"제2 쿠팡 사태, 미리 막자"…정부, 플랫폼·금융 등 개인정보 고위험 분야 점검

등록 2026.05.22 08:00:00수정 2026.05.22 08:10:23

개인정보위, '예방 중심 개인정보 관리 체계 전환 계획' 발표

플랫폼·금융기관·공공기관·요양병원 등 고위험 분야 우선 점검

AI 학습 동의 기본값·에이전트 AI·생활 밀착형 처리방침도 점검

[서울=뉴시스] 이해를 돕기 위한 이미지 (사진=유토이미지)

[서울=뉴시스]윤정민 기자 = 정부가 하반기 중 플랫폼, 금융기관, 공공기관, 요양병원 등을 올해 개인정보 고위험군 실태점검 대상으로 삼고 개인정보 처리 실태를 들여다본다. 이들 분야가 대규모 개인정보나 민감정보를 처리하는 만큼 개인정보 침해 사고 발생 전 위험 요인을 선제적으로 들여다보겠다는 취지다.

웹·앱 서비스에서 인공지능(AI) 학습 활용 동의가 기본적으로 켜져 있는지, 에이전트 AI나 사물인터넷(IoT) 기기가 개인정보를 과도하게 수집·전송하는지도 집중 점검한다.

개인정보보호위원회는 22일 오전 경제장관회의에서 이러한 내용의 '예방 중심 개인정보 관리 체계 전환 계획'을 발표했다.

개인정보위는 개인정보 처리 규모, 민감도, 산업별 특성을 고려해 개인정보 처리 분야를 고·중·저 위험군으로 구분했다. 위험 수준에 따라 점검 강도를 달리하기로 했다.

고위험군은 100만명 이상 개인정보를 처리하거나 고유식별정보·민감정보를 대규모로 다루는 분야, 자동화된 결정 등 권리 침해 가능성이 높은 신기술 이용 분야 등이 포함된다.

이들 분야는 정기·수시 점검 대상이 되며 개인정보보호책임자(CPO)를 중심으로 한 내부 통제 실태와 접근 권한 관리, 서비스 설계·변경 시 검토 내역 등을 들여다본다.

중위험군은 각 부처가 자체 점검을 실시하고 개인정보위가 점검 결과를 검토하거나 이슈 발생 시 합동점검에 나선다. 저위험군에는 자율 점검 도구와 컨설팅을 제공하되 사회적 이슈가 발생하면 합동점검을 통해 기본 보호수준을 확인한다.

특히 올해는 플랫폼, 금융기관, 공공기관, 요양병원 등을 중심으로 대규모 데이터 처리, 고유식별정보 처리, 취약점 관리, 민감정보 처리 실태 등을 들여다본다. 최근 쿠팡, 롯데카드 등 대규모 개인정보 유출 사고가 잇따른 가운데, 사고 발생 가능성이 큰 분야부터 선제적으로 관리하겠다는 취지로 풀이된다.

다만 이번 실태 점검은 과징금·과태료 부과를 전제로 한 조사와는 분리해 운영된다. 개인정보위는 점검 과정에서 개선이 필요한 사항 확인 시 시정 권고를 통해 조치를 유도하고 고위험 분야의 경우 이행 여부를 일정 기간 지속 관리할 계획이다.

"내 정보, AI 학습에 쓰였나"…웹·앱 AI 기본설정 집중 점검

[고양=뉴시스] 전진환 기자 = 18일 오후 경기 고양시 킨텍스에서 열린 제25회 세계 보안 엑스포 & 제14회 전자정부 정보보호 솔루션 페어에서 한 업체 관계자가 IP 카메라에 대해 설명하고 있다. 사진은 기사와 무관. 2026.03.18. amin2@newsis.com

[고양=뉴시스] 전진환 기자 = 18일 오후 경기 고양시 킨텍스에서 열린 제25회 세계 보안 엑스포 & 제14회 전자정부 정보보호 솔루션 페어에서 한 업체 관계자가 IP 카메라에 대해 설명하고 있다. 사진은 기사와 무관. 2026.03.18. [email protected]

개인정보위는 올해 카메라 영상 기반 IoT 기기와 에이전트 AI 개발 프레임워크 등을 대상으로 개인정보 처리·관리 실태를 점검한다.

