검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'프라이버시 보호'통합검색 결과 입니다. (6건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[유미's 픽] 공공 AX 확대 속 AI 프라이버시 정책 '운영 단계'로…업계 부담 커진다

국내 인공지능(AI)·소프트웨어 업계가 개인정보 보호 대응을 기술 개발의 부수 요소가 아닌 핵심 경쟁력으로 재정립해야 할 것으로 보인다. 생성형 AI를 넘어 에이전트 AI, 피지컬 AI 등 차세대 기술이 서비스 현장에 빠르게 적용되면서 개인정보 리스크가 단순 유출 방지를 넘어 서비스 구조 전반의 신뢰 문제로 확산되자 정부가 정책 정비에 나섰기 때문이다. 4일 개인정보보호위원회가 발표한 '2026 AI 프라이버시 민관 정책협의회 운영 방향'에 따르면, 정부는 AI 확산으로 개인정보 리스크가 기존 유출·노출 중심에서 민감정보 추론, 딥페이크 악용, 프로파일링 등 새로운 형태로 확대되고 있다고 진단했다. 정책 논의의 초점도 모델 학습 단계에서 벗어나 에이전트 AI·피지컬 AI 등 서비스 운영 단계에서 발생할 수 있는 위험 대응으로 전환했다. 이에 맞춰 협의회는 데이터 처리기준, 리스크 관리, 정보주체 권리 등 3개 분과 체계로 운영한다. 또 '에이전트 AI 개인정보 처리기준' 마련(6월)과 AI 프라이버시 레드팀 방법론 연구를 추진할 계획이다. 여기에 자동화된 결정 대응 등 이용자 권리 보장 방안과 올해 3월께 'AI 이용 개인정보 보호수칙'도 제시할 예정이다. 향후에는 AI 정책 수립 과정에서 민관 의견을 폭넓게 수렴하고 부처 간 정책 정합성을 확보하는 자문기구로 기능을 확대한다는 방침이다.특히 이번에 주목할 점은 협의회 논의 과제에 'AI 프라이버시 레드티밍(Red Teaming)' 방법론이 포함됐다는 점이다. 레드티밍은 공격자 관점에서 시스템의 취약점을 의도적으로 점검해 보안 허점을 찾아내는 방식으로, AI 서비스가 실제 운영 과정에서 맞닥뜨릴 수 있는 프라이버시 위협을 사전에 검증하는 절차로 활용될 수 있다. 이를 통해 기업들의 개인정보 보호 대응이 기존의 사후적·수동적 점검에서 벗어나 보다 공세적이고 예방적인 리스크 관리 체계로 전환될 가능성이 클 것으로 예상된다.셀렉트스타 관계자는 "매우 빠른 AI 발전이 실질적 확산으로 이어지기 위해서는 관련 규제 환경의 신속한 맞춤 변화가 중요하다"며 "정부가 민관 정책 협의회 등을 통해 민간과 적극적으로 소통해 AI 업계의 규제 불확실성을 최소화할 것으로 기대된다"고 말했다. 개보위의 이 같은 움직임에 AI 업계도 예의주시하고 있다. 정부의 규제 논의가 학습 데이터 적법성 중심에서 서비스 배포 이후의 운영 책임으로 이동하고 있다는 점에서 기업들은 향후 AI 서비스 전 과정에 대한 관리·감독 요구가 강화될 가능성에 주목하고 있다. 