임자의 연락처를 반드시 기재하도록 요구하고 있다. CCTV는 보호의 도구이자, 가장 가까운 감시다 CCTV는 보호의 도구이지만 그 작동 방식과 활용 범위에 따라 언제든 가장 가까운 감시로 전환될 수 있는 장치이기도 하다. 이러한 '감시 가능성'이 사회 전반으로 확장되어 스스로 자신을 검열하게 만드는 감시의 작동 논리가 바로 파놉티콘이다. 개인의 일상을 데이터로 점수화하여 사회적 권리를 제한하는 디지털 통제 시스템의 위험성, 그리고 이를 경계하여 EU 인공지능법이 고위험 AI에 대해 엄격한 제한을 두는 이유 역시 여기에 있다. 문제는 기술 그 자체가 아니라 기록이 축적되고 결합되어 개인의 행동을 통제하는 수단으로 변질될 가능성에 있다. 이러한 문제의식은 거창한 국가 감시 체계에만 국한되지 않는다. 가정 내에 설치되는 반려견 캠이나 홈캠 역시 주거 공간이라는 이유로 무제한으로 허용되는 것은 아니다. 개인정보보호법상 집 안은 원칙적으로 '비공개 장소'에 해당한다. 그러나 방문 교사나 가사도우미 등 정기적으로 출입하는 타인이 있다면 사생활 침해 문제가 발생할 수 있다. 특히 촬영 사실에 대한 고지 없이 영상이 저장·활용되는 경우에는 분쟁으로 이어질 소지도 적지 않다. 따라서 CCTV는 타인의 권리를 고려해 명확한 목적과 책임 있는 방식으로 사용되어야 할 장치다. 지금 당신의 CCTV는, 그 선을 넘지 않고 있는가?

2026.01.13 10:58안정민 컬럼니스트

가명처리된 정보 활용, SKT는 무죄·스캐터랩은 유죄...왜?

