“개인정보 보호와 좋은 데이터 갖춘 AI 발전은 동반자적 관계” [최광숙의 Inside]

송경희 개인정보보호위원회 위원장

AI 개발 단계부터 정보 보호 고려
제재보다 ‘사전 예방’이 더 효율적

쿠팡 등 기업들 관리 체계 너무 허술
주민번호 암호화 등 기본 충실해야정보 보호는 비용 아닌 핵심 투자
보안은 국가의 전략 기술 중 하나

개인정보·프라이버시 잘 지키는
AI 선진국 조건이 혁신의 첫걸음인공지능(AI)이 세상을 바꾸는 ‘AI시대’의 성패는 얼마나 많은 양질의 정보를 활용할 수 있는지에 달려 있다. 하지만 이 과정에서 AI 발전에 필수적인 개인정보를 어디까지 사용하고 어떻게 보호해야 하는지가 핫이슈로 떠올랐다. 송경희 개인정보보호위원회(개인정보위) 위원장은 지난 4일 서울신문과의 인터뷰에서 “AI 기술 발전과 개인정보 보호는 상호 대립 관계가 아니다”며 “개인정보 보호에 대한 신뢰가 형성돼야 이를 기반으로 양질의 데이터를 활용해 AI 기술의 지속적인 발전이 가능하다”고 강조했다. 인터뷰 이후 12일 국무회의에 보고된 ‘예방중심 개인정보 관리체계 전환계획’에 대해서는 추가로 물었다.

-AI의 급속한 발전에 따라 개인정보 수집량이 크게 늘고 있다.


“과거에는 주민등록번호, 여권번호 등 유형화된 고유 식별 번호가 개인정보의 중심이었다면 지금은 홍채, 지문 등 생체정보와 민감정보, 행태정보(웹사이트 방문 기록, 상품 구매 내역, 이동 내역 등)를 종합해 상품과 서비스로 연결하는 경우가 많아졌다. AI 발전으로 개인 맞춤형 서비스를 제공해 주기 위해 개인정보에 대한 요구가 점점 커지고 있다.

-개인정보 유출에 대한 부담도 커졌다.

“개인정보 유출 우려 때문에 AI를 안 쓸 수는 없는 노릇이다. 관건은 개인정보의 안전 보장은 물론 정보 주체가 자신의 정보가 어떻게 활용되는지 투명하게 파악해 이를 통제할 수 있도록 하는 것이다. 이를 위해 상품·서비스 설계 단계부터 개인정보를 어떻게 보호할 것인가를 염두에 두는 ‘개인정보보호 중심 설계’(PBD)를 확산시켜야 한다.”

-개인정보 활용 급증에 따른 해킹 사고 대응책은.

“기술 변화가 매우 빨라 어려운 부분이다. AI 에이전트 활동의 경우 개인정보의 처리 흐름이 매우 복잡해지고 이해하기 어려워진다. 이러한 부분에 대응하기 위해 기술 분석 센터를 올해 만들 예정이다. 그동안에는 사람이 해킹과 방어를 했지만 이제는 AI가 사이버 공격과 방어를 한다. 여러 AI 에이전트가 동시에 작동하는 상황에서 보안도 AI 중심 대응 체계로 전환해야 한다.”

-AI 발전과 개인정보 보호라는 두 마리 토끼를 동시에 잡는 과제에 직면했는데.

“집을 지을 때도 ‘터’가 중요한 것처럼, 개인정보 보호라는 신뢰 기반 위에서만 AI 산업이 지속 가능한 발전을 할 수 있다. AI 기술과 개인정보 보호는 상충하는 게 아니라 동반자적 관계다. 개인정보의 보호와 그 정보를 활용한 AI 기술 발전이 같이 가야 한다는 뜻이다. 개인정보 보호 없이는 AI가 제대로 된 편익을 제공하는 유용한 서비스로 자리잡기 어렵기 때문이다. 지속 가능한 발전을 하려면 당장 비용이 든다는 이유로 개인정보 보호를 무시해서는 안 된다. 기업의 개인정보 유출 시 제재 조치 등을 하는 것은 기업의 혁신을 가로막거나 기업에 짐이 되고자 하는 게 결코 아니다.”

