[디지털데일리 이종현기자] 다크웹이나 텔레그램 등 익명 공간에서 개인정보가 헐값에 유통되고 있다. 포털 계정정보 등을 1개당 10원 미만의 가격에 판매한다는 이들도 쉬이 찾을 수 있다. 개인정보가 공공재나 다름없다는 지적이 줄을 잇는 배경이다.

개인정보보호위원회(이하 개인정보위) 고학수 위원장은 19일부터 21일까지 3일에 걸쳐 기자단과의 대담을 진행했다. 특별한 주제 설정 없이 자유롭게 묻고 답하는 대담 방식이다. 취임 1년을 넘긴 고 위원장의 소회부터 지속하는 개인정보 유‧노출 및 인공지능(AI) 등에 대한 내용이 주를 이뤘다.

20일 대담에서는 현 세태에 대한 질문에 “전통 사회에서는 열쇠라는 개념이 없었다. 그러다가 현대 사회에서는 도난의 가능성을 고려해 잠금장치를 한다. 인터넷 상황도 마찬가지다. 개인정보 유출이 걱정된다면 그에 비례해 더 보안장치를 열심히 해야 한다”고 답하며 필요에 따라 일회용비밀번호(OTP)와 같은 다중인증 등의 수단도 활용해야 한다고 조언했다.

◆개인정보보호법 개정으로 과징금 액수 커져… ‘골프존’ 첫 대상 될까

연초 사회를 떠들썩하게 만든 LG유플러스의 경우 68억원의 과징금을 부과받았다. 이는 개인정보 유‧노출 사고로 국내 기업이 부과받은 과징금 중 가장 큰 금액이다. 수천억원에서 수조원까지 벌금이 부여되는 해외에 비하면 개인정보 유‧노출에 대한 처벌 및 피해보상이 미온적이라는 지적이 이어져 왔다.

다만 2024년부터는 상황이 달라질 것으로 보인다. 지난 9월15일 개정 개인정보보호법이 시행됨에 따라 법 위반시 관련 매출액의 3% 이내였던 과징금 부과 한도를 전체 매출액의 3% 이하로 손봤기 때문이다.

고 위원장은 “이번에 법이 개정되면서 과징금 상한액이 강해졌다. 또 온라인과 오프라인 구분을 없애면서 잠재적인 과징금 대상 수범자도 대폭 늘었다”며 “다만 개정법은 9월부터 시행됐기 때문에 약간의 시차가 있다. 9월 이후 생겨난 문제들에 대해서는 더 강한 처벌이 나올 것”이라고 밝혔다.

마냥 과징금 액수만 늘어난 것은 아니다. 개인정보 유‧노출과 관련 없는 매출의 경우 기업이 입증해 과징금 산정에서 열외되도록 하는 단서조항을 달았다. 지나친 과징금이 기업 활동에 부정적인 영향을 끼칠 수 있다는 산업계의 우려를 반영한 결과다.

고 위원장은 “조사하는 과정에서 개인정보가 어떤 전산시스템에서 유출됐는지 알아본다. LG유플러스는 고객인증시스템(CAS)에서 유출된 것으로 추정돼 그로부터 창출된 수익을 기준으로 과징금을 설정했었다. 만약 유사한 사건이 개정법 시행 이후에 생긴다고 하면 잠재적인 과징금 액수는 훨씬 커질 것”이라고 말했다.

지난 11월 랜섬웨어 공격으로 다수 회원 개인정보가 유출된 골프존의 경우 개정법의 적용을 받을 것으로 전망된다. 골프존의 경우 유‧노출에 더해 피해 신고를 지연했다는 비판도 받고 있다.

◆급변하는 AI 환경… “미국‧유럽연합 쫓을 게 아니라 우리의 길 찾아야”

고 위원장은 이날 대담에서 ‘챗GPT’ 등장 이후 급성장 중인 인공지능(AI)에 대한 견해도 밝혔다. 한국의 정보기술(IT) 수준이 선진국 반열에 오른 만큼 다른 나라의 모델을 답습하는 것이 아닌 ‘한국적인 길’을 찾아야 한다는 주장이다.