이 같은 변화는 에이전트 AI 확산과 맞물리면서 더욱 뚜렷해질 전망이다. 에이전트 AI는 사용자 대신 업무를 수행하며 다양한 데이터에 접근하고 서비스 간 상호작용을 통해 결과를 만들어내는 구조인 만큼, 개인정보 처리 책임의 경계가 더욱 복잡해질 수밖에 없다. 이에 따라 기업들은 서비스 설계 단계부터 데이터 처리 흐름과 사후 통제 체계를 함께 마련해야 하는 과제를 안게 됐다. 업계 관계자는 "그동안 기업들이 학습 데이터 적법성에 집중했다면, 앞으로는 서비스 운영 과정에서 AI가 어떤 데이터에 접근하고 어떤 결정을 내리는지가 규제의 핵심이 될 것"이라며 "에이전트 AI 확산은 프라이버시 컴플라이언스를 한 단계 끌어올리는 계기가 될 수 있다"고 말했다. 이러한 흐름은 민간 서비스뿐 아니라 공공 부문 AI 전환 확대와 맞물리며 업계 부담을 더욱 키우고 있다. 정부는 공공기관이 AI 신서비스를 기획하는 과정에서 개인정보 보호법 저촉 여부가 불확실한 경우가 많다는 점을 감안해 사전적정성 검토와 규제 샌드박스 지원을 병행할 계획이다. 정부의 공공 AX 예산은 2025년 5천억원에서 2026년 2조4천억원으로 5배 증가하며 33개 부처에서 206개 사업이 추진될 예정이다. 이에 공공 시장을 겨냥하는 소프트웨어 기업들 사이에서는 초기 설계 단계부터 프라이버시 보호 체계를 갖추지 않으면 사업 참여 자체가 어려워질 수 있다는 전망도 나온다. 업계 관계자는 "공공 AX 사업이 급증하면서 AI 적용은 필수가 됐지만, 개인정보 이슈가 정리되지 않으면 사업 추진 속도가 늦어질 수밖에 없다"며 "기업 입장에서는 보호설계(PbD)를 선제적으로 반영하는 것이 경쟁력이 될 것"이라고 말했다. 글로벌 규범 역시 에이전트 AI를 중심으로 빠르게 정비되는 추세다. 미국 NIST 산하 AI 표준 및 혁신센터(CAISI)는 AI 에이전트의 데이터 접근권한 최소화와 사후 통제권 확보를 위한 논의에 착수했다. 영국 정보위원회(ICO)는 에이전트 AI 발전 단계별 시나리오를 제시하며 규제 고도화에 나서고 있다. 싱가포르는 '에이전틱 AI 정부 프레임워크'를 마련했다. 이처럼 국제적으로 샌드박스형 사전 검증과 인간 개입 원칙이 핵심 규범으로 부상하면서 국내 기업들도 글로벌 기준에 맞춘 대응 전략이 불가피해지고 있다. 업계에선 이번 발표를 계기로 AI 서비스 기업들의 프라이버시 대응 부담이 운영 단계까지 확대될 것으로 보고 있다. 에이전트 AI 확산에 따라 관련 리스크 관리 체계 마련이 주요 과제로 떠오르고 있다는 분석이다. 업계 전문가는 "AI 경쟁이 고도화될수록 기업들은 성능뿐 아니라 '신뢰 가능한 운영 체계'를 갖춘 곳이 시장에서 살아남게 될 것"이라며 "프라이버시 대응 역량이 향후 국내외 사업 확장의 결정적 변수로 작용할 가능성이 높다"고 말했다.