-개인정보위는 규제기관 아닌가.

“그동안 정책 중심이 개인정보 유출이나 침해 등이 발생하면 과징금 부과 등 제재에 있었다면, 이제 AI 시대 개인정보 활용을 피할 수 없는 만큼 보다 안전하게 개인정보를 활용하는 방안을 함께 제시해 기업들을 지원하고 있다.”

-어떤 지원 방안이 있는지.

“예를 들어 여러 분야에서 시행되는 AX(AI 전환)의 본질은 많은 데이터를 모아 활용하는 것이다. 이에 개인정보위는 정보 유출이나 오남용 위험 없이 AI 연구에 안전하게 활용·제공되도록 제도적 기반을 조성하고 있다. 개인정보를 사용할 때 그냥 쓰면 특정 개인이 드러나기 때문에 연구나 통계, 공익적인 기록 보존 등에서 개인이 드러나지 않게 가명화한다. 이달부터 가명화가 어려운 기업 등에 직접 가명화를 해주거나 절차를 간소화하는 원스톱서비스를 도입했다. 또 개인정보 보호 관련 법적 불확실성을 사전에 제거해 주는 ‘비조치의견서 제도’와 AX 혁신지원 헬프데스크도 운영 중이다.”

-쿠팡, 통신 3사 등 대형 개인정보 유출 사고가 잇따르고 있다. 기업의 정보관리 체계가 너무 허술하다는 지적이 제기된다.

“대규모의 개인정보 유출 사고가 빈번하게 발생하는 것은 기업과 기관의 개인정보 보호를 위한 관리체계 수준·관행이 과거 수준에 머무르고 있기 때문이다. 대형 사건들을 보면 우리가 생각하는 첨단 공격에 의한 게 아니라 정보 접근권한 통제, 주민등록번호 암호화 등 기본적인 안전조치를 하지 않아 피해가 커졌다. 개인정보 보호를 통해 고객의 신뢰를 확보하고, 기업의 이익을 확대하기 위해 개인정보 보호에 대한 선제적 투자가 필요하다는 인식 전환이 중요하다.”

-우리 기업의 보안 수준은 어느 정도인가.

“한국의 정보기술(IT) 투자 대비 개인정보 보호 투자비는 6~7% 정도로, 미국(13%) 등 선진국의 절반 수준이다. 우리 기업이 글로벌 경쟁력을 갖추려면 개인정보 보호가 필수적이다. 최고경영자(CEO)가 개인정보 처리·보호의 최종책임자로서 관리의무를 갖도록 하고, 최고개인정보책임자(CPO)의 권한 강화를 위해 개인정보 전문인력 관리·예산 확보 권한을 부여하고 주요 사항에 대한 이사회 보고를 의무화하는 등 세부적인 방안을 마련한 것도 그래서다. 또 기업의 고의 또는 중대과실이 인정될 경우 전체 매출의 최대 10%까지 과징금을 부과할 수 있도록 했다. 사전 예방에 투자를 했다면 감경받을 수 있다.”

-사전 예방에 나선 기업에 인센티브를 주는 이유는.

“AI 기술 발전에 따라 개인정보 보호 패러다임도 바뀌어야 한다. 신기술 분야에서는 어떻게 개인정보가 처리되고 통제되는지 알기 어렵기에 서비스가 나온 뒤에는 개인정보 침해를 인지하기도, 막기도 쉽지 않다. 이를 위해 사고를 예방하고 유출 사고가 발생하더라도 빠르게 회복할 수 있는 회복성을 갖도록 유도하는 ‘사전 예방’ 중심 시스템을 구축하는 것이 중요하다.”

-사후 제재보다 사전 예방이 더 중요하다고 보나.

“AI 중심의 ‘디지털 대전환’으로 클라우드 활용이 보편화되고 데이터 집적이 늘어나면서 단 한 번의 해킹 공격으로도 대규모의 정보가 유출될 가능성이 커졌다. 이러한 피해를 막기 위해서는 두 개의 바퀴가 제대로 맞물려 돌아가야 한다. 강력한 제재를 통해 억지 효과를 높이는 것과 함께 사전 예방 중심의 상시적인 개인정보 보호 체계를 구축하는 투트랙 정책이 필요하다.”

