"유출 사고 고리 끊는다"…개인정보위, AI·공공·대규모 처리자 집중 점검

등록 2026.01.15 11:00:00

개인정보위, 2026년 조사업무 추진방향…사후 제재서 사전 예방으로 전환

대규모 개인정보 처리 사업자·AI·블록체인 등 6대 분야 집중 점검

공공 시스템 모의해킹 확대…이행강제금·증거보전명령 도입

[서울=뉴시스] 김선웅 기자 = 송경희 개인정보보호위원장이 14일 서울 종로구 정부서울청사에서 열린 제1회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 2026.01.14. mangusta@newsis.com

[서울=뉴시스] 김선웅 기자 = 송경희 개인정보보호위원장이 14일 서울 종로구 정부서울청사에서 열린 제1회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 2026.01.14. [email protected]

[서울=뉴시스] 신효령 기자 = 정부가 대규모 개인정보 유출과 신기술 확산에 따른 침해 위험에 대응하기 위해 위험성이 높은 6대 분야를 중심으로 집중 점검에 나선다. 대규모 개인정보처리자와 AI(인공지능)·블록체인 서비스 등을 점검 대상에 포함하고, 기업 구조 변화 과정에서 발생하는 개인정보 이전·파기도 관리할 방침이다.

개인정보보호위원회는 지난 14일 전체회의를 열고 이같은 내용을 담은 '2026년 개인정보 조사업무 추진 방향'을 확정했다고 밝혔다.

개인정보위는 사고 발생 이후 제재에 집중하던 기존 방식에서 벗어나, 위험 기반(Risk-based) 접근과 개인정보 처리 전주기(Life-cycle) 관리 강화를 중심으로 조사 체계를 전면 개편한다는 방침이다.

AI·플랫폼 경제 확산과 클라우드 활용 증가로 데이터 집중도가 높아지면서, 통신·금융·유통 등 국민 생활과 밀접한 분야에서 대규모 개인정보 유출 사고가 반복되고 있다는 판단에서다. 이에 따라 침해 위험이 큰 영역을 선별해 선제적으로 점검하고, 조사·처분 이후까지 모니터링을 강화해 재발 방지에 나선다.

위험성 높은 6대 분야 집중 점검

개인정보위는 침해 가능성이 큰 6대 분야를 중심으로 집중 점검을 실시한다.

우선 국민의 개인정보를 대량으로 처리하는 주요 사업자를 대상으로 선제적 실태 점검에 나선다. 개인정보 보유 규모, 사고 빈도, 민감정보 처리 여부 등을 종합적으로 고려해 점검 대상을 선정하고, 해킹 대응 체계와 내부 통제 수준을 중점적으로 살핀다.

IP(인터넷 프로토콜) 카메라 등 영상정보 처리 사업자와 얼굴·음성 등 생체정보를 활용한 인증 서비스 사업자도 주요 점검 대상이다. 웹·앱 서비스 전반에서 확산되는 다크패턴 등 개인정보 과잉 수집과 불합리한 처리 관행을 점검해 정보주체 권리 침해를 예방한다.

AI 자동화 결정, 프로파일링, 대규모 데이터 결합 등 신기술 활용 과정에서 발생하는 새로운 침해 위험에도 대응한다. AI 기반 자동화 결정 솔루션을 점검하는 한편, 블록체인 기반 가상자산 서비스와 분산신원인증(DID) 서비스에 대해서는 개인 식별 가능성 통제, 참여자 간 책임 구조, 국외 이전의 적법성 등을 집중 점검한다.

이와 함께 주요 공공 시스템을 대상으로 모의해킹 등 취약점 점검을 강화하고, 반복적으로 발생하는 인적 과실·웹 취약점·관리 사각지대 등 3대 유출 취약 요소 개선에 집중한다. 기업결합(M&A), 파산·회생 등 기업 구조 변화 과정에서 발생하는 대규모 개인정보 이전·파기의 적법성과 안전성도 중점 점검 대상에 포함된다.

사고 대응 넘어 데이터 전주기 관리…포렌식센터 가동

개인정보위는 사전·사후 모니터링을 확대하고 재발 방지 효과를 높이기 위해 조사 제도와 프로세스 전반을 개선한다.

개인정보 침해신고센터의 상담·권리구제 기능을 강화하고, 침해 요인을 조기에 포착할 수 있는 상시 모니터링 체계를 구축한다. 자료 제출 의무를 이행하지 않을 경우 이행강제금을 부과하고, 증거보전명령을 신설하는 등 조사 강제력도 높일 계획이다.

아울러 포렌식센터를 본격 가동하고 기술분석센터를 새로 구축해 디지털 증거 분석과 신기술 서비스의 개인정보 처리 흐름 분석 역량을 강화한다. 징벌적 과징금 도입과 시정명령 이행 점검을 통해 위반 행위에 상응하는 엄정한 제재도 병행한다는 방침이다.

개인정보위는 이번 추진 방향을 통해 기업의 선제적인 개인정보 보호 투자를 유도하고, 사회 전반의 개인정보 보호 수준을 실질적으로 끌어올린다는 방침이다.

송경희 위원장 "ISMS-P 인증, 결함 아닌 이행 문제…책임 작동 구조 필요"

송경희 개인정보보호위원장은 ISMS-P(정보보호·개인정보보호관리체계) 인증 실효성 논란과 관련해 "이는 인증제도 자체의 결함이라기보다, 인증 과정에서 지키겠다고 약속한 보호 조치들이 실제 현장에서 이행되지 않은 사례들이 사고와 연결되며 논란이 확대된 측면이 크다"고 말했다.

이어 "당분간은 책임 강화를 위해 점검을 강화할 필요가 있다"며 "약속한 사항이 제대로 이행되는지를 확인하기 위한 조사를 일정 부분 강화하고, 이를 지키는 책임이 실제로 작동하는 구조로 전환해야 한다"고 강조했다.

또한 정부의 상시 감시에는 한계가 있다는 점도 분명히 했다. 송 위원장은 "정부가 100개가 넘는 항목을 매번 심사하고 모든 현장을 상시 모니터링하는 것은 현실적으로 어렵다"며 "일정 수준이 정착되면 상시 점검에서 벗어나 무작위 방식으로 이행 여부를 확인하는 체계로 전환할 필요가 있다"고 밝혔다.