2026.05.26 화요일
검색
'예방 중심 개인정보 관리체계' 검색결과
기간검색
-
~
검색영역
검색어
-
플랫폼·클라우드 정조준…개인정보 규제 '사후 제재'서 예방으로 [경제일보] 인공지능(AI)과 클라우드 기반 서비스 확산으로 개인정보 유출 위험이 커지면서 정부가 개인정보 규제 체계를 사후 제재 중심에서 예방 중심으로 전환한다. 대규모 개인정보를 처리하는 플랫폼과 금융권, 클라우드·서비스형 소프트웨어(SaaS) 업계를 중심으로 상시 점검과 보호 투자가 확대될 것으로 전망된다. 22일 개인정보보호위원회는 경제장관회의에서 '예방 중심 개인정보 관리체계 전환계획'을 발표했다고 밝혔다. 개인정보 침해와 유출 사고가 발생한 이후 제재하는 방식에서 벗어나 위험 가능성을 사전에 식별하고 관리하는 방향으로 정책 체계를 전환하겠다는 취지로 진행됐다. 개보위는 최근 생성형 AI와 플랫폼, 클라우드 서비스 확산으로 개인정보 처리 규모와 활용 방식이 급격히 확대되면서 개인정보 보호 문제가 산업 전반의 핵심 리스크로 떠오르고 있다는 판단이 반영됐다고 설명했다. 특히 AI 서비스 운영 과정에서 대규모 데이터 수집과 분석이 이뤄지고 SaaS와 클라우드 기반 서비스가 빠르게 늘어나면서 기존 획일적 규제 체계로는 대응에 한계가 있다는 지적이 이어져왔다. 개인정보위는 앞으로 개인정보 처리 규모와 민감도, 산업 특성 등을 기준으로 고·중·저 위험군을 구분해 차등 관리에 나설 계획이다. 고위험군에는 정기·수시 점검과 내부통제 점검을 강화하고 상대적으로 위험도가 낮은 분야는 자율점검과 컨설팅 중심으로 관리 체계를 운영한다. 올해는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보와 민감정보를 처리하는 분야를 중심으로 집중 점검이 이뤄질 예정이다. 100만명 이상 개인정보를 처리하는 사업자는 고위험군으로 분류돼 영향평가와 보호활동 공개, 보안 점검 등이 강화된다. 특히 정부는 SaaS와 클라우드, 전문 수탁업체 등 데이터 공급망 전반에 대한 관리도 확대한다. AI 서비스 상당수가 클라우드 기반으로 운영되는 만큼 개인정보 보호 책임이 플랫폼 기업뿐 아니라 인프라 사업자까지 확대되는 구조다. 이에 국내 클라우드 업계의 보안 투자 경쟁도 본격화될 가능성이 제기된다. 네이버클라우드와 KT클라우드, NHN클라우드 등 주요 사업자들은 최근 AI 인프라 확대와 함께 보안 체계 강화에 집중하고 있다. 삼성SDS와 LG CNS 등도 기업 대상 AI·클라우드 전환 사업과 함께 개인정보 보호 체계 구축 사업을 강화하는 분위기다. 정부는 개인정보 보호 중심 설계(PbD) 원칙도 확대 적용할 방침이다. 기존에는 일부 IP카메라와 로봇청소기 등에 한정됐지만 앞으로는 서비스 기획과 설계 단계부터 개인정보 보호 요소를 반영하도록 제도화를 추진한다. ISMS-P 인증과 각종 평가 체계에도 PbD 원칙이 반영될 예정이다. 기업들의 자발적 보호 투자 확대를 유도하기 위한 인센티브 제도도 마련된다. 개인정보 보호 활동과 내부통제 체계를 적극 공개하거나 법정 기준을 넘어서는 추가 보호조치를 적용할 경우 과징금 감경 등 혜택을 제공하는 방식이다. 특히 오는 9월부터 개인정보보호책임자(CPO) 지정 신고제가 도입되면서 기업 내부 통제 체계 관리도 강화된다. 개인정보위는 CPO 협의체와 핫라인을 운영해 최신 위협 정보를 공유하고 유사 사고에 대한 사전 대응 체계도 구축할 계획이다. 송경희 개인정보위 위원장은 "관계부처와 협력하여 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다"고 말했다.2026-05-22 08:30:02