2026.02.04 09:54장유미 기자

[법과 상식 사이] 왜 미국에는 단일 프라이버시법이 없을까

최근 대규모 개인정보 유출 사건이 잇따르면서 각국의 프라이버시 법제에 대한 관심이 다시 높아지고 있다. 이러한 논의를 이해하기 위해서는 먼저 EU와 미국이 채택하고 있는 프라이버시 규제의 제도적 차이를 살펴볼 필요가 있다. EU는 일반 정보보호 규정(GDPR)이란 단일 규범을 통해 높은 수준의 개인정보 보호를 요구하는 대신, EU 전역에 공통적으로 적용되는 기준을 제시함으로써 기업들에게 명확한 규제 대응의 틀을 제공한다. 반면 미국은 연방 차원의 포괄적 프라이버시법 없이 주(州) 중심의 분산적 규제 구조를 유지하고 있어 기업들은 주마다 서로 다른 동의 방식과 고지 의무를 충족시켜야 한다. 이러한 규제의 파편화는 막대한 준수 비용과 법적 불확실성을 야기해 왔으며, 그 결과 연방 차원의 통합 프라이버시법 제정에 대한 기대도 오랫동안 제기되어 왔다. 그럼에도 미국은 왜 유럽의 GDPR과 같은 단일한 체계로 나아가지 못한 채 주와 연방의 권한 다툼 속에 머물러 있는 것일까. 문제의 본질은 헌법이 예정한 연방과 주 간의 권한 배분 구조에 있다 연방 정부가 프라이버시 영역에서 입법 권한을 주장할 수 있는 핵심 근거는 미국 헌법 제1조 제8절 제3항 통상조항(Commerce Clause)이다. 통상조항은 연방 의회에 외국과의 통상, 주 간 통상, 그리고 인디언 부족과의 통상을 규제할 권한을 부여한다. 초기에는 이 조항이 주로 물리적 상품의 이동과 거래를 규율하는 근거로 이해됐으나, 현재는 연방대법원의 판례를 통해 그 범위가 크게 확장되어 교통·통신·금융·노동 등 주 간 경제에 실질적인 영향을 미치는 모든 활동을 포괄하는 개념으로 해석된다. 전화와 인터넷, 디지털플랫폼처럼 본질적으로 주 경계를 넘나드는 활동은 오늘날 통상조항 적용의 전형적인 대상이며 이를 통해 미국 연방 정부는 경제와 사회 전반에 걸친 광범위한 규제를 정당화해 왔다. 이러한 법리적 확장은 개인정보 보호 영역에도 그대로 적용된다. 연방 프라이버시법 초안들(APRA, ADPPA 등)은 개인정보의 수집·이용·이전을 주 간 상거래에 직접적이고 지속적인 영향을 미치는 경제 활동으로 규정한다. 이에 따라, 주별로 상이한 의무가 기업의 데이터 흐름과 비즈니스모델에 중첩 적용되면서 연방 차원의 개입이 정당화된다는 논리가 형성된다. 그러나 프라이버시 규제는 통상 규제에 그치지 않고 소비자 보호와 기본권 보장이라는 전통적인 주 정부의 입법권 및 경찰권과 충돌하게 되며, 이러한 헌법적 긴장이 오늘날 미국에서 연방 프라이버시법이 반복적으로 좌초되는 구조적 배경을 형성하고 있다. 