예컨대 스마트홈 기기나 웨어러블 기기에서 영상·음성 등 개인정보가 기기 내부나 서버에 어떻게 저장되는지, 해외로 전송되는지, 암호화가 제대로 이뤄지는지 등을 살핀다.

에이전트 AI 개발 프레임워크는 AI가 외부 서비스나 데이터베이스를 호출해 여러 작업을 자동 수행하도록 돕는 개발 도구다. 개인정보위는 이 과정에서 개인정보가 과도하게 수집·이용되거나 외부로 전송되는지, 작업 로그에 개인정보가 남는지 등을 들여다볼 계획이다.

웹·앱 서비스의 기본 설정도 점검한다. 개인정보위는 선택 동의나 AI 학습 활용 동의가 이용자 의사와 무관하게 기본적으로 켜져 있는지 확인하고 개선을 유도할 방침이다.

앞서 개인정보위는 카카오 AI 서비스 '카나나'에 대해 이용자 대화 데이터를 내부 학습에 활용하려면 별도 동의를 받아야 한다는 판단을 내린 바 있다.

개인정보 국외 이전 관리도 강화된다. 개인정보위는 내년 중 국외이전 영향평가제를 신설해 대규모·민감정보가 해외로 이전되거나 보호 수준이 우려되는 국가로 이전되는 경우 사업자가 위험성을 자체 평가·보관하도록 할 계획이다.

이력서·팬 활동 정보도 관리 대상…처리방침 집중 평가

[서울=뉴시스] 위버스. (사진 = 하이브 제공) 2026.03.25. photo@newsis.com *재판매 및 DB 금지

[서울=뉴시스] 위버스. (사진 = 하이브 제공) 2026.03.25. [email protected] *재판매 및 DB 금지

생활 밀착형 서비스의 개인정보 처리방침도 집중 점검한다. 올해 평가 대상에는 공공 앱, 대학교, 해외 명품 브랜드, 채용 플랫폼(사람인·잡코리아 등), 만남 중개 서비스(듀오 등), 프랜차이즈, 팬덤 플랫폼(위버스·버블 등)이 포함될 예정이다.

이들 서비스는 이력·신상정보, 결제·활동 정보 등 민감도가 높은 개인정보를 처리할 수 있어 소비자 관심이 큰 분야로 꼽힌다. 개인정보위는 처리방침의 적정성과 접근성, 정보주체 권리 보장 수준 등을 평가하고 미흡한 기업·기관에 개선을 유도할 방침이다.

아동·청소년 개인정보 보호도 강화된다. 개인정보위는 보호 대상을 기존 14세 미만에서 19세 미만으로 확대하고 법정대리인 동의 제도의 사각지대 해소, 디지털 잊힐 권리 법제화, 자동화된 결정 제한 등을 추진한다.

정보보호 잘 지키면 감경…보호 투자 유도하고 책임경영 강화

기업의 자발적 보호 투자를 유도하기 위한 제도 개편도 추진된다. 개인정보위는 서비스 기획·설계·개발 단계부터 개인정보 보호를 기본값으로 반영하는 '개인정보 보호 중심 설계(PbD)' 원칙을 법제화한다.

기업이 설계부터 사고 대응까지 위험 감소를 위해 실질적으로 투자한 경우 과징금 감경 등 인센티브를 부여하는 방향으로 제도를 정비한다.

정보보호 공시에 개인정보 보호활동을 포함하도록 유도하고 추가 보호조치 내역, CPO의 내부통제 점검 결과, 이사회 보고 현황 등을 공개하는 방안도 추진한다.

공공부문과 전문인력 양성 방안도 포함됐다. 개인정보위는 관련 직렬·직류 시험에 개인정보보호 과목을 추가하는 등의 방안을 검토하고 개인정보보호 공인 민간자격 또는 국가자격 제도 도입도 추진하기로 했다.

송경희 개인정보위 위원장은 "관계부처와 협력해 중점 분야별 개인정보처리 실태와 취약 요인을 지속적으로 점검하고 위험에 비례한 예방 중심 관리 체계를 정착시켜 나가겠다"고 밝혔다.

◎공감언론 뉴시스 [email protected]