AI(인공지능) 대전환 시대에 발맞춰 인터넷 종합 미디어 <더팩트>와 <개인정보보호법학회>가 손잡고 '인공지능 대전환시대 데이터법제의 발전'을 주제로 한 기획 칼럼 시리즈를 연재합니다. 이번 기획은 AI 혁신을 위한 필수 과제인 데이터의 활용과 보호 간 균형을 맞추는 정교한 법제도 정비의 중요성에 주목했습니다. 특히 AI 시대에 맞는 개인정보보호법 재설계의 필요성에 대한 심도 있는 논의를 이끌어낼 예정입니다. 데이터가 어떻게 수집되고, 활용되며, 보호돼야 하는지에 대해 전문가들의 학문적 분석과 사회적 담론을 제공합니다.<편집자 주>
[더팩트 | 홍준호 교수(성신여대 융합보안공학과, 개인정보보호법학회 연구이사)] 인공지능(AI)의 확산은 인간의 삶과 산업 전반을 혁신적으로 바꾸어 놓고 있으며, AI 기술이 일상과 산업에 깊숙이 스며드는 만큼 그 그늘 또한 짙어지고 있다.
최근 몇 년 사이 개인정보 유출 사고와 각종 보안 침해 사건이 연이어 발생하면서 국민의 불안감이 커지고 있다. 대형 통신사나 금융기관에서 수백만 명의 개인정보가 유출되고, 다른 한편으로는 기업의 시스템이 랜섬웨어에 감염되어 서비스가 중단되는 일까지 벌어진다. 이 두 가지 문제를 들여다보면, 하나는 국민 개개인의 권리를 직접적으로 위협하는 사고이고, 다른 하나는 기업과 산업 전체의 운영 기반을 흔드는 사고다.
이러한 문제의식 속에서 도입된 것이 바로 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO) 지정 제도다. 정보보호와 개인정보보호를 전담하도록 하여 책임성을 강화하려는 중요한 정책적 시도였다. 그러나 제도의 취지와 달리 현장의 현실은 녹록치 않다.
인력과 예산이 턱없이 부족해 여전히 두 직무를 한 사람이 겸직하는 경우가 많고, 사고가 발생했을 때 책임 소재가 불명확하다는 지적이 끊이지 않는다. 특히 문제는 사고가 터지면 책임은 CISO·CPO에게 집중되지만 정작 이들에게는 예산 집행 권한이나 충분한 인력이 주어지지 않는 경우가 대부분이라는 점이다. 심지어 대기업조차 보안 전담 인력이 5명 미만인 경우가 많아, 보안 관리의 구조적 취약성이 드러나고 있다.
과학기술정보통신부 조사에 따르면 국내 기업의 보안 투자 비중은 IT 예산의 6%에 불과하다. 이는 미국·유럽 평균(약 25%)과 비교할 때 현저히 낮은 수치다. 시스코가 발표한 「2025 사이버보안 준비 지수」에서도 국내 기업 중 성숙한 대응 체계를 갖춘 곳은 3%에 그친 것으로 나타났다. 이는 우리 기업의 보안 투자가 글로벌 수준과 괴리되어 있으며, AI 시대에 필수적인 보안 역량을 확보하지 못하고 있음을 방증한다.
현재 기업들은 ‘정보보호 공시제도’를 통해 보안 투자와 인력 현황을 공개하고 있다. 그러나 정보보호와 개인정보보호가 하나의 항목으로 묶여 있어 투자 비중과 인력 규모를 세분화하여 확인하기 어렵다. 이로 인해 정책담당자와 이해관계자 모두 각 영역의 취약성을 제대로 파악할 수 없는 구조적 한계가 발생한다. 따라서 정보보호 공시제도를 개정하여 정보보호 예산 대비 개인정보보호 예산으로 세분화할 필요가 있다. 이를 통해 두 영역의 인력 규모, 투자 현황 등을 명확히 구분할 수 있으며, 우수 공시 기업에 인센티브를 제공한다면 자발적 투자 확대도 유도할 수 있다.
또한 정보보호산업과 개인정보보호산업은 통계조사, R&D 예산 편성, 인력 양성 정책 측면에서 충분히 구분되지 않고 있다. 이로 인해 어떤 분야가 더 많은 인력을 필요로 하는지, 어느 기술 영역이 취약한지 명확히 드러나지 않는다. 이는 산업 발전 전략 수립에 걸림돌로 작용한다. 앞으로는 두 산업을 별도의 통계 항목으로 조사하고, R&D 예산 역시 명확하게 분리해 편성해야 한다. 그래야만 정부와 기업이 각 영역의 취약성을 정확히 파악하고, 이를 기반으로 맞춤형 인재 양성과 산업정책, 기술개발 전략을 수립할 수 있다.
AI 강국으로 도약하기 위해서는 기술 혁신 못지않게 보안 역량이 필수적이다. 특히 정보보호와 개인정보보호라는 두 축을 균형 있게 발전시키지 않는다면, AI 시대의 성과는 언제든 위기에 노출될 수 있다. 제도의 실효성을 높이고, 투자와 인력 구조를 정교하게 설계하는 것이 무엇보다 중요하다. 보안의 두 얼굴을 균형 있게 키워낼 때, 우리의 AI 경쟁력도 비로소 단단해질 것이다.
▶AI 대전환시대 공동 기획 칼럼 관련 시리즈
[기획 칼럼⑫] 인공지능 대전환에 따른 '개인정보 보호법'의 변화 필요성
[기획 칼럼⑪] AI 시대를 사는 정보주체의 개인정보 자기결정권
[기획 칼럼⑩] 아동·청소년의 권리 보호, 잊힐 권리의 보장으로부터
[기획 칼럼⑨] 고인의 사생활 vs 유족의 추억...법의 공백에 방치된 ‘디지털 유산’
[기획 칼럼⑧] AI 대전환과 개인정보 국외 이전, ‘신뢰 기반 체계 구축으로’
[기획 칼럼⑥] 개인정보를 마주하는 우리의 자세, 변화가 필요하다
[기획 칼럼④] 인공지능 시대에서의 ‘정당한 이익’ 가치
[기획 칼럼③] 공개된 정보 활용 패러다임 전환을 통해 AI 학습데이터 물꼬를 터야