개인정보보호 ‘소잃고 외양간 고치기’ 더는 안된다

[산업일보]
SK텔레콤과 KT, LG유플러스 등 통신 3사와 쿠팡 등 주요 기업들의 개인정보 유출 사태가 연이어 발생함에 따라 이에 대한 우려가 커지고 있다. 특히, 개인정보 유출의 경우 사이버 재난을 넘어 안보 재난으로까지 이어질 수 있어 더 이상의 ‘소잃고 외양간 고치기’식의 대응은 무의미하다는 지적이 제기되고 있다.

23일 국회에서 열린 ‘사전예방 중심 개인정보 보호 체계 구축을 위한 토론회’의 발제자로 나선 전북대학교 법학전문대학원 김도승 교수는 이 자리에서 사후 제재 중심 보호 체계의 한계와 사전 예방으로의 전환에 대한 필요성을 설명했다.

김 교수는 이날 ‘사후제재 중심 개인정보 보호의 한계와 전환의 선결조건’이라는 주제의 발표에서 “2024년 기준으로 최근 5년간 개인정보 유출과 관련한 신고 건수는 2배가 늘었으며 유출 규모는 8배 이상 증가하는 등 유출사고는 지속적으로 증가하는 동시에 대형화 양상을 띠고 있다”며 “AI, 클라우드의 확산으로 외부 접점이 늘어나고 데이터가 국경을 넘나드는 환경에서 위험의 규모와 속도, 연결성이 급격히 커지면서 기존 체계 실효성이 흔들리고 있다”고 지적했다.

그의 설명에 따르면, 기존 사후제재 중심 보호체계의 작동 방식은 안전조치의 항목 나열에 그치기 때문에 보호 체계가 사후 제재 중심 모델로 굳어지기 쉽다. 특히, 이러한 특징으로 인해 기업들도 실제 보안 강화보다 법령에 나열된 체크리스트 채우기에 매몰될 가능성이 크다.

김 교수는 “사고가 발생할 때마다 과징금 상향‧처벌강화 같은 대응이 반복되면서 개인정보 규제 체계 전체가 점점 사후 책임 중심 구조로 고착된다”며 “관리체계 인증을 운영하고 있지만 실제로는 인증 기준 충족 자체가 목표가 되면서 형식적 준수에 머무를 수 있다”고 언급했다.

“오늘날 개인정보는 하나의 기업이 아니라 플랫폼이나 클라우드, 외주와 해외 서비스가 연결된 데이터 생태계 속에서 처리된다”며 “이러한 상황에서 사고 이후 책임을 묻는 방식만으로는 복합적인 위험 관리가 어렵다”고 김 교수는 지적했다.

그는 “인공지능 강국을 위해 필수적인 대규모 데이터 학습은 결국 국민 신뢰 위에서만 가능하다”며 “현행 체계로는 신뢰 유지가 어렵기 때문에 개인정보 보호 체계에 대한 근본적인 검토가 필요하다”고 강조했다.

발표를 마무리하면서 김 교수는 “사전 예방 중심의 개인정보보호 체계는 기업의 법적 불확실성을 해소하고 국민 권익을 선제적으로 보호해 데이터 경제의 선순환 구조를 만드는 초석”이라고 언급한 뒤 “개인정보 보호 기금의 설치는 예방 중심의 보호체계로 전환하기 위한기반이 될 것”이라고 덧붙였다.