-
KT, 개인정보보호 자문위원회 신설…고객 신뢰 회복 나선다 [경제일보] KT가 인공지능(AI)과 데이터 기반 서비스 확산에 대응하기 위해 개인정보보호 자문위원회를 신설한다. 개인정보 유출과 보안 사고에 대한 사회적 경각심이 커진 가운데, 외부 전문가가 참여하는 거버넌스를 통해 선제적 개인정보 관리 체계를 구축하겠다는 취지다. KT는 고객 신뢰 회복과 책임 있는 데이터 활용 생태계 조성을 위해 ‘개인정보보호 자문위원회’를 신설한다고 21일 밝혔다. 자문위원회는 사후 대응보다 사전 예방에 초점을 맞춘 개인정보 관리 체계 강화를 추진하는 전략적 거버넌스다. KT는 정책·법률, 기술·보안, 산업·서비스, 윤리·이용자 보호 등 다양한 분야의 외부 전문가로 초대 자문위원을 구성했다. 염흥열 순천향대 정보보호학과 명예교수, 이희정 고려대 법학전문대학원 교수, 류재철 충남대 컴퓨터융합학부 교수, 손기욱 서울과학기술대 컴퓨터공학과 교수, 심상현 한국CPO 포럼 사무국장, 김경하 제이앤시큐리티 대표 등이 참여한다. 자문위원회는 개인정보 처리자로서 KT의 의무 이행과 책임 강화 방안, 개인정보 안전성 보호조치, 데이터 활용 적정성, 개인정보 유출 사고 예방 및 재발 방지 체계 고도화 등을 자문한다. KT는 이달 중 자문위원회를 발족하고 본격 운영에 들어갈 예정이다. 이번 자문위원회 신설은 통신사가 AI 전환 과정에서 마주한 데이터 거버넌스 과제와 맞물려 있다. 통신사는 가입자 정보, 위치 정보, 이용 행태, 결제·인증 데이터 등 민감도가 높은 데이터를 다룬다. AI 기반 서비스가 확대될수록 데이터 활용 범위는 넓어지지만, 동시에 개인정보 오남용과 유출 리스크도 커진다. 규제 환경도 강화되고 있다. 개인정보보호위원회는 지난 12일 ‘예방 중심 개인정보 관리체계 전환 계획’을 발표하고, 오는 9월부터 반복적이거나 중대한 개인정보 유출 기업에 매출액의 최대 10%까지 과징금을 부과하는 징벌적 과징금 제도를 시행한다고 밝혔다. 고의·중과실로 3년 내 반복 사고를 내거나 1000만명 이상 대규모 유출 피해가 발생한 경우가 대상이다. 개인정보위는 과징금 산정 기준도 강화한다. 직전 연도 매출액과 최근 3년 평균 매출액 중 더 큰 금액을 기준으로 적용하고, 하반기부터 100만명 이상 개인정보를 처리하는 1700개 고위험 시스템에 대한 정기 점검에도 착수할 계획이다. 이는 기업이 사고 이후 대응하는 수준을 넘어 평소 안전관리 체계를 입증해야 하는 방향으로 제도가 바뀌고 있음을 보여준다. KT 입장에서는 개인정보보호 자문위원회가 단순 자문기구를 넘어 신뢰 회복 장치가 될 필요가 있다. 외부 전문가가 데이터 활용과 보호 기준을 점검하고, AI 서비스 설계 단계에서 개인정보 보호 원칙을 반영하도록 자문하면 사고 예방뿐 아니라 고객 설명 책임도 강화할 수 있다. 향후 관건은 자문위원회 운영의 실효성이다. 회의체 신설에 그치지 않고 서비스 출시 전 개인정보 영향 검토, AI 학습 데이터 관리, 고객 동의 체계 개선, 유출 대응 모의훈련, 협력사·수탁사 관리까지 실제 업무 프로세스에 자문 결과가 반영돼야 한다. 김창오 KT 개인정보보호그룹장 상무는 “AI 시대에는 데이터 활용의 혁신만큼이나 개인정보 보호에 대한 고객 신뢰 확보가 무엇보다 중요하다”며 “외부 전문가들과의 긴밀한 협력을 통해 글로벌 수준의 개인정보보호 체계를 구축하고, 고객이 안심할 수 있는 데이터 신뢰 환경을 만들어 나가겠다”고 말했다.2026-05-21 13:45:07
