송경희 개인정보보호위원회 위원장은 5일 "개인정보 유출 사고에 대한 일회성 처벌로 개인정보보호가 이뤄지는 체제는 한계가 있다"고 밝혔다.
송 위원장은 이날 서울 종로구 정부서울청사에서 '출입기자단 정례브리핑'을 열고 "기업의 개인정보보호에 대한 지속적 지원과 모니터링, 처벌, 인센티브가 복합적으로 잘 설계돼야 인공지능(AI) 시대에 맞는 개인정보보호와 활용이 가능하다"며 이같이 말했다.
그는 "개인정보보호가 안 되는 AI가 시장에서 경쟁력이 있겠느냐"며 "가장 직접적으로 느끼는 개인정보를 보호하는 등 신뢰할 수 있는 AI 서비스와 제품을 만드는 나라로 인식돼야 정부가 목표하는 '글로벌 AI 3강'이 될 수 있다고 생각한다"고 했다.
그러면서 "개인정보유출 사고가 났을 때 조사하고 처분해서 '잘못하면 이런 정도의 처벌 받는 거야'와 같은 정적이고 일회적으로 확보되는 신뢰로는 안 된다"며 "정부는 기업의 상품·서비스 설계 단계부터 보호 수준을 점검하고 지속적인 실태 점검을 통해 신뢰를 갖게 해주는 등 기존 사후 제재 중심에서 사전 예방 체계로 전환해야 한다"고 강조했다.
또 "이같은 신뢰를 토대로 기업은 기업대로 개인정보보호 체계를 더욱 확대하고, 이용자는 이용자대로 자신의 개인정보를 기업에 제공해 활용할 수 있어야 개인 맞춤형으로 최적의 AI 서비스를 받을 수 있다"며 "기업이 개인정보보호 분야에 예방적 투자를 하면 '강력한 인센티브'를 주겠다"고 했다.
다만 '강력한 인센티브'의 구체적 방안에 대해선 말을 아꼈다. 그는 "최근 제도개선TF를 만들어 논의하고 있는 상황이므로 아직은 말씀드릴 단계는 아니다"라며 "해커가 타깃을 잡고 공격하면 100% 막아낼 수 없는 것이 현실인데, 기업이 개인정보보호에 대해 노력한 부분에 대해선 인정해주겠다는 의미"라고 했다.
그렇다고 과징금과 같은 처분 수위가 내려간다는 의미는 아니라고 선을 그었다. 송 위원장은 "개인정보유출 사고를 낸 기업에 대한 과징금 수위가 내려갈 것이라고 말하긴 어렵다"며 "심각하고 반복적 사고에 대해선 징벌적 과징금을 부과하는 등 강하게 제재하겠다"고 말했다. KT와 같은 최근 해킹 사고를 겪은 기업에 대한 조사와 과징금 수위에 대해선 "조사가 진행중"이라며 언급을 삼갔다.
송 위원장은 정보보호 및 개인정보보호관리체계 인증인 'ISMS-P'를 공공부문부터 의무적으로 받도록 하고, 이를 민간으로 확대할 계획도 설명했다. 그는 "ISMS-P 인증을 받은 기업도 사고가 나는데, 유효한 것이냐는 비판이 있었다"며 "200개 이상의 기업이 해당 인증을 받아 개인정보보호 수준을 높였으나 모든 것을 막을 수는 없다. 이를 조금 더 실효성 있게 만들 필요가 있다"고 했다.
개인정보위 인력과 예산 규모가 현저히 부족한 점도 이같은 예방 체계 구축에 장벽으로 작용하고 있다고 털어놨다.
송 위원장은 "예를 들어 인증 제도를 실효성 있게 만들려면 서면 심사뿐 아니라 예비·현장·사후 심사, 모의 해킹도 하고 문제가 있을 경우 인증을 취소하는 등 적극적 조치를 해야 한다"며 "그런데 관련 예산이 2억원에 불과하다. 연간 조사처분 건수도 300건이 넘어 3년 전 대비 56%, 사고 규모의 경우 500% 늘어났는데 조사관은 여전히 31명 그대로다. 얼마나 어려움을 겪고 있는지 짐작이 될 것"이라고 했다.