연방의 선점원칙과 주 정부 입법권의 충돌 미국 헌법은 연방법과 주법이 충돌할 경우 연방법이 우선 적용된다는 선점원칙(preemption)을 통해 연방 권한의 효력을 확보하는 한편, 헌법에 명시되지 않은 권한은 헌법 수정조항 제10조에 따라 주에 유보함으로써 연방과 주의 권한 경계를 설정하고 있다. 다시 말해, 연방법은 주법에 우선하지만 연방에 위임되지 않은 영역에서는 주가 독자적으로 규범을 설계할 수 있다. 문제는 개인정보 보호가 오랫동안 소비자 보호, 불법행위 책임, 사생활 보호와 같은 주법 영역에서 발전해 왔다는 점이다. 이로 인해, 연방 프라이버시법은 주법에 앞사 적용돼야 실효성을 갖지만 연방이 이를 일괄적으로 규율하려 할 경우 주 정부의 입법권을 침해한다는 강한 반발에 직면하게 된다. 실제로 APRA와 ADPPA를 포함한 주요 연방 프라이버시법 초안들은 모두 주 프라이버시법을 일정 범위에서 배제하는 선점 조항을 담고 있었고 바로 이 지점에서 갈등이 본격화됐다. 캘리포니아, 콜로라도, 버지니아 등 이미 포괄적 프라이버시법을 시행 중인 주들은 연방 법이 최소 기준을 제시하는데 그치지 않고, 주가 더 강한 보호 규제를 도입하는 것까지 제한하는 기준으로 작동할 가능성을 우려한다. 이들 주의 입장에서 선점 조항은 규제 일관성을 확보하기 위한 장치라기보다 그동안 축적해 온 보호 체계를 연방 입법으로 약화시킬 수 있는 수단으로 받아들여진다. 이로 인해, 연방 프라이버시 입법은 단순한 정책 조정의 문제가 아니라, 연방과 주 가운데 누가 프라이버시 규범을 설계할 권한을 가지는가라는 연방주의(federalism) 차원의 충돌로 전환된다. 결국 현재의 교착상태는 통상권에 기초한 연방의 선점 논리와 수정조항 제10조에 기초한 주의 입법권이 정면으로 맞부딪히는 헌법 구조의 산물이다. 이러한 구조적 충돌이 해소되지 않는 한 연방 차원의 포괄적 프라이버시법은 반복적으로 같은 지점에서 멈출 수밖에 없다. 기업의 현실적 대안: 연방 입법이 아닌 주 기준을 사실상 표준으로 삼아라 이러한 헌법 구조를 고려할 때 연방 차원의 통합 프라이버시법 제정을 기다리는 전략은 현실적이지 않다. 주별로 파편화된 규제 환경이 상당 기간 지속될 가능성이 큰 만큼 현재 미국 내에서 사실상의 기준으로 기능하고 있는 개정된 캘리포니아 소비자 프라이버시법(CCPA/CPRA)의 보호 수준을 내부 공통 기준으로 설정하고 개인정보의 수집과 활용을 최소화하는 방향으로 대응하는 것이 합리적이다. 다수의 주가 캘리포니아 모델을 벤치마킹하고 있다는 점에서 CPRA에 기반한 컴플라이언스 체계는 향후 타 주 법률에도 비교적 유연하게 대응할 수 있는 실질적인 기반이 된다. 불확실한 연방 입법의 향방에 기대기보다 생체정보·위치정보·아동 데이터 등 특정 영역을 중심으로 강화되고 있는 주 단위 규제와 집행에 선제적으로 대비하는 것이 현 시점에서 기업이 선택할 수 있는 가장 현실적인 대응 전략이다.

