2027년부터 2029년까지 적용될 제3차 개인정보 보호 기본계획이 7월 3일 경제관계장관회의에서 공식 발표됐습니다. 솔직히 처음 이 소식을 접했을 때 "이제야?"라는 말이 먼저 나왔습니다. 늦은 감이 분명히 있지만, 그래도 제대로 된 방향으로 가고 있다면 지켜볼 가치는 있다고 생각했습니다.

AI 시대 보호체계, 뭐가 달라지나
이번 기본계획의 핵심은 한마디로 "일률적 규제에서 위험비례 규율로의 전환"입니다. 위험비례 규율이란, 개인정보를 처리하는 행위의 위험도에 따라 규제 강도를 다르게 적용하는 방식입니다. 쉽게 말해 의료 데이터처럼 민감한 정보를 다루는 곳은 훨씬 촘촘하게, 상대적으로 위험이 낮은 곳은 유연하게 규제한다는 뜻입니다.
제가 직접 체감했던 부분이 있습니다. 몇 해 전 한 대형 통신사에서 대규모 개인정보 유출 사고가 있었고, 저도 그 사고 대상자 중 한 명이었습니다. 문자 한 통으로 통보를 받았는데, "유출됐으니 비밀번호를 바꾸세요"가 전부였습니다. 그때 느낀 건, 이미 엎질러진 뒤에 하는 조치가 얼마나 무력했는지였습니다. 그래서 이번 계획에서 사전 예방에 방점을 찍었다는 점은 방향 자체는 맞다고 생각합니다.
이번 계획에서 눈에 띄는 것 중 하나는 에이전틱 AI(Agentic AI)에 대한 책임구조 검토입니다. 에이전틱 AI란 사람의 지시 없이도 스스로 판단하고 행동하는 자율형 인공지능을 말합니다. 이런 AI가 개인정보를 처리할 때 누가 책임을 지는지를 제도적으로 정비하겠다는 것인데, 이건 솔직히 진작에 논의됐어야 했습니다.
마이데이터(MyData) 플랫폼 확대도 주목할 만한 부분입니다. 마이데이터란 정보 주체, 즉 국민이 자신의 데이터를 직접 관리하고 원하는 곳에 제공할 수 있는 권리 기반 데이터 활용 체계를 말합니다. 복지, 돌봄, 의료 분야까지 마이데이터 2단계를 확대하겠다고 밝혔는데, 이게 실질적으로 작동하려면 국민이 직접 쓸 수 있는 인터페이스가 얼마나 쉬운지가 관건일 것 같습니다.
- 위험비례 규율 도입: 처리 위험도에 따른 차등 규제 적용
- AI 전환 안심지원센터 운영: 인공지능 전환 시 개인정보 처리 불확실성 해소 창구
- 에이전틱 AI·피지컬 AI 책임구조 검토: 자율형·실물 인공지능의 정보 수집에 대한 새 규율
- 마이데이터 2단계 추진: 복지·돌봄·의료 분야 데이터 주권 확대
- 딥페이크(Deepfake) 데이터 변조 방지 방안 마련 및 AI 투명성 제도화
예방중심 보호와 원스톱 권리구제, 실효성이 관건
이번 계획에서 가장 강조된 두 축은 사전예방 중심 보호체계와 원스톱 권리구제 체계입니다. 개인정보보호위원회(출처: 개인정보보호위원회)는 유출 사고가 발생한 뒤에는 온전한 피해 회복이 어렵다는 점을 명시하며, 고위험군 집중점검과 부처 합동점검 같은 상시적 점검 체계를 대폭 강화하겠다고 밝혔습니다.
제 경험상 이건 정말 공감이 가는 방향입니다. 뉴스에서 피싱 범죄 피해 사례를 볼 때마다 "저건 남 얘기"라고 생각했는데, 어느 날 보이스피싱 시도 전화를 실제로 받고 나서 생각이 완전히 바뀌었습니다. 상대방이 제 이름, 주소, 심지어 통신사 정보까지 정확하게 알고 있었거든요. 그때 처음으로 내 정보가 어디선가 이미 팔렸구나 싶었고, 그 찜찜함은 지금도 남아 있습니다.
이번 계획에서 특히 주목한 부분은 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)에 인공지능 기술을 접목하겠다는 것입니다. ISMS-P란 기업과 기관이 정보보호와 개인정보보호를 체계적으로 관리하고 있는지를 인증하는 제도로, 쉽게 말해 "이 조직은 정보를 안전하게 다루고 있습니다"라는 공식 검증 체계입니다. 여기에 AI 보안점검 기능을 더하겠다는 건 실질적인 보안 수준을 높이는 데 도움이 될 것으로 보입니다.
