[세종=뉴스핌] 이경태 기자 = 개인정보보호위원회가 올해 하반기부터 개인정보 침해 위험 수준에 따른 맞춤형 실태점검을 본격 추진한다.

개인정보위는 22일 열린 경제장관회의에서 이같은 내용을 담은 '예방 중심 개인정보 관리체계 전환계획'을 발표했다. 지난 12일 국무회의에 보고한 계획의 후속 조치로, 인공지능(AI)·플랫폼·클라우드 서비스 확산에 따라 커진 개인정보 침해·유출 위험을 사전에 식별·관리하기 위한 것이다.

◆ 위험도 기반 차등 점검 체계 도입

개인정보위는 개인정보 처리 규모와 민감도, 산업별 특성을 고려해 처리 분야를 고·중·저 위험군으로 구분한다. 고위험군에는 점검 분야를 사전 공개한 뒤 정기·수시 점검을 통해 내부통제 운영 실태를 집중적으로 살핀다.

올해 실태점검 대상은 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보 또는 민감정보를 처리하는 분야가 중심이 된다. 고위험군이 아닌 분야는 개인정보 영향평가, 개인정보 보호 중심 설계 원칙(PbD) 준수 등을 유도한다. 자율점검 도구와 컨설팅을 제공해 개인정보처리자가 기본적인 보호수준을 확보하도록 지원하고, 필요한 경우 소관 부처와 개인정보위가 합동 점검을 실시한다.

또한 주요 관계부처가 참여하는 범정부 정책협의체를 운영해 부처별 소관 분야의 관리 실태와 위험 해소방안을 공유한다. 기초 위험지도를 마련해 점검 대상 선정에 활용하고, 민관 조기경보 연락체계도 가동한다. 특히 9월 개인정보보호책임자(CPO) 지정 신고제 도입에 맞춰 CPO협의회 등과 협력해 위협 정보 핫라인을 구축한다.

사물인터넷(IoT) 기기, 에이전트 AI 등 신기술 분야도 선제 점검 대상에 포함된다. 그간 처리 규모·업종과 관계없이 일률적으로 적용되던 안전성 확보조치 기준은 처리자가 위험 분석을 기반으로 자율 조정할 수 있도록 중장기 개정안을 마련한다.

◆ PbD 제도화…보호투자 인센티브 강화

개인정보 보호를 서비스 기획·설계·개발 단계부터 기본값으로 반영하는 개인정보 보호 중심 설계(PbD) 원칙이 제도화된다. 그간 인터넷 프로토콜(IP)카메라, 로봇청소기 등 일부 제품군에 한정됐던 PbD 인증제를 '개인정보 보호법' 개정과 함께 확산하고, 기획·설계 단계에서 참고할 수 있는 안내서와 우수사례를 마련·보급한다. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등 기존 평가·인증 기준에도 PbD 원칙을 반영한다.

기업의 자발적 보호투자 확대를 위해 정보보호 공시 항목에 추가 보호조치 내역, 개인정보보호책임자(CPO) 내부통제 프로세스 등을 공개하도록 유도한다. 추가 보호조치의 실효적 운영이 확인되면 과징금 감경 등 인센티브를 부여한다. 중소·영세 사업자의 경미한 법 위반은 기술지원을 통해 시정 시 처분을 경감한다.

대량 개인정보가 집중되는 서비스형 소프트웨어(SaaS), 클라우드, 전문수탁자 등 공급망 전반의 관리도 강화한다. 개인정보 유출·오남용 방지를 위한 예방형 개인정보 보호 강화기술(PET) 연구개발과 전문인력 양성도 추진한다. 아동·청소년 및 취약계층 대상 교육 확대, 다크패턴 등 신뢰 저해 관행 점검도 병행한다.

송경희 위원장은 "관계부처와 협력해 중점 분야별 개인정보 처리 실태와 취약요인을 지속 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다"고 밝혔다.

biggerthanseoul@newspim.com