개인정보위, '사후 제재'에서 '사전 예방' 체제로…6월부터 플랫폼·금융 등 예방 점검

[아이뉴스24 윤소진 기자] 개인정보보호위원회가 개인정보 유출 사고 이후 제재하는 방식에서 벗어나 위험도를 사전에 분류해 예방 중심으로 관리하는 체계 전환에 나선다. 6월부터 플랫폼·금융·공공기관·에듀테크·요양병원 등을 고위험군으로 분류해 정기·수시 점검을 실시하고 기업의 자발적 보호 투자에는 과징금 감경 인센티브를 부여한다.

개인정보위는 22일 경제관계장관회의에서 이 같은 내용을 담은 ‘예방 중심 개인정보 관리체계 전환 계획’을 논의했다.

이번 대책은 AI·플랫폼·클라우드 확산으로 개인정보 처리 구조가 복잡해지면서 기존 사후 제재 중심 체계로는 대응에 한계가 있다는 판단에 따른 것이다. 실제 개인정보 유출 신고 건수는 2020년 219건에서 2025년 447건으로 약 2배 증가했고, 유출 규모는 같은 기간 1200만3000건에서 1억354만6000건으로 8.6배 늘었다.

개인정보위는 6월부터 개인정보 처리 규모와 민감도, 산업 특성 등을 기준으로 고·중·저 위험군을 나눠 차등 관리에 들어간다. 고낙준 예방조정심의관은 이날 브리핑에서 "공공 분야는 집중 관리 시스템 387개에 대해 현황이 다 파악돼 있어 6월부터 바로 점검에 들어갈 여력이 된다"며 "민간은 개인정보처리자가 1000만에 달해 추가 분류가 필요하다"고 말했다.

고위험군은 100만명 이상 개인정보를 처리하거나 고유식별정보·민감정보를 다루는 분야다. 올해는 플랫폼(대규모 데이터 처리), 금융기관(고유식별정보 처리), 공공기관(취약점 점검), 요양병원(민감정보 처리)을 4대 점검 분야로 삼는다. 팬덤 플랫폼·채용 플랫폼·만남중개서비스 등 생활밀착형 서비스도 점검 대상으로 검토 중이다.

고 심의관은 "팬덤 같은 경우 주로 청소년들이 많이 이용하고 있기 때문에 아동·청소년 정보는 더 집중 관리해야 한다"며 "고유식별정보나 민감정보, 아동·청소년 정보가 많이 보관된 기관과 기업을 우선적으로 살펴볼 예정"이라고 밝혔다.

이번 실태점검은 처분·과징금 부과를 전제로 한 기존 조사와 분리 운영된다. 고 심의관은 "사전 실태점검은 기본적으로 처리자의 협력을 통해 이뤄지는 절차"라며 "원칙적으로 권고를 통해 개선을 유도하고, 개선이 끝나면 더 이상의 행정 절차는 없다"고 설명했다. 다만 "점검 목적과 다른 부분에서 유출이나 은폐 행위가 발견되면 필요한 경우 조사로 전환할 수 있다"고 덧붙였다.

보호투자 인센티브·공공 인력 확충 병행

자발적 보호투자 확대를 위한 인센티브 제도도 개편한다. 추가 보호조치를 실제 운영한 기업에는 과징금 감경 혜택을 부여한다.

고 심의관은 "동종업계 대비 보호 투자나 안전관리체계를 실효적으로 운영하는지 등 여러 지표를 검토 중"이라며 "구체적인 내용은 조만간 입법예고를 통해 공개될 예정"이라고 밝혔다. 중소·영세 사업자의 경미한 법 위반은 기술 지원 등을 통한 시정 시 처분을 경감하는 방향으로 시행령도 개정한다.

공공기관 전담인력 확충도 추진한다. 개인정보위 조사 결과 기관당 전담인력 수요는 3.2명이었으나 실제 전담인력은 0.7명에 그쳤다. 고 심의관은 "기관들은 인력 부족과 재원 확충의 어려움을 많이 호소하고 있다"며 "행안부와 기재부 등 관계 부처와 협력해 필요한 인력과 재원이 확충될 수 있도록 협의 중"이라고 말했다.

개인정보 보호 중심 설계(PbD) 원칙을 개인정보보호법 제3조에 법제화한다. 정보주체의 별도 설정이 없는 한 서비스 제공에 필수적인 개인정보 외에는 수집·처리되지 않도록 기본 설정 구현 의무 등을 포함한다.

9월에는 CPO 지정 신고제가 도입되며, ISMS-P 인증은 간편·표준·강화 3단계로 개편된다. IoT 기기와 에이전틱 AI를 대상으로 개인정보 저장·외부 전송·로그 기록 여부 등을 점검하고, 결과를 향후 가이드라인과 제도 개선에 반영할 방침이다.