가명처리된 개인정보를 활용한 두 기업에 대해 법원이 서로 다른 판단을 내리면서, 개인정보보호법 해석의 기준과 일관성 관련해 의문이 제기된다. SK텔레콤은 가명정보를 본인 동의 없이 활용한 사례에서 법원의 정당성을 인정받았지만, 인공지능 챗봇 '이루다'를 개발한 스캐터랩은 같은 법 아래에서 위법 판결을 받았기 때문이다. 두 사례 모두 가명처리를 했다는 공통점이 있지만, 활용 목적과 식별 가능성 수준의 차이가 판결의 갈림길이 된 것으로 분석된다. 법원 "SK텔레콤은 식별 위험 낮아” vs "스캐터랩은 식별 가능성 존재" 정부는 지난 2020년 개인정보보호법을 개정해 가명 처리된 개인정보를 통계 작성, 과학적 연구, 공익적 기록 보존 등을 목적으로 하는 경우 본인 동의 없이도 활용하거나 제3자에게 제공할 수 있도록 허용했다. 디지털 경제 활성화를 위한 데이터 산업 육성이 입법 취지였다. 대법원은 지난 1일 SK텔레콤 가입자들이 제기한 '가명처리 중단' 소송에서 원고 청구를 기각했다. SK텔레콤이 가입자의 개인정보를 가명 처리해 제3자에게 제공한 행위가 개인정보보호법에 위반되지 않는다고 판단한 것이다. 재판부는 “SK텔레콤의 가명처리는 통계 작성과 연구 목적으로 이뤄졌으며, 개인정보에 대한 식별 위험성을 낮추는 방식”이라며 “가명정보의 활용은 사생활 침해 위험이 발생하는 일반적인 개인정보 처리와 구별된다”고 판시했다. 반면 1심 법원은 지난 6월 이루다 개발사 스캐터랩에 대해 개인정보보호법 위반으로 위자료를 배상하라고 판결했다. 스캐터랩 측은 가명 처리된 카카오톡 메시지를 활용했으며, 개발 목적이 과학적 연구라고 주장했지만 받아들여지지 않았다. 당시 재판부는 “스캐터랩의 가명처리는 특정 개인의 식별 가능성을 완전히 배제하지 못했다”며 “이루다 개발은 상업적 목적의 챗봇 제작으로, 개인정보보호법이 허용하는 과학적 연구에 해당하지 않는다”고 판단했다. 핵심 쟁점은 '식별 가능성'과 '목적의 정당성' 법률 전문가들은 두 사건 간 판결이 달라진 핵심으로 ▲가명처리 수준의 차이와 ▲활용 목적의 정당성 여부를 지적하고 있다. 구태언 법무법인 린 변호사는 “SK텔레콤은 적절한 방식으로 가명처리를 수행했고, 데이터 활용 목적도 법에서 정한 공익적 범위에 해당한다”며 “반면 스캐터랩은 가명처리가 불충분했고, 상업적 용도로 활용한 점에서 문제가 된 것”이라고 설명했다. 보안 업계 관계자도 “가명 처리했다고 해서 자동으로 식별 가능성이 사라지는 것은 아니다”라며 “가명정보와 원본 데이터를 연결할 수 있는 키가 존재할 경우 언제든지 개인을 특정할 수 있다”고 지적했다. 가명정보는 민감한 개인정보를 보호하면서도 산업·연구 목적으로 데이터를 활용할 수 있도록 하는 대안으로 주목받아 왔다. 그러나 처리 수준에 따라 사생활 침해 우려가 발생할 수 있고, 중소기업이 이를 감당하기 어려운 경우도 많아 제도적 보완 필요성이 제기된다. 고려대 정보보호대학원 권헌영 교수는 “가명정보라 하더라도 원칙적으로 동의 없이 제3자에게 제공되는 것은 위험 요소가 존재한다”며 “가명처리는 대규모 인프라를 갖춘 기업 중심으로 이뤄지고 있어, 일반 기업이 이를 제대로 수행하기는 쉽지 않다”고 말했다. 이어 “현재는 가명처리된 정보를 특정할 수 있다면 이를 활용한 주체가 개인정보를 수집한 것으로 간주한다”면서 “불법 활용을 막기 위해서는 민감정보를 별도 처리하거나, 정보 제공자가 명시적으로 제외를 요청할 수 있도록 제도를 정비할 필요가 있다”고 강조했다. 책임 있는 활용 위한 기술적·제도적 기준 필요 전문가들은 앞으로 가명정보의 안전한 활용을 위해 기술적 기준뿐 아니라, 사업자 책임·정보보호 가이드라인 강화 등 제도 전반의 재정비가 필요하다고 강조한다. 보안 업계에서는 '태깅 처리' 방식이 하나의 대안으로 제시되기도 한다. 정보에 키워드를 부여하고 원본과 분리된 상태로 데이터를 유통하면 원본 식별 가능성을 줄일 수 있다는 것이다. 업계 전문가는 "결국 개인정보 가명처리는 단순한 기술 문제가 아닌, 책임성과 투명성 확보의 문제라는 점에서 제도적 보완이 병행돼야 한다"며 "동일한 법 아래에서 전혀 다른 결론이 나오는 상황은 법 적용의 일관성과 예측 가능성을 떨어뜨리는 요인이 될 수도 있다"고 우려하기도 했다.

2025.08.06 15:55박서린 기자

김우영 의원 "유심 정보도 암호화 의무대상 포함해야"