원스톱 권리구제 체계도 눈여겨볼 대목입니다. 지금은 개인정보 침해를 당했을 때 신고, 조사, 분쟁조정, 손해배상을 각각 다른 창구에서 따로 처리해야 합니다. 이걸 하나로 연결하겠다는 건데, 저도 과거에 한 앱의 무단 개인정보 수집이 의심돼 신고 창구를 찾다가 어디에 해야 할지 몰라 결국 포기했던 기억이 있습니다. 그 불편함을 해소한다는 방향 자체는 환영할 만합니다.
다만 솔직히 한 가지 의문이 남습니다. 예방 중심이라고 했지만, 이미 지난 1년 사이 수많은 기업에서 개인정보가 줄줄 새 나갔고, 그 정보가 어디서 어떻게 유통됐는지는 여전히 오리무중입니다. 개인정보 불법유통에 형사처벌 근거를 신설하고 탐지·삭제 체계를 강화한다고 했지만, 이미 어딘가에 흘러다니는 정보를 어떻게 회수할 것인지에 대한 현실적 답변은 이번 계획에서도 찾기가 어려웠습니다. 조기경보체계(Early Warning System) 구축 계획도 포함돼 있는데, 조기경보체계란 위협이 실제 피해로 이어지기 전에 이상 징후를 포착하고 대응하는 체계를 말합니다. 이게 실제로 얼마나 빠르게 작동할 수 있을지는 두고 봐야 할 것 같습니다(출처: 대한민국 정책브리핑).
자주 묻는 질문
Q. 제3차 개인정보 보호 기본계획은 언제부터 적용되나요?
A. 이번 기본계획은 2027년부터 2029년까지 3년간 적용됩니다. 개인정보보호위원회가 3년마다 중앙행정기관과 함께 수립하는 계획으로, 부처별 시행계획을 별도로 수립해 단계적으로 이행하게 됩니다. 다만 지금 당장 제도가 바뀌는 건 아니니, 당분간은 현행 체계가 유지된다고 보시면 됩니다.
Q. 마이데이터가 뭔지 쉽게 설명해 주실 수 있나요?
A. 마이데이터(MyData)란 내 정보를 내가 직접 관리하고, 원하는 기관이나 서비스에 제공할 수 있는 권리 기반 데이터 활용 체계입니다. 예를 들어 병원 진료 기록이나 금융 거래 정보를 내가 동의한 앱에 전달해 맞춤형 서비스를 받는 방식이 대표적입니다. 이번 계획에서는 복지·돌봄·의료 분야까지 마이데이터 2단계로 확대한다고 밝혔습니다.
Q. 개인정보가 유출됐을 때 어디에 신고해야 하나요?
A. 현재는 개인정보보호위원회 또는 한국인터넷진흥원(KISA)의 개인정보침해신고센터(국번 없이 118)에 신고할 수 있습니다. 저도 예전에 창구를 찾느라 헤맸던 경험이 있는데, 이번 계획에서 신고부터 손해배상까지 한 번에 처리하는 원스톱 권리구제 체계를 만들겠다고 했으니, 앞으로는 이 과정이 훨씬 간소화될 것으로 기대됩니다.
Q. 개인정보 유출 피해를 예방하기 위해 개인이 할 수 있는 게 있나요?
A. 나라에서 정책을 만드는 것과 별개로, 개인 차원에서도 할 수 있는 일이 있습니다. 주기적인 비밀번호 변경, 2단계 인증 활성화, 불필요한 앱의 개인정보 접근 권한 차단이 기본입니다. 피싱 의심 문자나 전화는 즉시 끊고 관련 기관에 신고하는 습관도 중요합니다. 제가 직접 겪어보니, 내 정보에 대해 내가 먼저 신경 쓰는 것만큼 확실한 예방이 없더라고요.
결론
AI 시대에 맞춰 개인정보 보호정책을 손보는 건 분명히 필요한 일입니다. 위험비례 규율, 예방중심 체계, 원스톱 권리구제라는 방향 자체는 긍정적으로 봅니다. 다만 좋은 계획과 실제 현장에서의 작동 사이에는 늘 간극이 있었고, 그 간극을 어떻게 메우느냐가 진짜 관건입니다.
제가 바라는 건 복잡한 절차와 다단계 안전장치가 아닙니다. 국민이 내 정보가 어디에 있는지, 안전한지 아닌지를 쉽게 확인하고 실질적으로 통제할 수 있는 환경입니다. 나라에서 제도를 정비하는 동안, 저를 포함한 개개인도 내 개인정보를 조금 더 신경 써서 다루는 습관을 가져가시길 권합니다.
참고: https://www.korea.kr/news/policyNewsView.do?newsId=148967592