-
개보위, KT 제재 절차 착수…"사전통지서 발송, 오래 걸리지 않을 것" [경제일보] 개인정보보호위원회가 KT 개인정보 유출 사건에 대한 조사 절차를 마무리하고 처분 사전통지서를 발송했다. 쿠팡 대규모 개인정보 유출 사건도 의견서 검토 단계에 들어가면서 두 사건의 제재 수위가 조만간 결정될 전망이다. 송경희 개인정보보호위원회 위원장은 12일 ‘예방 중심 개인정보 관리체계 전환’ 정책브리핑에서 “KT에 대해서도 사전통지를 했고 현재 의견을 받는 단계”라며 “이미 조사가 마무리된 만큼 제재 결정까지 그렇게 오래 걸리지는 않을 것”이라고 밝혔다. 개인정보위의 조사 및 처분 절차에 따르면 조사관은 조사 결과보고서를 바탕으로 예정된 처분 내용을 당사자에게 사전통지한다. 이후 당사자에게 14일 이상의 의견 제출 기회를 부여한다. KT가 의견서를 제출하면 개인정보위는 이를 검토한 뒤 전체회의 의결을 거쳐 최종 제재 여부와 수위를 결정하게 된다. KT 사건은 팸토셀을 활용한 무단 소액결제 피해와 개인정보 유출 의혹이 맞물린 사안이다. 개인정보위는 불법 초소형 기지국인 팸토셀을 통한 무단 소액결제 사건과 관련해 KT의 개인정보 보호조치 적정성을 조사해왔다. 악성코드 ‘BPF도어’ 감염과 관련한 추가 조사도 진행한 바 있다. 송 위원장은 “팸토셀 문제로 소액결제 피해까지 발생했던 만큼 관심과 우려가 많은 사안이라는 것을 잘 알고 있다”며 “빨리 책임에 상응하는 적절한 처벌을 내리기 위해 노력하겠다”고 말했다. 쿠팡 대규모 개인정보 유출 사건 조사도 속도를 내고 있다. 개인정보위는 지난달 초 쿠팡 측에 처분 사전통지서를 발송했고 현재 쿠팡이 제출한 의견서를 검토 중이다. 업계에서는 쿠팡 측 의견서 분량이 방대해 검토에 시간이 걸릴 수 있지만 이르면 6월 중 제재 수위가 결정될 가능성이 있는 것으로 보고 있다. 송 위원장은 “사업자가 제출한 의견을 받아 검토 중이고 검토가 완료되면 개인정보위 전체회의에서 의결하도록 할 것”이라며 “지금 이 단계가 빠르게 진행되고 있다”고 설명했다. 다만 오는 9월 시행 예정인 징벌적 과징금 특례는 쿠팡과 KT 사건에 적용되기 어려울 전망이다. 개정 개인정보보호법은 고의·중과실로 대규모 개인정보 유출이 발생한 경우 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했다. 하지만 법 시행 이후 발생한 사건부터 적용되는 만큼 현재 조사 중인 사건에 소급 적용하기는 어렵다. 송 위원장은 “법이라는 것은 감정만으로 되는 일이 아니기 때문에 철저하게 법 원칙에 따라 판단할 것”이라며 “잘못한 책임이 있다면 그에 상응하는 처분을 내리기 위해 개인정보위는 최선을 다하고 있다”고 말했다. 최근 결혼정보업체 듀오의 개인정보 유출 제재 수위 논란에 대해서도 설명했다. 듀오는 43만명의 개인정보가 유출됐지만 과징금 규모가 12억원 수준에 그쳐 처벌이 약하다는 지적을 받았다. 