국회 과학기술정보방송통신위원회 소속 김우영 의원(더불어민주당)은 가입자식별모듈(SIM) 등 필수적인 개인정보를 규정해 이동통신 서비스 이용자의 개인정보를 보다 안전하게 보호하는 취지의 개인정보보호법 개정안을 발의했다고 7일 밝혔다. 현행 개인정보보호법에서는 고유식별정보를 암호화해 분실, 도난, 유출, 위조, 변조 또는 훼손의 위험으로부터 안전하게 보관하도록 규정하고 있으나 유심 정보는 이동통신 서비스의 필수적인 정보임에도 암호화가 의무적으로 적용되지 않아 개인정보 유출 사고가 발생할 때 이용자를 보호할 수 있는 근거가 부족했다. 이에 따라, 개정안은 제 29조에 규정하는 안전조치 의무에 접속기록 보관뿐 아니라 고유식별정보, 생체인식정보, 범용가입자식별모듈(USIM) 정보를 포함했다. 이를 통해 이동통신 서비스를 이용하면서 이용자가 제공하는 개인정보를 침해사고로부터 안전하게 보호할 근거가 마련될 것으로 기대된다. 김우영 의원은 “정보보안 정책 방향성이 정보통신망에서 데이터 중심으로 이동하는 만큼 기존 법안에서 안전조치의무대상이 아니었던 가입자식별모듈도 암호화 의무대상에 포함해야 한다”고 말했다.

2025.07.07 11:33박수형 기자

"개인정보 유출 기업이 불법유통 추적해야"

더불어민주당 이정문 의원이 개인정보 유출 기업과 기관의 사후 책임을 강화하는 개인정보 보호법 개정안을 대표발의 했다고 1일 밝혔다. 최근 SK텔레콤 사이버 침해사고를 비롯해 대규모 개인정보 유출 사고가 반복되고 있으나, 현행 개인정보보호법에는 유출된 개인정보의 불법유통을 추적하고 확산을 방지하는 사후 조치에 대한 의무는 없다. 이에 따라 개정안은 일정 규모 이상의 개인정보 유출 사고 발생 시 기업에 추가적인 의무를 부과하는 내용을 담았다. 구체적으로 ▲1천명 이상의 정보주체에 관한 개인정보 유출 ▲민감정보, 고유식별정보 유출 ▲개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의한 개인정보 유출 시 2년간 유출된 정보의 불법유통 여부를 모니터링하고 모니터링 결과를 개인정보보호위원회에 보고하도록 의무화했다. 모니터링 미이행 또는 보고 의무 위반 시 3천만원 이하의 과태료 부과 조치도 마련했다. 아울러 유출된 개인정보가 불법 유통되는 것을 확인한 경우 정보를 유통하는 자를 수사기관에 고발하도록 하고, 개인정보 유출로 피해를 입은 정보주체가 해당 정보의 불법유통 의심 시 개인정보보호위원회 등 전문기관에 신고할 수 있는 법적 근거를 마련했다. 이정문 의원은 “개인정보 유출로 인한 피해는 단순히 유출 자체에서 그치지 않고, 2차·3차 피해로 확산되는 경우가 많다”며 “기업과 공공기관들이 개인정보 유출 이후에도 지속적으로 유출된 정보에 대한 책임을 지고 사후 관리를 철저히 하도록 하는 것이 개정안의 취지”라고 밝혔다. 이어 “개인정보를 수집하는 기업과 공공기관은 정보의 안전한 보호뿐만 아니라 유출사고 발생 시 사후 확산 방지에도 책임을 다해야 한다”면서 “이번 개정안을 통해 SK텔레콤의 대규모 개인정보 유출 초기 대응실패와 무책임한 대응과 같은 상황을 방지해 국민의 피해를 최소화하는 데 기여할 것”이라고 강조했다.