2026.01.23 14:24안정민 컬럼니스트

SAP 데이터 비식별화 수요 급증…에피유즈랩스 '데이터 프라이버시 스위트' 주목

기업 데이터 활용이 인공지능(AI)·분석·자동화 영역으로 빠르게 확장되면서 SAP 시스템에 저장된 민감 데이터를 안전하게 보호하면서도 실무에 활용할 수 있는 데이터 비식별화 기술 수요가 커지고 있다. 에피유즈랩스는 SAP 환경에 최적화한 프라이버시 및 데이터 비식별화 솔루션인 'Data Privacy Suite'를 통해 운영·비운영 시스템 전반에서 글로벌 개인정보보호 규제 준수와 데이터 활용을 지원한다고 16일 밝혔다. SAP 시스템은 재무·인사·급여·고객·자재·거래 정보 등 기업 핵심 데이터가 집약된 플랫폼으로, 민감 정보가 대규모로 축적돼있다. 동시에 AI 학습, 데이터 분석, 테스트·개발 환경, 외부 협력사와의 공동 프로젝트 등 SAP 데이터를 활용해야 하는 요구도 지속 확대되는 추세다. 다만 SAP 데이터는 구조적 복잡성이 높아 단순 마스킹이나 필드 치환 방식만으로는 데이터 정합성이 훼손돼 테스트나 분석 환경에서 활용이 어려워질 수 있다. 이에 SAP 데이터 구조와 비즈니스 로직을 이해한 전문적인 비식별화 접근이 필요하다는 인식이 확산되고 있다. 에피유즈랩스가 제공하는 Data Privacy Suite는 SAP 환경에 특화된 프라이버시 및 데이터 비식별화 솔루션으로, 유럽연합(EU) 개인정보보호법 GDPR과 국내 개인정보보호법 등 글로벌 규제 대응을 지원하도록 설계됐다. 비운영 시스템에서는 SAP 테이블 구조와 비즈니스 로직을 고려한 정교한 비식별화·익명화 처리를 통해 데이터 프라이버시 위험 없이 정확한 테스트 수행을 지원한다. 인사·급여·재무 등 민감 영역에 대한 필드 단위 마스킹과 규칙 기반 처리, 운영 시스템에서 비운영 시스템으로 데이터 복제 시 전송 과정에서 개인정보를 스크램블링하는 보호 기능도 제공한다. 또 AI 및 분석 활용을 위해 식별 정보는 제거하면서 데이터 활용성은 유지할 수 있도록 한다. 운영 시스템에서는 SAP 환경 전반을 즉시 검색해 특정 주체의 데이터 흔적을 식별·조회·제공할 수 있도록 지원하며 참조 무결성을 유지하면서 필드 데이터를 신속하고 안전하게 삭제하는 기능도 제공한다. 삭제 대상 데이터 주체를 유연한 규칙 기반으로 사전에 식별하는 기능도 포함된다. 에피유즈랩스는 글로벌 시장에서 SAP 데이터 비식별화 전략이 규제 대응을 넘어 데이터 활용 기반으로 확장되고 있다고 강조했다. 실제 영국 통신사 BT는 대규모 SAP 테스트 데이터 관리 과제에 대응하기 위해 에피유즈랩스의 Data Sync Manager Suite를 도입, 운영 데이터 중 필요한 데이터만 선별 복제하고 민감 정보에 데이터 스크램블링을 적용해 GDPR 준수와 함께 테스트 데이터 정확성을 높였다. 기존 한 달이 걸리던 SAP 데이터 리프레시 작업을 최대 72시간 내로 단축하며 효율성과 통제 수준을 개선했다. 네덜란드 금융기관 라보뱅크는 은행 당국(DNB) 규제에 따라 운영 환경 외 모든 SAP 데이터를 스크램블링해야 하는 요구에 직면해 Data Sync Manager를 도입했다. 이를 통해 클라이언트 리프레시 자동화와 비운영 환경 SAP 데이터 스크램블링을 구현했으며 운영 문서를 94페이지에서 4페이지로 축소하고 디스크 공간 5TB 절감, 데이터 리프레시 시간 10시간 단축 성과를 거뒀다. 이 밖에도 네슬레는 GDPR 시행 이후 유럽 내 SAP 시스템에 저장된 인사·고객 데이터를 안전하게 활용하기 위해 Data Privacy Suite를 도입해 개인정보 비식별화·가명 처리를 적용하고 규제 요건을 충족하면서도 테스트·분석 환경에서 SAP 데이터를 지속 활용할 수 있는 체계를 마련했다. 쉘은 비운영 시스템 데이터를 스크램블링하는 방식으로 공급업체·비즈니스 파트너·직원 데이터를 비식별화해 민감 정보 노출 없이 SAP 테스트 및 시스템 최적화를 수행했다. 기존 6주 소요되던 데이터 스크램블링 작업을 전체 리프레시와 결합해 5일 만에 완료했다. 프랑스 에너지 기업 엔지는 80TB 규모 SAP 시스템 내 개인정보를 식별·분석한 뒤 운영 데이터는 제거하고 비운영 데이터는 비식별화하는 전략을 수립해 Data Privacy Suite를 도입했다. 이를 통해 개인정보 감독기구(CNIL) 재감사를 안정적으로 통과했다. 이같은 사례는 SAP 데이터 비식별화가 단순 보안 조치를 넘어 기업·공공기관의 데이터 활용 전략을 뒷받침하는 핵심 기반으로 진화하고 있음을 보여준다. 에피유즈랩스는 SAP S/4HANA 전환, 클라우드 이전, AI 기반 데이터 분석·자동화, 외부 파트너와의 공동 프로젝트 등에서 보호되지 않은 SAP 데이터는 자산이 아닌 사업 리스크가 될 수 있다는 점도 지적했다. 이런 과제를 데이터 프라이버시 스위트를 앞세워 해결해 나간다는 목표다. 에피유즈랩스 제임스 왓슨 데이터 프라이버시·보안 글로벌 총괄은 "SAP 데이터는 기업과 공공기관의 가장 중요한 자산이지만, 동시에 가장 엄격한 규제를 받는 정보이기도 하다"며 "Data Privacy Suite는 글로벌 기업과 공공기관의 실제 적용 사례를 통해 검증된 솔루션으로, 데이터를 단순히 숨기는 것이 아니라 안전하고 책임감 있게 활용할 수 있도록 지원할 것"이라고 밝혔다.

