2024년 개인정보보호 및 활용조사 결과, 보유 건수, 수집 목적에서 대표성 갖기 어려워
공공, 민간 조사 대상, 개인정보 보유 건수 1천명 미만, 개인정보 수집 목적 ‘채용 및 인사관리’
중요한 통계의 정확성과 대표성 확보를 위한 방안 필요
“민간기업의 92.6%가 개인정보보호에 어려움을 느끼지 않는다.”
최근 개인정보보호위원회가 발표한 ‘2024년 개인정보보호 및 활용조사’ 결과 가운데 눈에 띄는 수치다.
겉보기에 이 결과는 국내 기업들의 개인정보 관리 역량이 꽤나 탄탄하다는 인상을 준다.
그러나 이 숫자는 과연 오늘날 현실을 제대로 반영하고 있을까?
이 조사는, 공공기관, 민간기업, 국민을 대상으로 개인정보 보호 인식 수준, 개인정보 보호·활용 현황 및 개인정보 관리실태 등을 파악하기 위한 목적으로 매년 실시하고 있고, 개인정보 정책의 효과분석 및 제도개선을 위한 기초자료로 활용되는 통계법에 따른 공식적인 조사다.
그러나, 조사 결과를 자세히 들여다보면, 표본 구성에 중대한 한계가 있음을 알 수 있다.
정보주체 부문 조사 결과에서는, 성인 92.7%, 청소년 95.0%가 개인정보 보호가 중요하다고 보고 있는 것으로 나타났고, 인공지능이 유발할 수 있는 개인정보 위험의 심각성에 대해서는 성인 76.1%, 청소년 76.2%가 ‘심각하다’고 응답했다.
인공지능 서비스의 개인정보 처리 현황 공개의 중요성 역시 성인 72.1%, 청소년 71.0%가 높게 인식하고 있는 것으로 나타났다.
또한, 수집한 개인정보를 처리하기 위하여 개인정보처리시스템을 구축·운영하고 있다는 응답에서 공공기관은 59.9%, 민간기업의 경우 4.0%에 밖에 없다고 한다.
정보주체의 개인정보에 대한 중요도 인식에 비해, 개인정보 안전성 확보 조치 현황에서는 민간기업의 경우 ’악성 프로그램 방지‘(36.7%)가 가장 높게 나타났고, 다음으로 ’내부관리 계획‘(25.7%), ’접근 권한‘(14.1%) 등의 순으로 나타났고, ’별도의 안전성 확보 조치가 없다‘는 의견이 40.1%로 높게 나타났다.
전반적인 내용을 살펴보다 보면, 현실에서 만나는 다양한 개인정보 담당자들의 인식과는 차이가 나는 부분이 있어 보인다.
조사 대상을 살펴보면, 개인정보처리자는 개인정보보호법 제2조에 의한 공공기관과 전국 17개 시·도 종사자 수 1인 이상 기업체의 민간기업으로 구분하고, 정보주체는 개인정보보호법 상 정보 주체가 되는 만 14세 이상~만 79세 이하 내국인을 대상으로 하고 있다.
조사 대상에서 가장 중요한, 개인정보 및 고유식별정보 보유 규모는 공공기관과 민간기업 모두 ‘1천명 미만’이 가장 높게 나타났고, 또 다른 중요 지표로 개인정보 수집 목적에서는 공공기관과 민간기업 모두 ’채용 및 인사관리‘(각 82.4%,72.5%)가 가장 높았다고 한다.
이를 정리하면, 공공이나 민간 조사 대상 모두 개인정보 보유 건수가 1천명 미만이면서, 채용과 인사관리를 목적으로 하는 곳들을 대상으로 진행되었다고 볼 수 있다.
이는 대규모 고객 데이터를 처리하거나 다양한 형태의 개인정보를 수집·운영하는 조직들이 표본에 충분히 포함되지 않았다는 의미다.
앞으로도 지속적인 조사를 통해 개인정보 정책의 효과분석 및 제도개선을 위한 기초자료로 활용하기 위해서는 가장 먼저 조사 대상을 다양화할 필요가 있다.
실제로는 수십만에서 수백만 명의 개인정보를 다루는 기관들이 다수 존재함에도 불구하고, 이들을 포함하지 않은 채 대부분 소규모 조직을 중심으로 조사를 진행한다면, “개인정보 보호에 어려움이 없다”는 결과는 단지 왜곡된 현실을 반영하는 착시일 수 있다.
예를 들어, 실제로는 100만 명 이상의 개인정보를 보유한 기관도 많지만, 표본에 대부분 소규모 기관만 포함되었다면 대부분의 조직이 ‘개인정보 보유량이 적고, 개인정보보호 업무를 함에 있어 어려움이 없다’는 잘못된 인식을 줄 수 있다.
적절하지 못한 조사 결과가 정책 결정에 사용될 경우, 현실과 동떨어진 정책이 만들어질 수 있고 이는 정보주체와 개인정보처리자 모두에게 도움이 되지 못할 것이다.
정책은 현실을 정확히 반영하는 데이터 위에서 설계되어야 한다. 대표성이 부족한 조사는 현장의 목소리를 왜곡하고, 그 결과는 곧 비현실적인 제도로 이어질 수 있다. 개인정보보호가 점점 더 중요해지는 시대에, 통계의 정확성과 대표성 확보는 그 자체로 정책의 출발점이자 핵심이다.
[글. 보안전략연구소 박나룡 소장 / isssi.org]
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[헬로AI] 거브테크 완성하는 AI 모니터링, 코딧은 이미 기업 옆에 있다](https://www.hellot.net/data/photos/20250416/art_17448126023446_5131d6.jpg)
![[글로벌 AI 특허 출원 동향]프로알, 다중 AI 에이전트 기반 시장 조사 자동화 솔루션](https://img.etnews.com/news/article/2025/04/16/news-t.v1.20250416.979179fcb1314167b8ec86d1b16a2b62_P1.png)
![바이오헬스산업 종사자 110만명 육박…오픈AI, 韓 기업 대상 'AI 에이전트' 사업 강화 [AI 프리즘*대학생 취준생 뉴스]](https://newsimg.sedaily.com/2025/04/15/2GRJ62SK5L_1.jpg)