개인정보위원장도 시달리는 스팸…"개인정보 유출, 과징금 확대"

머니투데이 황국상 기자 2023.12.26 10:00
글자크기

고학수 개인정보위원장, 출입기자단 오찬 간담회
"유출 있었다고 무조건 처벌 아니다, 피해 최소화 노력 여부가 중요"
개정 개인정보법으로 제재범위 확대, 과징금 상한도 상향
"AI 규제, 국익 고려해야… 한국의 시장 입지 고려한 규제 나와야"

고학수 개인정보보호위원회 위원장  /사진=홍봉진기자 honggga@고학수 개인정보보호위원회 위원장 /사진=홍봉진기자 honggga@


"드물지만 내 실명을 대면서 오는 스팸 문자가 있다. 나도 이런 잠재적 피싱(Phishing)을 몇 차례 겪었다. 그러면 경각심이 올라간다. 휴대전화 번호와 그 번호를 사용하는 실명이 어딘가에서 유출되는 상황은 훨씬 문제가 커지기 때문이다."

개인정보 보호 및 이용 관련 정책 전반을 총괄하는 고학수 개인정보보호위원회 위원장의 얘기다. 지난해 10월 개인정보위 수장으로 임명된 그는 각종 개인정보 침해사건에 대한 제재를 다루는 전체회의를 주재하는 것은 물론, 개인정보위가 AI(인공지능) 시대의 개인정보 보호·활용 방안을 다루는 가이드라인을 만들고 가명정보·마이데이터 추진 기반을 구축하는 작업을 이끌어왔다.



고 위원장은 최근 개인정보위 출입기자단과의 오찬 간담회에서 "올해 개인정보보호법 개정으로 과징금 상한액이 높아졌다"며 "사람들이 인식을 잘 못하는 것 중 하나가 '온·오프라인' 구분을 없애면서 과징금 대상이 되는 잠재적 과징금 대상 수범자가 대폭 넓어졌다는 점"이라고 밝혔다. 개인정보 유출에 대한 규제가 종전에는 온라인 사업자에 대해서만 적용됐었지만 이제는 온·오프라인 구분 없이 모든 사업자에게 적용된다는 것이다.

고 위원장은 "과징금 상한도 종전 '(위반행위) 관련 매출의 3%'에서 '전체 매출의 3%'로 높아질 가능성이 높아졌다"며 "개정 개인정보법이 시행된 올 9월 이후 생긴 문제에 대해서는 과징금 처분이 세질 수밖에 없다. 내년에는 확률적으로 더 센 처벌이 늘어날 것"이라고 했다.



당장 이달 수백만명에 이르는 개인정보가 유출된 사실이 확인된 골프존이 개정 개인정보법의 적용을 받는다. 고 위원장은 "개인정보 유출 피해가 있었다고 해서 자동으로 처벌하는 게 아니다"라며 "유출이 있었는지를 우선 따지고 (유출을 막기 위한) 안전조치가 충분히 돼 있는지를 따진다. 두 가지 요건이 다 충족돼야 처벌을 한다"고 했다.

또 "사건을 개별 건마다 보고 받지는 않지만 당장 골프존 사건은 (개인정보위에서) 처리하고 있을 것"이라며 "골프존에 대해서는 계속 2022년 기준 5666억원의 매출에 정보보호 투자금은 0.3%, 20억원 수준밖에 안된다는 보도가 나온다"고 지적했다.

제재를 받는 기업·기관의 입장에서는 자신들도 해커의 공격을 받은 피해자임에도 제재가 과중하다고 억울해할 수 있다. 이에 고 위원장은 "개인정보 유출이 발생한 기업을 (당국이) 처벌하는 이유 중 하나는 사회정책적인 것"이라며 "기업이 피해자이면서도 가해자이기도 하기 때문이다. 고의가 없더라도 이용자들의 피해를 최소화하기 위해 어떤 노력을 했는지를 보겠다는 것"이라고 했다.


고학수 개인정보보호위원회 위원장 /사진=홍봉진기자 honggga@고학수 개인정보보호위원회 위원장 /사진=홍봉진기자 honggga@
그는 "요즘 많이 늘어난 것 중 하나가 '크리덴셜 스터핑'으로 다른 곳에서 아이디와 패스워드를 구해서 여러 사이트에 똑같이 입력해보는 방식의 공격이다"라며 "기업 입장에서는 크리덴셜 스터핑에 당한 것에 대해 억울하다고 느낄 수 있다"고 했다.

다만 "'크리덴셜 스터핑'은 아주 일상화돼 있다. 너무 희귀한 공격 방식이면 몰라도 흔히 있는 방식이면 (기업이) 대비를 해야 한다"며 "근래에 많이 도입하는 2단계(투팩터) 인증을 비롯해 멀티팩터 인증 등 시장의 동향, 해킹 시도 동향 같은 것도 기업이 업데이트를 계속해야 할 것"이라고 했다.

다만 개인정보위가 규제만 집행하는 당국으로 인식돼선 안된다는 의견도 내비쳤다. 실제 안전한 AI 활용을 위한 가이드라인에서부터 가명정보·마이데이터 등 데이터 기반 경제의 활성화를 위한 정책도 많이 내놓고 있는데 이같은 점이 부각되지 않는다는 점이 아쉽다는 것이다.

고 위원장은 "윤석열 대통령도 '개인정보보호위원회가 개인정보위원회로 이름을 바꾸면 좋을 것 같다'고 말씀하신 적 있다"며 "개인정보위가 '개인정보 보호를 하는 곳'이라기보다 더 넓게는 '데이터에 관한 넓은 의미의 정책기관'이라고 생각을 한다"고 했다.

또 "우리가 조사·처분을 하는 업무를 완전히 떼놓고 생각할 수는 없다"면서도 "데이터가 우리나라의 현 시점 또는 가까운 미래에 이떤 상황에서 어떻게 쓰면 좋을지에 관한 방향을 제시하는 것, 그것이 우리 위원회의 가장 핵심적 역할"이라고 했다.

한국의 개인정보 법제의 우수성에 대한 자부심도 내비쳤다. 그는 "개인정보법 체계가 있는 곳이 아시아에 한국, 일본, 중국, 홍콩, 싱가포르 등 5곳 정도밖에 없다"면서도 "실제 개인정보 관련 조사·처분을 한 사례가 (아시아 다른 나라에는) 없고 기관에 축적된 노하우도 썩 많지 않다"고 했다.

미국·유럽 등지에서 '안전한 AI'를 위한 규제가 생기는 데 대해 우리도 국익을 고려한 제도를 마련해야 한다는 의견도 내놨다. 고 위원장은 "유럽은 내부 자생적 (AI) 생태계가 크지 않기 때문에 '부작용을 다 없애 때려 잡겠다'는 느낌이라 혁신 생태계에 대한 고려가 별로 없다"며 "미국의 AI 행정명령도 매우 상세하지만 미국의 국익을 고려한 여러 장치가 있다. AI를 매개로 중국의 성장을 견제하겠다고 비춰질 조항들도 있다"고 했다.

또 "한국도 국익을 보고 판단해야 한다"며 "해외 동향을 참고하고 글로벌 트렌드를 지속적으로 모니터링해야겠지만 한국의 독자적 입장, 한국의 글로벌 시장 입지를 고려해서 한국적 (AI규제) 모델을 만들어가야 할 것"이라고 했다.
고학수 개인정보보호위원회 위원장 / 사진제공=개인정보보호위원회고학수 개인정보보호위원회 위원장 / 사진제공=개인정보보호위원회
TOP