"AI 해킹, 터지기 전에 막는다"…정부, 고위험 시스템 1700곳 직접 점검

등록 2026.05.12 11:29:45수정 2026.05.12 12:12:24

정부, '사후 처벌'→'사전 예방'으로 정책 대전환…AI 자동화 공격 원천 차단

반복 유출 기업 과징금 대폭 상향, 직전 연도 매출액 최대 10% 부과

100만명 이상 개인정보 처리 기업 약 1700곳 집중 관리…CEO·CPO 책임 강화

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. photo@newsis.com *재판매 및 DB 금지 *재판매 및 DB 금지

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.01.01. [email protected] *재판매 및 DB 금지 *재판매 및 DB 금지

[서울=뉴시스]윤정민 기자 = 정부가 개인정보 보호 정책을 사후 처벌에서 사전 예방 체계로 확 바꾼다. 반복적으로 개인정보 유출사고를 당한 기업에 대한 징벌적 과징금을 부과하고, 100만명 이상 개인정보를 다루는 공공기관·대기업 등 고위험 시스템은 정부가 정기적으로 보안 상태를 점검할 예정이다.

개인정보보호위원회는 12일 오전 대통령 주재 국무회의에서 이러한 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 보고했다. 인공지능(AI)을 악용한 해킹 공격이 거세지는 상황에서 기존의 사후 대응만으로는 국민의 정보를 지키기 어렵다는 판단에서다.

지난해 SK텔레콤, 쿠팡, 결혼정보업체 듀오 등 주요 기업·기관 개인정보 유출 논란이 잇따랐다. 대규모 개인정보를 보유한 플랫폼·통신 서비스 등을 중심으로 유출 사고가 반복되면서 사후 과징금 중심 대응만으로는 한계가 있다는 지적이 꾸준히 제기돼 왔다.

정부는 그동안 개인정보 유출 사고 발생 이후 조사·처분·과징금 부과 중심 정책을 운영해 왔다. 하지만 AI 기반 공격 확산으로 사전 예방 체계 필요성이 커졌다고 판단했다.

특히 최근 앤트로픽 인공지능(AI) 모델 '클로드 미토스' 공개 이후 보안업계·학계에서는 AI가 취약점 탐지와 공격 자동화 속도를 급격히 끌어올리면서 기존 패치·사후 대응 중심 보안 체계가 구조적 한계에 직면할 수 있다는 우려가 나온다. 공개된 취약점을 단시간 내 공격으로 전환하거나 다수 취약점을 연쇄적으로 조합해 침투할 수 있다는 전망도 제기된다.

개인정보위는 미토스 등장 이후에도 예방 중심 보호체계가 실효성을 가질 수 있느냐는 지적에 대해 "AI 기반 공격이 현실화되고 보호 환경은 빠르게 바뀌고 있지만 개인정보 보호의 본질은 변하지 않는다"며 "정보자산 식별, 상시 위협 탐지, 개인정보 접근 권한 관리 등 기본 보호조치를 충실히 이행하는 것이 중요하다"고 설명했다.

반복 유출 시 '철퇴'…매출액 10% 과징금 부과

[서울=뉴시스] 최동준 기자 = 이재명 대통령이 12일 청와대에서 열린 국무회의 겸 제8차 비상경제점검회의에서 발언하고 있다. 2026.05.12. photocdj@newsis.com

[서울=뉴시스] 최동준 기자 = 이재명 대통령이 12일 청와대에서 열린 국무회의 겸 제8차 비상경제점검회의에서 발언하고 있다. 2026.05.12. [email protected]

정부는 오는 9월부터 처벌 수위를 대폭 높인다. 반복적이거나 중대한 개인정보 보호법 위반 행위를 할 경우 매출액의 최대 10%까지 과징금으로 물린다.

과징금을 매기는 기준도 달라진다. 이전에는 3년 평균 매출을 따졌지만, 앞으로는 '직전 연도 매출'과 '3년 평균' 중 더 높은 금액을 적용하기로 했다. 보안 투자를 아껴서 얻는 이익보다 사고가 났을 때 치러야 할 대가를 훨씬 크게 설계해 기업들의 경각심을 깨우겠다는 취지다. 관련 시행령 개정안은 이달 중 시행될 예정이다.

이와 함께 증거를 숨기거나 폐기하는 행위에 대한 제재도 강화된다. 시민들이 직접 감시하는 신고포상금 제도 도입도 추진할 계획이다.

공공·민간 고위험 시스템 1700곳 직접 훑는다

정부는 올해 하반기부터 주요 공공기관·대기업에서 운영하는 약 1700개 고위험 시스템을 정기 점검한다. 100만명 이상 개인정보를 처리하는 공공기관·기업, 주요 공공시스템 387개, 교육·복지 등 고위험 분야가 포함된다. 클라우드 사업자, 전문 수탁사, 시스템 공급사 등 공급망 전반으로 점검 범위도 확대한다.

점검 범위도 넓어진다. 상조회사, 고객상담센터, 결혼정보업체, 초·중·고 에듀테크 분야도 추가 점검 대상에 오른다. 개인정보위는 현재 상조회사와 고객상담센터 등을 점검 중이며 미비점을 발견하면 시정을 권고할 계획이다.

기업의 자발적 보호 투자도 유도한다. 법정 기준을 넘어서는 선제적 안전조치, 적극적인 보안 투자, 실효적인 안전관리체계 운영 여부 등을 종합 평가해 과징금을 깍아주는 등 인센티브를 제공한다. 개인정보위는 암호화, 추가 인증, 취약점 신고·공개제도(CVD·VDP) 등을 추가 보호조치 사례로 제시했다.

"CEO가 직접 챙겨라"…보안 책임자 권한 강화

최고경영자(CEO)와 개인정보보호책임자(CPO) 책임도 무거워진다. 오는 9월부터 매출액 1800억원 이상이면서 1000만명 이상의 정보를 처리하는 기업 약 700곳은 전문 자격을 갖춘 개인정보보호책임자(CPO)를 반드시 지정해야 한다.

CEO는 예산, 인력, 시스템 등 개인정보 보호에 필요한 필요한 경영 자원을 투입하고 CPO가 조직 내에서 실질적인 권한과 책임을 갖고 역할을 수행할 수 있도록 지원해야 한다.

정부는 민감정보 유출 시 소셜네트워크서비스(SNS) 등에서의 불법 유통 여부를 모니터링해 탐지·삭제하고 수사기관과 협력해 개인정보 불법 유포자와 이용자를 추적·처벌할 계획이다. 현재 관련 법안이 발의된 상태다.

송경희 개인정보위 위원장은 "모든 사고가 그렇듯이 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다"며 "사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축해 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다"고 밝혔다.

◎공감언론 뉴시스 [email protected]