2025.05.01 12:46박수형 기자

"中에 220배 뒤처져"...자율주행차 발목잡는 규제

“지난해까지 중국 바이두가 쌓은 자율주행 운행 기록이 1억1천만km였다. 국내 1위 업체로 평가받는 오토노머스에이투지가 50만km로 약 220배 차이가 난다. 방대한 데이터 차이를 극복하려면 양질의 데이터를 수집할 수 있게 해야 한다.” 이상동 한국자율주행산업협회 팀장은 지난 27일 열린 '자율주행 산업 지원 국회 토론회'에서 이같이 말했다. 최근 중국 스타트업이 내놓은 AI 모델 '딥시크'가 저성능 칩으로 충격적인 성능을 보여주자 BYD와 지리 등 현지 자동차 기업들이 잇따라 자율주행 기술에 딥시크를 활용하겠다고 나섰다. 일찍이 자율주행 기술을 내세워온 테슬라도 지난해 말 완전자율주행(FSD) 소프트웨어 최신 버전을 업데이트하고, 오는 6월 이를 기반으로 한 로보택시 서비스를 예고하는 등 기술 고도화에 집중하는 추세다. 해외 기업들이 실제 주행 데이터를 수집하고, 이를 토대로 기술을 고도화하는 반면 우리나라는 데이터 수집 제한 규제로 양적 격차가 크게 벌어지고 있다는 지적이다. 이상동 팀장은 “AI 기업과 자율주행 기업, 완성차 기업들이 경계선 없이 넘나들면서 협업을 하며 AI 학습을 위한 데이터 수집과 활용이 중요하게 됐다”며 “국내에 자율주행차가 돌아다니려면 국내 환경에 맞는 최적화 데이터가 꼭 필요하다”고 강조했다. 특히 국가 차원에서 양질의 주행 데이터를 수집하는 것이 바람직하다고 봤다. 영세한 스타트업도 산업에 진입할 수 있게 하자는 취지다. 지난 2023년 개인정보보호법 개정에 따라 '이동형 영상정보처리기기'라는 개념으로 주행 영상을 데이터로 활용할 수 있는 법적 근거가 마련됐다. 그러나 데이터의 질적 측면에서 미국, 중국 등 자율주행 기술에 공들이는 국가 대비 여건이 불리하다는 지적이다. 이 팀장은 “테슬라로 예를 들면, 500만대 차량이 도로를 주행하며 사고가 발생하면 당시 영상을 그대로 본사에 전송함에 따라 그 데이터를 자율주행 AI 성능 개선에 활용하고 있다”며 “이런 회사와 규제 샌드박스 차량 몇십 대의 주행 데이터를 토대로 기술을 개발하는 (우리나라) 회사 간 경쟁력이 어디에 있겠나”라고 강조했다. 특히 현 제도 하에서 주행 영상 데이터를 활용할 때 개인정보 비식별화 처리 과정을 거치게 하는 점을 문제 삼았다. 비식별 처리된 영상을 학습한 AI보다 원본 영상을 학습한 AI가 객체 인식이나 주행 판단의 정확도가 17% 이상 높아졌다는 연구 결과를 소개했다. 이 팀장은 “특히 야간 주행, 악천우 등 복잡한 도심 환경에서 원본 주행 영상의 활용 가치가 더욱 올라간다”고 덧붙였다. 우리나라에선 설정된 규칙에 따라 자율주행 AI 모델이 주어진 상황을 인지하고 제어하는 반면, 테슬라 등 선도 기업들은 AI가 사람처럼 새로운 상황에서도 적절한 판단을 할 수 있도록 엔드투엔드(E2E) 방식을 쓰고 있는 점에도 주목했다. E2E 방식 자율주행 AI 성능을 개선하기 위해 더욱 양질의 주행 데이터가 요구되고 있다는 분석이다. 이 팀장은 “결국 모든 사례를 사전에 정의할 수 없기 때문에, 정의된 내용을 벗어나는 사례에서 자율주행 AI가 어떻게 대응할지 모른다는 기술적 어려움이 있다”고 첨언했다. 규제 샌드박스를 통해 원본 주행 데이터 활용이 일부 허용되고 있지만, 대규모 개발 프로젝트에는 한계가 있어 많은 기업들이 비식별 처리된 영상 데이터를 사용할 수밖에 없는 상황이다. 이 팀장은 “규제 샌드박스는 일시적인 예외를 두는 제도인데 자율주행 산업은 계속 고도화해나갈 산업”이라며 “원본 주행 데이터 활용에 대한 지속적인 법적 근거가 마련돼야 한다”고 주장했다.

2025.02.28 18:37김윤희 기자