2026.01.16 16:59한정호 기자

금보원 "데이터 규모 늘어 보안 위험↑…PET 활용해야"

금융보안원은 개인정보 보호 강화 기술(PET)의 특성과 금융권 적용 분야 분석, 개선 과제 등을 체계적으로 정리한 연구보고서를 공개했다고 24일 밝혔다. 최근 데이터 규모가 늘어남에 따라 개인정보 유출 등 보안 위험이 커지는 만큼 안전한 데이터 활용을 위해서다. PET는 개인정보 원본을 공개하지 않은 상태에서 개인정보를 활용해 계산·분석 등 정보 처리를 하는 기술로, 데이터 활용화 프라이버시 보호의 균형을 달성할 기술로 알려져 있다. 예를 들어 합성데이터, 차분프라이버시, 동형암호, 영지식 증명 등이 PET에 해당한다. 구체적으로 재식별 위험을 완화하기 위해 개인 식별성 축소, 은닉, 데이터 분할 등의 방식으로 PET를 도입해 침해 위험을 낮추고 안전한 데이터 활용이 가능하다. 금융보안원이 발간한 보고서에 따르면 PET 기술 성숙도는 최근 높아지면서 전 세계적으로 의료, 제조 등 개인정보를 취급하는 모든 데이터 공유 환경에서 활용되고 있다. 특히 금융업의 경우 특성상 다량의 개인(신용)정보를 취급하고 있는 만큼 이상 거래 탐지(FDS) 등 목적으로 적극 활용하는 추세다. 그러나 보고서는 금융데이터 공유·활용 유형이 다양해지면서 상황별로 요구하는 보호 수준이 달라지고 있어 공유·활용 방식에 따라 적절한 PET 기술이 필요하다고 제언했다. 적절한 PET 기술을 적용함으로써 데이터 과보호 또는 과소 보호를 줄이고, 도입 이후에도 발생할 수 있는 재식별 위험을 지속적으로 점검해야 한다는 것이다. 또 법적 준거성과 검증 가능성을 확인할 수 있는 표준화된 관리 절차를 확보하는 데 활용돼야 한다고 보고서는 강조했다. 아울러 보고서는 금융권의 효과적인 PET 도입을 위해 ▲기술 표준화 등 기술 활성을 위한 생태계 조성 ▲PET 친화적인 규제 수립 ▲금융권 공통 검증 지표 정립을 통해 실증 연구 및 활용 기반 마련이 필요하다고 주문했다. 이에 금융보안원은 PET 도입의 일환으로 금융권 합성데이터 상용화를 위해 합성데이터 익명성 평가 방안을 마련하고 있다. 또 은행권 공동 FDS 모델 구축을 목적으로 연합학습 및 차분프라이버시를 활용해 각 금융사가 보유한 정보를 공개 없이 이용 가능하도록 추진 중이다. 향후에도 금융보안원은 개인(신용)정보보호 및 데이터 보호 업무를 기반으로 PET 활용을 위한 실증 연구를 단계적으로 진행하고, 제도·기술적으로 지원할 계획이다. 박상원 금융보안원장은 "인공지능(AI) 활용이 본격화되는 금융환경에서 데이터 활용 과정에서도 프라이버시 침해를 최소화할 수 있는 PET의 중요성이 한층 커질 것"이라며 "금융보안원은 PET의 실무 적용을 통해 금융권의 신뢰 기반의 데이터 공유 환경을 구축할 수 있도록 적극 지원하겠다"고 밝혔다.

2025.11.24 09:54김기찬 기자

네이버, 개인정보 보호의 날 캠페인·교육 진행

네이버는 '개인정보 보호의 날(9월 30일)'과 '개인정보 보호 주간'을 맞아 서비스 이용자, 파트너사 및 소상공인 등 다양한 이해관계자가 두루 참여할 수 있는 온·오프라인 캠페인과 교육을 진행한다고 26일 밝혔다. 지난 23일에는 '네이버 프라이버시센터'가 공개됐다. 이번 개편은 개인정보 보호 관련 네이버의 정책과 기술, 지식을 이용자 중심으로 더욱 투명하게 안내하기 위해 마련됐다. 누구나 편리하게 개인정보 보호 정보를 확인할 수 있도록 초기 화면이 더욱 직관적으로 개편돼 네이버 전사 또는 서비스별 개인정보 보호 활동 열람, 프라이버시 보호 설정 등 이용자가 원하는 메뉴로 이동하기가 쉬워졌다고 네이버는 설명했다. 이 밖에도 검색 기능, 네이버 파파고 번역 기반의 영문 지원 등이 추가됐다. 또한, 네이버는 프라이버시센터 전면 개편을 기념해 기획전도 진행한다. 이용자가 개편된 프라이버시 센터 페이지를 탐색하며 페이지 곳곳에 숨겨진 '별' 이미지가 총 몇 개인지 찾으면 정답자에게 추첨을 통해 네이버페이 포인트를 제공한다. 또한 오는 29일부터 내달 10일까지 네이버의 개인정보 및 프라이버시 관련 제안 또는 개선점을 PER로 접수하면 기본 2배, 최대 3배의 보상이 주어진다. 이어 오는 30일에는 일반 이용자와 사업자 회원 각각의 특성을 반영한 '개인정보 보호 실천 영상'이 공개되고 영상 시청 후 참여할 수 있는 퀴즈도 함께 진행된다. 또한 내달 1일에는 아동 대상 행사도 이어진다. 파트너사와 소상공인 등 사업자를 대상으로 한 프로그램도 준비됐다. 같은날 네이버 서비스의 개인정보 처리와 보호를 함께 책임지는 수탁사 담당자를 대상으로 개인정보 보호 교육이 열린다. 내달 1일에는 사업자 회원 대상 캠페인 메일 또는 공지를 통해 소상공인을 포함한 다양한 사업자들이 네이버의 노하우가 담긴 개인정보 보호 수칙과 가이드라인을 확인할 수 있다. 아울러, 네이버는 개인정보 보호 주간에 임직원을 대상으로 다양한 프라이버시 인식 제고 캠페인, 실무에 적용할 수 있는 가명정보 처리 및 활용 교육 등으로 개인정보 보호에 대한 노력을 이어간다. 이진규 네이버 개인정보보호책임자(CISO)는 “개인정보 보호의 날을 맞아 서비스 이용자, 임직원, 파트너사 등이 함께 개인정보 보호의 중요성을 되새길 수 있는 다양한 프로그램을 마련했다”며 “더욱 직관적으로 개편된 네이버 프라이버시센터를 운영하며 앞으로도 안전하고 신뢰할 수 있는 인터넷 이용 환경을 구축하기 위해 노력하겠다”고 말했다.