-기업이 사전 예방에 적극 나설 것으로 보나.

“국민이 맡긴 개인정보를 보호하고 안전하게 활용할 책임은 분명 기업에 있고, 효율성 측면에서 사고 발생 후 처분하는 것보다 사전 예방을 강화해 사고를 방지하는 것이 바람직하다. 기업 입장에서도 예방을 강화하는 것이 실질적 비용을 줄일 것이다.”

-기업은 개인정보 보호를 부담으로 인식하는 경향이 있다.

“개인정보 보호를 ‘비용’이 아닌 경영을 위한 핵심 ‘투자’ 영역으로 인식해야 한다. AI에 의한 개인정보 활용이 늘어날 텐데 개인정보 보호가 제대로 이뤄지지 않으면 소비자들은 어떻게 기업을 믿고 서비스를 이용하겠는가. 정보 유출 사고 발생 시 기업의 신뢰가 확 떨어지기 때문에 서비스가 발전할 수 없다. 정보 보호는 기업의 경쟁력을 좌우하는 핵심 요소가 됐다. 좋은 서비스라는 것은 효율적이고 성능이 뛰어난 서비스이기도 하지만, 안전하지 않고 개인정보 보호에 대해 투명하지 못하다면 시장에서 밀려날 것이다.”

-우리나라에서 개인정보 유출 사고가 빈번한 이유는.

“지난해 정보 유출 건수는 2022년 대비 약 20배 증가했다. 우리나라에서 유출 사건이 많은 이유는 IT 인프라가 고도로 발전하면서 국민들이 디지털 서비스를 활발하게 이용하기 때문이다. 인프라가 잘 돼 있으니 모든 것이 촘촘하게 연결돼 있고 클라우드를 통해 대규모의 정보가 모아져 있어 공격할 접점이 많아졌다. 또 우리 경제가 발달하면서 개인정보 가치가 높아졌다. 그렇기 때문에 해커들의 목표가 되기 쉽다. 반면 보안 투자는 상대적으로 부족한 실정이다.”

-정부 등 공공부문에서의 보안 사고 방지도 중요한데.

“민간에 대한 전반적 보안은 과기정통부, 공공 영역에서는 국정원 등이 책임을 지고 있다. 개인정보 보호와 보안은 불가분의 관계이기 때문에 개인정보위도 함께 준비하고 있다. 기술 패권 경쟁이 심화되는 현 상황에서 보안은 국가의 가장 중요한 전략 기술 중 하나이고, 안보에도 매우 중요한 영역이다.”

-기술진흥 정책을 펴 온 과기정통부 출신으로 어려운 점은.

“기술 정책을 오래 해왔기 때문에 어떻게 하면 부작용을 최소화하고 국민에게 이익이 될지를 생각한다. 기술의 편익을 누리지 못하도록 막아버리는 것이 최선은 아닌 만큼 균형 있게 바라보는 게 필요한데 그동안의 경험이 많은 도움이 된다.”

-AI 시대에 걸맞은 인식 변화가 필요하다고 보는데.

“개인정보 보호는 비용이나 선택의 문제가 아니다. AI 시대에 걸맞은 서비스를 제대로 누리고 AI 선진국으로 발전하려면 개인정보와 프라이버시를 잘 지키는 환경이 마련돼야 한다. 그것이 혁신에 도움이 된다.”

●송경희 위원장은

과학기술정보통신부 전신인 정보통신부 첫 여성 사무관, 첫 여성 1급 공무원, 과학기술정보통신부 지식재산전략기획단장 등을 지낸 정통 관료(행시 39회) 출신이다. 또한 성균관대 인공지능신뢰성센터장을 맡아 AI 분야에 대한 연구와 교육에도 힘써 왔다. 이후 국정기획위원회에서 AI TF팀장으로 이재명 정부 AI 정책의 틀을 만들었다. 정보통신기술 분야의 전문성을 바탕으로 AI 시대 개인정보 보호와 기술 발전을 양립시키는 데 역점을 두고 있다. 개인정보 보호는 ‘사후 제재’와 더불어 ‘사전 예방’ 시스템이 함께 갖춰져야 한다는 것이 지론이다.

최광숙 대기자