고학수 개인정보보호위원회 위원장 /사진=홍봉진기자 honggga@
개인정보 보호 및 이용 관련 정책 전반을 총괄하는 고학수 개인정보보호위원회 위원장의 얘기다. 지난해 10월 개인정보위 수장으로 임명된 그는 각종 개인정보 침해사건에 대한 제재를 다루는 전체회의를 주재하는 것은 물론, 개인정보위가 AI(인공지능) 시대의 개인정보 보호·활용 방안을 다루는 가이드라인을 만들고 가명정보·마이데이터 추진 기반을 구축하는 작업을 이끌어왔다.
고 위원장은 "과징금 상한도 종전 '(위반행위) 관련 매출의 3%'에서 '전체 매출의 3%'로 높아질 가능성이 높아졌다"며 "개정 개인정보법이 시행된 올 9월 이후 생긴 문제에 대해서는 과징금 처분이 세질 수밖에 없다. 내년에는 확률적으로 더 센 처벌이 늘어날 것"이라고 했다.
또 "사건을 개별 건마다 보고 받지는 않지만 당장 골프존 사건은 (개인정보위에서) 처리하고 있을 것"이라며 "골프존에 대해서는 계속 2022년 기준 5666억원의 매출에 정보보호 투자금은 0.3%, 20억원 수준밖에 안된다는 보도가 나온다"고 지적했다.
제재를 받는 기업·기관의 입장에서는 자신들도 해커의 공격을 받은 피해자임에도 제재가 과중하다고 억울해할 수 있다. 이에 고 위원장은 "개인정보 유출이 발생한 기업을 (당국이) 처벌하는 이유 중 하나는 사회정책적인 것"이라며 "기업이 피해자이면서도 가해자이기도 하기 때문이다. 고의가 없더라도 이용자들의 피해를 최소화하기 위해 어떤 노력을 했는지를 보겠다는 것"이라고 했다.
이 시각 인기 뉴스
고학수 개인정보보호위원회 위원장 /사진=홍봉진기자 honggga@
다만 "'크리덴셜 스터핑'은 아주 일상화돼 있다. 너무 희귀한 공격 방식이면 몰라도 흔히 있는 방식이면 (기업이) 대비를 해야 한다"며 "근래에 많이 도입하는 2단계(투팩터) 인증을 비롯해 멀티팩터 인증 등 시장의 동향, 해킹 시도 동향 같은 것도 기업이 업데이트를 계속해야 할 것"이라고 했다.
다만 개인정보위가 규제만 집행하는 당국으로 인식돼선 안된다는 의견도 내비쳤다. 실제 안전한 AI 활용을 위한 가이드라인에서부터 가명정보·마이데이터 등 데이터 기반 경제의 활성화를 위한 정책도 많이 내놓고 있는데 이같은 점이 부각되지 않는다는 점이 아쉽다는 것이다.
고 위원장은 "윤석열 대통령도 '개인정보보호위원회가 개인정보위원회로 이름을 바꾸면 좋을 것 같다'고 말씀하신 적 있다"며 "개인정보위가 '개인정보 보호를 하는 곳'이라기보다 더 넓게는 '데이터에 관한 넓은 의미의 정책기관'이라고 생각을 한다"고 했다.
또 "우리가 조사·처분을 하는 업무를 완전히 떼놓고 생각할 수는 없다"면서도 "데이터가 우리나라의 현 시점 또는 가까운 미래에 이떤 상황에서 어떻게 쓰면 좋을지에 관한 방향을 제시하는 것, 그것이 우리 위원회의 가장 핵심적 역할"이라고 했다.
한국의 개인정보 법제의 우수성에 대한 자부심도 내비쳤다. 그는 "개인정보법 체계가 있는 곳이 아시아에 한국, 일본, 중국, 홍콩, 싱가포르 등 5곳 정도밖에 없다"면서도 "실제 개인정보 관련 조사·처분을 한 사례가 (아시아 다른 나라에는) 없고 기관에 축적된 노하우도 썩 많지 않다"고 했다.
미국·유럽 등지에서 '안전한 AI'를 위한 규제가 생기는 데 대해 우리도 국익을 고려한 제도를 마련해야 한다는 의견도 내놨다. 고 위원장은 "유럽은 내부 자생적 (AI) 생태계가 크지 않기 때문에 '부작용을 다 없애 때려 잡겠다'는 느낌이라 혁신 생태계에 대한 고려가 별로 없다"며 "미국의 AI 행정명령도 매우 상세하지만 미국의 국익을 고려한 여러 장치가 있다. AI를 매개로 중국의 성장을 견제하겠다고 비춰질 조항들도 있다"고 했다.
또 "한국도 국익을 보고 판단해야 한다"며 "해외 동향을 참고하고 글로벌 트렌드를 지속적으로 모니터링해야겠지만 한국의 독자적 입장, 한국의 글로벌 시장 입지를 고려해서 한국적 (AI규제) 모델을 만들어가야 할 것"이라고 했다.
고학수 개인정보보호위원회 위원장 / 사진제공=개인정보보호위원회