2025.09.26 21:48박서린 기자

[보안리더] 염흥열 CPO협의회장 "개인정보 지키면서 활용하는 PET 주목"

“기업에서 개인정보가 유출되면 전체 매출액의 최대 3%를 과징금으로 내야 합니다. 다만, 전체 매출액에서 위반 행위와 관련이 없는 매출액을 제외합니다. 매우 중요한 개인정보가 빠져나갔으니 벌을 받는 셈이죠. 그만큼 기업이나 기관의 개인정보보호책임자(CPO) 어깨가 무겁습니다.” 염흥열 한국개인정보보호책임자협의회장은 최근 서울 강남에서 지디넷코리아와 만나 “개인정보보호책임자 모임이 이제 막 첫발을 떼었다”며 이같이 말했다. 개인정보보호책임자는 영어로 CPO(Chief Privacy Officer)라고 부른다. CPO는 조직에서 개인정보 보호 계획을 세우고 시행하는 책임을 진다. 개인정보 처리 실태를 조사하고, 개인정보가 새어 나가지 않도록 내부 통제 시스템을 만든다. 기업과 공공기관 등에서 개인정보 처리를 책임질 CPO를 정해야 한다. 소상공인기본법에 따른 소상공인은 사업주 또는 대표자가 CPO가 된다. 이들이 모인 한국CPO협의회는 지난해 9월 출범했다. 112개 기업과 기관의 CPO들이 개인정보 보호 정책을 나누며 활동하고 있다. 부회장사는 21개다. LG유플러스, 우아한형제들(배달의민족), 카카오, 쿠팡, 삼성서울병원, 국립암센터, SK텔레콤, 한국전력공사, 삼성전자, 기아, 비바리퍼블리카(토스), KB국민은행, 국민건강보험공단, 넷마블, 한국교통안전공단, LG전자, 현대자동차, 삼성화재, 메타코리아(페이스북), KT, 한국인터넷진흥원이다. 염 회장은 순천향대 정보보호학과 명예교수이기도 하다. 전자공학과 교수로 지내다 2001년 정보보호학과를 만들었다. 한국정보보호학회 명예회장과 더불어 국제전기통신연합 전기통신표준화부문(ITU-T) 전기통신자문반(TSAG) 부의장도 맡고 있다. 아래는 염 회장과의 일문일답. -개인정보가 유출되면 CPO는 어떤 제재를 받나? “기업에서 개인정보가 유출되면 전체 매출액의 3%까지 과징금으로 내야 한다. 전체 매출액에서 위반 행위와 관련 없는 매출액은 제외되지만, 관련 없다는 사실을 기업이 자료로 입증해야 한다. 2020년 이래 카카오 등 국내 기업과 구글·메타 등 많은 해외 기업이 한국에서 수십억~수백억원 과징금을 부과 받은 적 있다. 유럽연합(EU)에서는 기업의 국내외 전체 매출액의 최대 4%를 과징금으로 물게 한다. 한국은 이보다 약한 편이다. 그래도 기업은 몇백만원 과태료보다 부담이라는 입장이다. 그만큼 CPO 역할이 중요하다. 공공기관·비영리법인·비영리단체 등은 매출액을 산정하지 않는다. 정확하게 매길 수 없어서다. '법인세법'에 의한 소득이 없으면 위반 행위 중대성에 따라 ▲500만원 이상 5천만원 이하 ▲5천만원 이상 2억원 미만 ▲2억원 이상 7억원 미만 ▲7억원 이상 18억원 등으로 구분해 기준 금액을 산정해 과징금을 낸다. 위반 행위 중대성은 개인정보보호위원회가 판단한다. 이렇게 거둔 과징금을 인재를 가르치고 연구개발(R&D)하는 데 써서 한국 개인정보 보호 수준을 더 높이면 좋겠다.” -한국의 개인정보 보호 수준이 어떤가? “세계적인 수준이다. 미국이나 EU보다 투명하고 구체적으로 기준을 정해 지킨다. EU도 어떤 기업이 소비자로부터 개인정보를 받아 적법하게 제3자에게 줄 수 있게끔 한다. 