송경희 개인정보위원장 "예방 투자 기업엔 강력 인센티브"⋯ISMS-P 실효성 강화 예고

▲ 송경희 개인정보보호위원회 위원장이 11월 5일 오후 서울 종로구 정부서울청사에서 개최된 '출입기자단 정례브리핑'에서 인사말을 하고 있다. (김나리 기자)

송경희 개인정보보호위원장은 5일 “규제는 비용 대비 편익이 더 클 때만 설계하겠다”면서 “AI 시대 신뢰의 핵심은 프라이버시 보호이며 예방과 인센티브로 기업의 자발적 투자를 유도하겠다”며 규제에 대한 신중한 접근 방침을 밝혔다.

송 위원장은 이날 오후 서울 종로구 개인정보보호위원회 대회의실에서 열린 첫 공식 기자간담회에서 취임 이후 강조해온 ‘사전예방 체계 강화’가 기업들 사이에서 사실상 규제 강화로 해석되고 있다는 지적에 대해 “기업들이 개인정보보호 체계에 투자하고 안전조치를 강화할 수 있도록 강력한 인센티브를 주겠다는 것”이라며 반대로 중대한 침해나 반복된 사고에 대해서는 징벌적 과징금 등 강력한 제재를 병행하겠다”고 설명했다.

송 위원장은 “개인정보가 제대로 보호되는 AI를 만들어야 한국이 AI 3강으로 인정받을 수 있다”고 강조했다.

이에 송 위원장은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)과 서비스 설계 초기 단계부터 개인정보 보호를 핵심 원칙으로 삼는 ‘프라이버시 바이 디자인(Privacy by Design)’에 인센티브를 부여하는 방침을 검토하고 있다고 밝혔다.

송 위원장은 “ISMS-P 인증 취득 기업의 사고 시 책임 경감도 검토 중이며 현행 제도에도 경감 장치가 있으나 제도개선 TF에서 경감 수준 상향 여부를 논의하고 있다”고 설명했다. 인증의 실효성을 높이기 위해서는 유효기간(3년) 동안 관리가 느슨해지는 문제를 막고자 매년 현장 중심 심사와 모의해킹을 강화하고 의무 대상 기관에는 기관 특성에 맞춘 추가 기준을 부여하는 방안도 함께 추진할 계획이다.

개인정보위는 공공부문에서 반복적으로 발생하는 개인정보 유출 문제에 대해서는 평가 결과 공개, 기관장 책임 강화 등을 검토 중이며 공공기관부터 ISMS-P 인증을 의무적으로 받게 하는 방안도 고려하고 있다.

전날 개인정보분쟁조정위원회가 SK텔레콤 유심 해킹 피해자에게 1인당 30만 원씩 배상하라는 결정을 내린 데 대해 송 위원장은 “분쟁조정위원회는 개인정보보호법에 따라 독립적으로 운영되는 조직으로 개보위가 직접 배상액을 정하는 구조가 아니다”라면서도 “이번 결정은 이용자들이 입은 정신적 피해와 개인정보 침해의 특수성을 고려한 것”이라고 설명했다.

KT의 개인정보 유출 사건에 대해서는 “현재 조사가 진행 중인 단계로 조사 결과가 마무리되는 시점에 제재 방향과 수위가 명확해질 것”이라고 언급했다.

GS리테일·예스24 해킹 사고 등 아직 결론이 나오지 않은 대형 사건 조사 지연과 관련 개보위의 조사 인력 부족 문제도 거론됐다. 송 위원장은 “사고 규모와 개인에게 미치는 영향 등을 종합적으로 분석해야 하는 만큼 시간이 걸리고 있다”며 “개인정보 유출 조사관 인력은 22년 31명에서 지금도 31명으로 동결된 상태인 반면 같은 기간 사고 규모는 500% 이상 증가했다. 사건의 수요와 규모가 크게 늘어났음에도 인력이 그대로인 상황에서 조사와 처분 과정에 어려움이 발생할 수밖에 없어 인력 충원을 적극적으로 요청하고 있다”고 설명했다.