공공기관 의무화도 추진..."정보보호 잘하는 곳은 강력한 인센티브"
개인정보보호위원회가 실효성 논란을 빚은 ISMS-P 인증의 그립을 한층 강화한다.
 기업의 유효기간이 3년인데, 1년마다 모의해킹 중심 현장 심사를 하고 문제가 있으면 인증을 취소하는 적극 행정에 나선다.
 예비심사제도 새로 도입한다.
 공공기관도 ISMS-P 인증 의무화도 단계적으로 추진한다.

관련 예산도 증액한다.
 현재는 2억원 수준이다.
 ISMS-P(Information Security Management system–Personal information protection)는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 인증이다.
 기업이 정보자산 보호(정보보안) 뿐만 아니라 개인정보 보호법 준수까지 충족해야 인증을 받을 수 있다.

또 기업이 개인정보보호관련 예방적 투자를 잘 하면 강력한 인센티브도 주는 방안을 마련한다.
 개보위는 이와 관련한 태스크포스(TF)를 결성, 구체적인 인센티브안과 함께 반복적인 개인정보유출에 따른 징벌적 과징금 강화도 함께 논의중이다.
 포렌식센터도 연내 설치한다.

송경희 개인정보보호위원회 위원장은 5일 서울 종로구 정부서울청사에서 지난달 취임후 첫 '출입기자단 브리핑'을 열고 이 같이 밝혔다.

송 위원장은 모두 발언에서 "오자마자 국감을 치렀다.
 그러면서 느낀게 많다.
 개인정보 중요성에 대해 입법부 관심도 높아지고 있고 국민 관심도 커지고 있다.
 그만큼 국민이 개인정보 보호의 신뢰성, 안전성에 대해 힘든 부분들이 생기고, 최근 사고로 불안감도 높아진 상황"이라고 짚었다.

송경희 개인정보보호위원장이 5일 취임 후 첫 기자간담회를 했다.
 송 위원장은 지난달 10일 취임했다.

이어 "개인정보보호위원장으로 부임한 지 한달이 안됐지만 깊이 있게 고민하고있는게 AI 시대 개인정보보호체계가 적절히 계속 잘 기능하고 있는냐는 것"이라면서 "전통적 개인정보보호법 체계가 AI 시대에 다양한 형태로 데이터 활용이 요구되는 상황에서 어떻게 하면 신뢰를 유지하면서 잘, 또 개인정보프라이버시가 보호되면서도 개인들이 데이터 활용의 가치를 늘릴 수 있게 하겠느냐가 도전적 숙제"라고 말했다.
 그러면서 "우리가 지금까지 하고 있는 제도들을 다시 돌아보고, 업무 개선을 할 수 있는 지, 프로세스를 어떻게 바꿀 수 있는 지, 제도적 변화를 어떻게 가져갈 것인지를 고민하고 있다"고 들려줬다.

특히 송 위원장은 취임사에 이어 이날도 사전 예방을 누차 강조했다.
 "취임사에서도 말했지만 사전 예방 체계 가장 중요하다.
 기존의 사후 제재 중심에서 사전 예방을 하면서, 국민 정보가 유출이 되고나서 내 정보가 어디로 흘러갔는 지 파악하기 힘든 상황에서, 최대한 그런 일이 일어나지 않도록 어떤 노력을 통해 (기업의) 투자를 유도할 수 있겠느냐가 매우 중요한 문제"라고 말했다.

이어진 기자들과의 질의응답에도 거침없이 답변했다.
 내년 예산과 관련한 질문에서 송 위원장은 "AI 시대를 맞아 우리가 해야할 일이 늘고 있다.
 기술분석 센터 같은 게 필요하다.
 기술분석을 전문적으로 해야한다.
 솔루션을 도입하고 전문인력도 필요하다.
 조사관도 2022년에 31명이었는데 현재도 31명이다.
 하지만 지난 3년간 처분건수는 56%나 늘었다.
 사고 규모도 500% 넘게 늘었다"며 예산과 인력 증원 필요성을 피력했다.
 개보위 내년 예산은 올해보다 9.1% 증액, 국회에 넘어가 있다.
 예산과 관련해 양청삼 개보위 국장은 "연구개발과 가명정보 예산이 늘었다"고 추가로 답했다.
 ISMS-P 예산도 일부 증액됐다.

개인정보유출에 따라 기업에 부과하는 과징금을 피해구제 기금으로 활용하는 것에 대해서는 "이제 정책을 만드는 시작단계"라면서 "직접적 구제라기 보다는 여러 피해를 막을 수 있는, 피해구제 노력을 하는 개인을 도와주는 인프라 기능, 이런 체제를 만들어 가는 게 필요하다고 보고 있다"고 짚었다.

송 위원장이 강조하는 사전 예방 체제로의 전환에 대해 구체적으로 답해달라는 질문에는 준비를 잘해 사고를 안나게 하는 곳은 강력한 인센티브를 주고, 반대로 중대한 사고를 자주 내는 곳은 징벌적 과징금을 부과하겠다는 뜻을 다시 내비쳤다.
 단, 리소스가 부족한 중소기업이나 스타트업, 소상공인은 교육이나 컨설팅 등이 필요, 이에 관한 예산을 확보해 사업으로 시행하겠다고 말했다.

AI 시대의 개인정보 보호 활용은 동적인 개념이고 지속적 노력 모니터링이 필요하다면서 "제품을 만들기 전 설계할때부터 프라이버시를 생각하는 게 필요하다"고도 밝혔다.
 ISMS-P 강화 등 규제를 많이 만드는 것 아니냐는 기자 질문에는 "절대 그렇지 않다.
 규제로 인해 우리가 얻을 수 있는 이득이 비용보다는 커야한다.
 어떤 규제 만들때는 그만큼 심사숙고 하겠단 의미"라면서 "사전 예방이 사전 규제가 아니다.
 프라이버시를 잘 지키는 AI를 만들어야 AI 3강이 될 수 있다"고 짚었다.

송 위원장은 공공 분야도 언급하며 "공공쪽에서 제대로 프라이버시 보호를 하지 않았을 때, 과도한 개인정보 수집과 활용으로, 이게 문제가 돼 손해배상까지 한 사례가 해외에 있다.
 공공부문도 AX할때 공정하고 투명하고 편향적이지 않아야한다.
 개인정보 보호와 활용을 잘하는게 굉장히 중요하다"면서 "ISMS-P를 의무적으로 받는 걸 공공기관부터 단계적으로 확대하는 걸 검토하겠다"고 밝혔다.
 개인정보보호 관련 해외 기관과의 협력 확대 의지도 보였다.

또 공정위가 시행하고 있는 동의의결제를 개보위가 도입하는 것에 대해서는 "공정위가 동의의결제로 27~28건 신청 받아 인용된 게 12~13건으로 알고 있다.
 우리도 동의의결제를 피해구제기금하고 같이 고려 중"이라고 말했다.
 부위원장 공석과 관련해서는 "공석이 오래 지속하지는 않을 것"으로 예상했다.