한국에서 그러려면 누가 누구에게 주는지, 왜 주는지, 이 정보를 언제 삭제할지 등을 개인정보처리방침에 세세히 명시해야 한다. 그래서 한국 규제가 깐깐하다고 느끼는 기업도 있다.” -기업이 개인정보 지키면서도 활용할 수 있는 방안이 있나? “그게 CPO들이 요즘 가장 관심 있는 일이다. 개인정보 보호 강화 기술(PET·Privacy Enhancing Technology)로, 개인정보를 최소한 수집하면서도 산업을 활성하는 기술 3가지를 주목한다. 첫째 가명정보다. 개인정보가 모두 공개된 정보라면, 익명정보는 모두 가린 정보다. 가명정보는 이 중간이다. 다른 정보와 맞춰보면 얼추 알 수 있지만 그대로는 알기 어려운 내용으로 꾸린다. 과학·연구·통계적 목적이라면 가명정보를 쓸 수 있다. 정보가 그대로 드러나는 게 아니라 이용자로부터 동의받지 않아도 제3자에게 넘길 수 있다. 둘째 동형암호다. 내 키가 170㎝라는 정보와 다른 사람 키는 165㎝라는 정보가 있다고 예를 들자. 이를 각각 암호로 만들어 결합기관에 주면 결합기관은 이를 더하거나 빼는 연산을 할 수 있다. 다만 결합기관은 이 정보 주인이 누군지 모른다. 정보 제공자가 되돌아온 결과를 보면 된다. 셋째 연합학습이다. 인공지능 시대에 맞게 개인정보도 인공지능을 활용하는 일이 잦다. 어떤 기기가 학습한 내용을 내보내면 안 되지만, 서로 다른 기기가 학습한 정보를 합쳐 또 학습하도록 하는 연합학습은 가능하다.” -정보보호업계 화두 '국가 망 보안 체계'와 '제로 트러스트'는 어떻게 보나? “국가 망 보안 체계는 N2SF(National Network Security FRAMEwork) 약자다. 지금껏 폐쇄된 공공 정보망을 열겠다는 정책이다. 그러니 '절대 믿지 말고 항상 검증하라'는 제로 트러스트(Zero Trust) 개념이 필수다. 외부 망은 당연하고 내부 망도, 모든 망은 해킹됐다고 전제하고 접근을 제한한다. 지금껏 내부 망 사용자는 믿어왔다. 외부 망 사용자는 비밀번호와 문자 인증 등 2가지 이상 인증하도록 했지만 내부 망 사용자는 비밀번호 하나면 됐다. 이제 내부 망 사용자도 이중 요소로 인증하도록 한다. 이에 새로운 보안 통제 도구가 필요하다. 기업에 새로운 시장이 열리는 셈이다.” -올해 협의회 계획은? “정책당국과 회원사가 깊게 논의할 수 있는 세미나 'KPPI(KCPO Prime Privacy Insight)'를 운영하겠다. 개인정보보호위원회와 CPO, 또 분야별 CPO끼리 교류하는 'KCPO 브릿지 포럼'도 열기로 했다. 고위관계자가 모여 정책 동향을 공유하는 'KCPO 프라이버시 서밋' 등도 주기적으로 할 예정이다. 오는 9월에는 서울 삼성동 코엑스에서 제47차 글로벌 프라이버시 총회(GPA·Global Privacy Assembly)가 개최된다. 이 총회는 세계 최대 규모의 개인정보 보호 관련 국제 회의로, 미국·EU·영국·일본 등 89개국 137개 기관이 참여한다. 이에 협의회가 적극적으로 나서 세계 개인정보 보호 전문가와 소통할 예정이다. 예비 CPO를 위한 교육 과정도 개발해 올해 시범 운영하려고 한다. CPO에 대한 자체 정책도 연구할 생각이다. 조직 형태, 예산과 인력 현황, 주요 고충을 들어 CPO 지정 현황 실태 조사를 하려고 한다.”

2025.02.25 09:23유혜진 기자