유출 정보에는 이름과 연락처뿐 아니라 신장 체중 혈액형 종교 혼인경력 학력 직장명 등 민감한 정보가 포함됐다. 송 위원장은 “현행 법 규정상 어쩔 수 없는 부분”이라며 “매출액 자체가 작은 기업의 경우 국민들이 느끼기에 사건의 심각성에 비해 제재 규모가 작다고 생각할 수 있을 것”이라고 말했다. 현행 개인정보보호법은 과징금을 매출액의 최대 3% 범위에서 부과하도록 하고 있다. 듀오는 중소기업 중 중기업에 해당해 관련 규정에 따라 일부 감경을 적용받았다. 개인정보위는 민감정보를 다루는 업종에 대한 점검도 강화한다. 결혼정보업체 상조회사 고객상담센터처럼 민감한 개인정보를 많이 처리하는 분야를 고위험 분야로 보고 실태점검을 확대할 방침이다. 송 위원장은 “국민들의 민감한 정보가 다크웹이나 사회관계망서비스상에 유통되고 있는지 계속 면밀하게 모니터링하고 있다”며 “결혼정보업체나 상조업체 상담센터처럼 민감한 정보를 많이 다루는 분야는 고위험 분야로 보고 실태점검을 실시해 안전관리 조치를 미리 할 수 있도록 만들 계획”이라고 밝혔다.2026-05-12 17:57:53
-
개보위, 중대 개인정보 유출 기업...9월부터 매출 최대 10% 과징금 [경제일보] 오는 9월부터 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에는 매출액의 최대 10%까지 과징금이 부과된다. 정부는 주요 공공시스템과 대규모 개인정보 처리 시스템에 대한 직접 점검도 확대해 사후 제재 중심에서 예방 중심으로 개인정보 관리체계를 전환한다. 개인정보보호위원회는 12일 대통령 주재 국무회의에서 이 같은 내용의 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다고 밝혔다. 핵심은 징벌적 과징금 도입이다. 오는 9월11일 시행되는 개정 개인정보보호법에 따라 반복적이거나 중대한 개인정보보호법 위반 행위에 대해서는 매출액의 최대 10%까지 과징금을 부과할 수 있다. 적용 대상은 고의 또는 중과실로 3년 내 반복된 위반 행위가 발생했거나 1000만명 이상 규모의 개인정보 유출 피해가 발생한 경우다. 대규모 유출 사고가 반복돼도 제재 수준이 기업 규모에 비해 낮다는 지적을 반영한 조치다. 과징금 산정 기준도 강화된다. 오는 19일 시행되는 개정 시행령에 따라 과징금 기준은 기존 ‘최근 3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘최근 3년 평균 매출액’ 가운데 더 높은 금액을 적용하는 방식으로 바뀐다. 매출이 급증한 기업이 낮은 평균 매출 기준을 적용받는 문제를 줄이려는 취지다. 조사와 처분의 실효성을 높이기 위한 제도도 도입된다. 개인정보위는 이행강제금과 신고포상금 제도를 마련하고 증거 은닉 행위에 대한 제재도 강화할 계획이다. 다만 개정법과 시행령은 시행 이후 발생한 사건부터 적용된다. 현재 조사 중인 쿠팡이나 KT 개인정보 유출 사건에는 소급 적용이 어려울 전망이다. 정부는 제재 강화와 함께 인센티브도 병행한다. 법정 기준을 넘어서는 보호조치와 보안 투자, 안전관리체계 운영 수준 등을 종합 평가해 과징금 감경 등 혜택을 제공한다. 오는 9월부터 시행되는 경영진의 개인정보 보호책임이 현장에서 이행될 수 있도록 기업의 개인정보 보호활동 공개도 유도할 방침이다. 