오수연기자
한국인터넷진흥원(KISA)이 개인정보보호위원회와 챗GPT 등 생성형 인공지능(AI) 시대에 대비한 개인정보 보호 방안을 상반기 중 발표할 계획이다. 또 오는 9월 개인정보 보호법 2차 개정안 시행을 앞두고 이달 중 시행령을 입법예고 할 계획이다.
차윤호 KISA 개인정보조사단장은 "챗GPT 등으로 인한 개인정보 침해 위험 가능성이 확연히 보여서 개인정보 처리 단계별로 어떤 대책을 수립해야 할지 상반기 중으로 대책 방안을 만들어 발표할 계획"이라고 밝혔다.
지난해 KISA에 신고된 기업의 개인정보 보호 의무 위반행위는 안전조치 위반이 66%로 가장 많은 것으로 나타났다. 이어 유출통지(16%), 미파기(10%), 동의(9%), 열람(2%) 순이다. 안전조치 의무 위반 유형에는 저장·전송 시 암호화가 미비한 경우가 많았다. 사고 발생 시 주요 쟁점으로는 공개·유출 방지 조치, 안전한 접속·인증수단, 접근 차단 탐지 시스템 설치·운영 의무 위반이 꼽힌다.
법원은 해킹 등 사고가 발생하면 보편적으로 알려진 정보보안 기술 수준, 업종·영업 규모와 기업의 보안 조치 내용, 정보보안에 필요한 비용과 효용성, 해킹기술과 보안기술의 수준에 따른 피해 발생 회피 가능성, 수집한 개인정보 내용 등 요소를 고려해 기업의 책임을 판단한다. 예컨대 기업은 처리 중인 개인정보가 열람 권한이 없는 자에 유출되지 않도록 개인정보처리시스템 및 개인정보 취급자의 컴퓨터와 모바일 기기에 조치를 취해야 한다. 개인정보처리시스템 접속 권한을 IP 주소 등으로 제한해 인가받지 않은 접근을 제한하고, IP 주소 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하는 기능을 포함한 시스템을 설치·운영해야 한다. 그러나 합리적 기대 수준에서 공격에 대응할 수 있으면 시스템의 유료·인증 여부는 판단 기준이 아니다. 차 단장은 "개인정보의 안전성 확보를 위해 최소한의 기준을 정한 것"이라며 "사회 통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 해야 한다"고 말했다.
오는 9월 15일부터 개인정보 보호법 2차 개정안이 본격 시행된다. KISA는 이에 따른 제반 작업을 진행 중이다. 개인정보 보호법 개정안은 ▲정보주체의 권리보장 강화 ▲글로벌 규제와의 정합성 확보 ▲디지털 중심 법체계 정비 ▲개인정보 보호 생태계 조성 등 내용을 담고 있다. 이정현 KISA 개인정보제도팀장은 "시행령을 웬만큼 성안했다"며 "5월 초 시행령 안과 입법예고가 나올 것"이라고 말했다.
2차 개정안은 정보 주체가 자기주도적으로 정보를 유통·활용할 수 있도록 하기 위해 개인정보 전송요구권을 신설했다. 이 팀장은 "전송요구권이 신설되면서 마이데이터에 더 힘을 주게 될 것"이라고 밝혔다. AI 발전에 따라 신용 평가, 채용 등 자동화된 결정이 활용되면서 자동화된 결정에 대한 대응권도 도입한다. 개인정보 국외 이전 방식을 다양화하고 중지 명령도 신설했다. 특히 개인정보 침해 책임을 개인에 대한 형벌 중심에서 실질적 책임이 있는 기업에 대한 경제제재 중심으로 전환한다. 과징금을 관련 매출액의 3% 이하에서 전체 매출액의 3% 이하로 상향한다. 징벌적 손해배상 한도는 3배에서 5배로 늘린다. 고정형 영상기기(CCTV)만 규율하던 것에서 드론, 자율주행차까지 운영 기준을 마련한다. 이 팀장은 "기업의 개인정보 처리 방침을 개선하도록 하는 것도 많은 영향을 미칠 것"이라며 "구글 등의 처리 방침 설명을 보면 번역 투에 분량도 많아 난해하다. 일반인이 이해할 수 있도록 개선하라는 요구가 늘어날 것"이라고 말했다.