그는 “유럽연합(EU)과 미국이 (AI에 대한) 스탠스가 다르다. EU는 산업 생태계, 혁신 생태계에 대한 고려보다는 ‘이런 무시무시한 부작용이 눈에 보이니 다 때려잡겠다’고 하는 식이다. 굉장히 강력한 제초제를 써서 새싹도 다 죽인다고도 볼 수 있다”며 생태계가 조성돼 있는 한국에서는 취하기 어려운 방식이라고 전했다.

12월8일 주요 EU 기관이 참여하는 가운데 나온 AI 법은 AI를 겨냥한 첫 규제법안이 될 것으로 전망된다. 챗GPT와 같은 생성형 AI를 비롯해 생체인식 등에 대한 규제가 포함됐다. 내년 초 표결이 진행되고 통과될 경우 2025년 이후 법이 적용될 전망이다.

고 위원장은 “미국은 법안뿐만 아니라 행정명령도 굉장히 상세하다. 70~80페이지 정도 된다. 그 내용을 살펴보면 미국의 국익을 고려한 여러 장치가 있다”며 “우리도 우리 국익을 쫓아야 한다. 다른 나라가 어떻게 하는지 참조할 것은 하되, 독자적인 한국적인 길을 찾아야 한다”고 피력했다.

AI의 핵심은 데이터다. 그중에는 개인정보도 포함돼 있다. 개인정보에 대한 컨트롤타워 역할을 하는 개인정보위 역시 AI와 관련한 업무를 수행 중이다. SK텔레콤의 AI 기반 통화녹음 서비스 ‘에이닷’에 대한 실태점검도 이뤄지고 있다.

◆개인정보보호위원회에서 개인정보위원회로 변경?

고 위원장은 1년여간 개인정보위를 이끌면서 예산 및 인력의 부족을 수차례 언급한 바 있다. 10월 진행한 취임 1주년 간담회에서는 개인정보위에 편성된 소송 관련 예산이 2억원에 불과하다고 토로하기도 했다. 구글과 메타(구 페이스북)와 1000억원 상당의 과징금 소송을 진행 중인 상황에서 예산 부족으로 어려움을 겪고 있다고 밝혔다.

예산이 확정된 것은 고 위원장의 대담 마지막 날인 21일 오후다. 개인정보위의 2024년 예산은 총 654억원으로 올해대비 11%가량 늘었다. 행정쟁송 대응을 위한 소송 비용은 2억원에서 4억2000만원으로 확충됐다. 개인정보위는 다크웹과 같은 음성영역에서 유출된 개인정보를 지속적으로 탐지‧삭제하고 조사정보 통합 시스템 구축, 개인정보 침해 신고센터 운영 등 예산을 활용할 예정이다.

그는 국가도 기업도 개인정보보호를 위해 더 많은 투자를 해야 한다고 강조했다. “개인정보가 중요하다는 것에 모든 사람이 동의하는데, 그러면 돈을 쓰고 인력을 투입해야 한다”며 “언론보도를 보면 골프존은 2022년 매출액이 6000억원 정도인데 정보보호에는 0.3% 수준인 20억원 정도만 투자했다고 한다”고 전했다.

개인정보보호를 위한 전문 인력을 육성하고 해당 인력이 사회에 자리할 수 있도록 하는 제도적 뒷받침도 필요하다고 강조했다. 단순히 법 위반시 처벌을 강화하는 데 그치는 것이 아니라 최고정보보호책임자(CPO)가 최고경영자(CEO)나 이사회에 보고할 수 있도록 발언력을 더함으로써 선순환 구조를 만들어야 한다는 것이다.

이와 함께 고 위원장은 윤석열 대통령이 개인정보위의 조직 명칭을 개인정보보호위원회에서 개인정보위원회로 변경했으면 한다는 말을 전하며 명칭 변경 가능성을 시사했다.

그는 “우리는 스스로를 개인정보보호를 하는 곳이라기 보다는 더 넓게, 데이터에 대한 넓은 의미의 정책기관이라고 생각한다. 우리가 하는 것 중 조사 처분을 하는 부분이 있기에 그것을 완전히 떼놓고 생각할 수는 없다. 그러나 데이터를 어떻게 쓰면 좋을지에 대한 방향성을 제시하는 것이 우리 위원회의 핵심적인 역할이라고 생각한다”며 개인정보위가 개인정보총괄위원회로서 기능하고 있다고 강조했다.