위험도에 따른 차등 관리체계도 구축한다. 주요 공공시스템 387개와 교육·복지 등 고위험 분야를 개인정보위가 직접 집중 관리한다. 올 하반기부터는 주요 공공시스템과 대규모 개인정보를 처리하는 약1700개 고위험 정보시스템을 정기 점검한다. 점검 대상은 공공기관에 그치지 않는다. 개인정보위는 클라우드 사업자 전문 수탁사 시스템 공급사 등 공급망 전반으로 점검 범위를 확대할 계획이다. 현재 상조회사와 고객상담센터 등에 대한 점검이 진행 중이며 초·중·고 에듀테크 업체도 추가 점검 대상에 포함된다. 서비스 설계 단계에서부터 개인정보 보호 요소를 반영하는 ‘개인정보 중심 설계’ 원칙도 제도화된다. 개인정보위는 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 중심 설계 원칙을 반영할 계획이다. 공공부문 보호 역량 강화도 추진된다. 개인정보위가 지난 3월 공공시스템을 긴급 점검한 결과 개인정보보호 전담 인력은 중앙부처 평균 1.1명, 기초지방정부 평균 0.3명 수준에 그쳤다. 정부는 공공부문 개인정보 보호 인력과 예산을 확충하고 전담 인력 처우 개선도 추진한다. 피해 구제 체계도 강화된다. 개인정보 유출 사고가 발생하면 기업과 기관의 손해배상 책임을 원칙으로 하고 입증 책임도 기업이 지도록 해 법정 손해배상 제도 활성화를 추진한다. 유출 피해자가 피해 사실과 손해를 모두 입증해야 하는 부담을 줄이겠다는 방향이다. 개인정보 침해 행위에 대한 감시도 넓어진다. 개인정보 수정, 동의 철회, 회원 탈퇴를 어렵게 만드는 다크패턴을 집중 점검하고 개인정보 침해신고센터 기능도 강화한다. 민감정보가 유출될 경우 SNS 등 온라인 공간에서 불법 유통 여부를 모니터링하고 탐지·삭제를 지원한다. 수사기관과의 협력도 강화된다. 개인정보 불법 유포자와 이용자에 대한 추적과 처벌을 확대해 유출 이후 2차 피해를 줄이겠다는 방침이다. 이번 계획은 개인정보 보호정책의 무게중심을 사후 처벌에서 사전 예방으로 옮기려는 시도다. 대규모 플랫폼과 전자상거래, 통신, 공공서비스에서 개인정보가 대량으로 처리되는 만큼 단순 과징금 부과만으로는 피해를 막기 어렵다는 판단이 깔려 있다. 다만 기업 입장에서는 규제 부담이 커질 수 있다. 특히 고의·중과실 여부와 반복 위반 판단 기준, 1000만명 이상 유출 사고의 책임 범위가 쟁점이 될 가능성이 있다. 개인정보 보호 투자와 경영진 책임을 강화하되, 기업이 예측 가능한 기준 아래 대응할 수 있도록 하위 기준을 명확히 정비하는 것이 관건이다. 송경희 개인정보위원장은 민간 분야 평가제도 도입과 관련해 “민간은 자발적으로 개인정보 보호를 유도할 수 있는 장치가 필요하다”며 “그간 ISMS-P 제도가 그 역할을 해왔다고 볼 수 있다”고 말했다. 송 위원장은 이어 “앞으로는 위험도에 따라 ISMS-P 체계를 차등 적용할 계획”이라며 “고위험 분야에는 강화된 인증 기준을 적용하고 보통인 경우에는 표준, 위험도가 낮은 분야에는 좀 더 간편화된 인증 기준을 적용할 것”이라고 밝혔다.2026-05-12 17:53:34
많이 본 뉴스
영상
Youtube 바로가기
![[데스크칼럼] 탄핵된 전직 대통령까지 나선 보수, 표 결집할까](https://image.ajunews.com/content/image/2026/05/26/20260526100752413331_518_323.jpg)