[기획]잇따른 개인정보 유출 사례… 실효성 있는 정책 필요
올해 벌써 50건 발생, 한국 보안인식 세계 최하위 개보위 "개인정보 보호 규율 체계 형성 중"
매일일보 = 김성지 기자 | 인공지능(AI) 시대의 부작용으로 각종 보안사고가 증가하고 있다. 개인정보 문제와 관련해 사회적 불안감이 커지고 있는 가운데 시대적 흐름에 맞는 개인정보보호 정책이 필요하다는 지적이 나오고 있다.
21일 업계에 따르면 공공기관, 민간기업 등 개인정보 유출사례가 잇따라 발생하고 있다.
카카오는 지난 5월 개인정보보호 법규를 위반했다는 혐의를 받아 151억원 과징금 처분을 받았다. 사건은 카카오톡 익명 채팅 서비스인 '오픈채팅'에서 발생했다. 해커가 오픈채팅에서 회원의 일련번호를 유출했다. 개인정보보호위원회(이하 개보위)는 해당 정보를 개인정보의 일부로 판단하며 카카오의 관리 미흡으로 판단했다. 현재 카카오는 과징금 처분에 대해 행정소송을 준비하고 있다. 이외에도 라인야후 사태의 시작점이었던 개인정보 유출, 알리·테무·쉬인 등 중국 이커머스의 정보유출 등 많은 개인정보 유출 문제를 겪고 있다.
공공기관의 개인정보 유출사고도 심각한 것으로 파악됐다. 인천시교육청에서는 학생·교직원 등 11만명의 계정에서 해킹된 것으로 의심돼 현재 개보위가 조사중이며, 행안부 '정부24'에서는 두 차례에 걸쳐 타인의 민원서류가 발급되는 등 시스템 오류로 1200건 이상 개인정보가 유출됐다. 지난해 법원은 북한의 해킹 공격으로 인해 1014기가바이트(GB) 분량의 개인정보를 유출했다. 법원의 정보에는 기본정보 외에도 여권·금융·재판 등 많은 정보가 총망라돼 있다. 최근 북한 해킹 그룹은 보안이 취약한 개인을 공략하고 있는 것으로 알려졌다.
더불어민주당 양부남 의원이 개보위로부터 제출받은 자료에 따르면, 올해 5월까지 공공기관 50곳에서 개인정보가 유출됐다. 그동안 △2019년 8곳 △2020년 11곳 △2021년 22곳 △2022년 23곳△2023년 41곳으로, 올해 절반도 지나지 않았음에도 역대 최고치를 넘어섰다.
늘어나는 개인정보 유출 사례의 원인은 해커가 아닌 관리자의 실수인 경우가 더 많았다. 개보위에 따르면, 지난해 상반기 발생한 14만4000건의 데이터 유출건수 중 업무 과실이 8만건(55.6%), 해킹 6만4000건(44.4%)이었다.
업계 관계자는 “개인정보 유출 사고는 사소한 실수에서 시작되며, 관리자는 수많은 데이터를 처리해야 하기에 노출 여부를 세밀하게 파악하기 어렵다”며 “개인정보 유출이 범죄에 해당하지 않는다는 인식도 영향을 미쳤다”고 말했다.
한국의 보안 인식은 세계 최하위 수준으로 밝혀졌다. 글로벌 인터넷 보안 업체 노드VPN이 175개국을 대상으로 진행한 ‘국가별 개인정보 보안인식 테스트(National Privacy Test)’에서 한국인은 100점 만점에 46점을 기록하며 세계 최하위인 것으로 분석됐다. 최고점을 받은 폴란드와 싱가포르가 64점, 세계 평균이 61점인 것을 감안하면 한국의 보안 인식 개선이 필요한 것으로 나타났다.
수출에 집중된 국내 산업 구조 특성상 글로벌 기준에 맞는 개인정보보호의 필요성 대두되고 있는 가운데, 지난 17일 개보위는 ‘AI 개발·서비스를 위한 공개된 개인정보 처리 안내서’를 공개했다. 안내서는 개인정보 관련 데이터 활용에 대한 가이드 라인을 제시하며, 보안의 중요성을 강조해 보안 인식을 제고하기 위해 마련됐다. 생성형 AI의 기본 원료는 인터넷상에서 모두에게 합법적으로 공개된 데이터로, 주소·고유식별번호·신용카드번호 등 여러 민감한 개인정보가 포함됐다.
개보위는 기업들이 AI 개발 및 서비스 단계에서 참고할 수 있도록 공개된 개인정보 처리 기준을 확립했다. 또 그동안 모호했던 개인정보 보호법 제15조 6호의 ‘정당한 이익’을 명확히 했다. 정당한 이익 조항이 적용되려면 △AI 개발 목적의 정당성 △공개된 개인정보 처리의 필요성 △구체적 이익형량 등 3가지 요건을 충족해야 한다. 개인정보를 수집·이용할 때는 합리성이 인정돼야 한다. 의료진단보조 AI를 개발할 경우 개인의 소득이나 재산 등 서비스 개발에 필요 없는 정보는 배제해야 한다.
개보위는 “유럽연합(EU), 미국 해외 주요국에서도 AI·데이터 처리 전반에 대해 개인정보 보호 규율체계를 형성해 나가고 있는 점을 고려해 국제적으로 상호운용성 있는 기준을 마련하는 데 중점을 뒀다”고 말했다.