서울대와 미국 컬럼비아대에서 국제무역을 연구한 경제학자이자 인공지능(AI)을 연구한 법학자이다. 월스트리트 로펌에서 변호사(2000~2004)로 일했고, 귀국해 법무법인 세종에서 변호사로 근무했다. 연세대 법대 부교수를 거쳐 서울대 로스쿨 교수를 지냈다. 서울대 인공지능 이니셔티브를 만들었고 한국인공지능법학회 회장, 아시아법경제학회 회장 등을 역임했다. 2022년 10월7일 개인정보보호위원회 제2대 위원장에 취임했다. 2021년
휴대전화에는 온갖 개인정보가 한데 모여 있다. 누구와 통화하고, 어디에 가고, 어떤 메시지를 주고받았는지, 금융정보까지 알 수 있다. 그만큼 노리는 자도 많다. 해킹으로 보안이 뚫리면 내 모든 개인정보가 밝혀지는 건 물론 누군가 내 행세를 하고 돈을 빼내갈 수도 있다.
통신사의 개인정보 유출 사건은 잊힐 만하면 불거진다. 최근엔 SK텔레콤이 해킹 공격을 받았다. 유심(USIM) 정보가 유출된 걸로 알려지자 가입자들이 유심 교체를 위해 ‘오픈런’ 하는 일까지 벌어졌다. 지난 19일 민관합동조사단의 2차 조사 결과를 보면, 3년 전부터 해킹 공격이 있었는데도 새까맣게 모르고 있었다고 한다. 중국 생성형 인공지능(AI) 딥시크부터 테무 등 다른 기업의 개인정보 유출 사고도 잇따라 정보 유출 공포가 확산하고 있다.
빅테크 세상에서 합법적인 개인정보 수집도 갈수록 정교해지고 있다. 개인 표적형 타깃 광고는 오싹할 정도다. 광범위하게 수집된 개인정보가 상품처럼 거래된 결과다. 데이터를 기반으로 한 AI 기술도 눈부시게 발전하고 있다. 이제 개인정보를 논의해야 할 영역에는 보안뿐 아니라 데이터, 플랫폼, AI까지 포함되는 셈이다. 이 모든 이슈를 관할하는 기관이 2020년 8월 출범한 개인정보보호위원회다. 고학수 위원장을 지난 15일 정부서울청사에서 만났다. 고 위원장은 “고객의 데이터 관리를 제대로 못할 거면, 데이터를 함부로 받으면 안 된다”며 “기업이 개인정보 보호에 소홀하다는 이미지는 소비자의 신뢰 하락, 고객 이탈 등 추가적 손실로 이어지는 상황이 될 것”이라고 말했다. 그러면서 개인정보 유출 사고 예방을 위해서는 “개인정보 보호·보안 분야를 ‘투자’가 아닌, ‘비용’으로 인식하는 관행이 개선돼야 한다”고 했다.
정보 유출·부실 대응 기업에 책임
경영진 ‘문제만 안 생기면 OK’
데이터 관리를 비용으로만 생각
보안 부서 목소리 충분히 반영을
정보 보호 국민적 감수성 높은데
기업의 인적·물적 투자는 인색
책무가 아닌 ‘비용’으로만 접근
처벌 세졌지만 신뢰 하락 불가피
현행 ‘정보관리 인증제도’는
데이터 관리체계 점검이 주목적
해킹 방어 역량 확인 등에 미흡
문서 중심 심사 ‘한계’ 보완할 것
정보 불법수집 구글·메타 과징금
플랫폼 사업자들 관행에 경종
AI 발전과 정보 보호 상충 안 돼
불안 해소·기술 혁신 아울러야
불안한 소비자에 ‘이심’은 좋은 대안
- SK텔레콤 유심 해킹 사태는 개인정보 관리가 얼마나 중요한지를 절감하는 중대한 계기가 됐습니다. 어떻게 파악하고 계십니까.
“알뜰폰 이용자를 합쳐 사실상 SK텔레콤 모든 가입자가 피해를 입었습니다. 여기에 휴대전화 말고도 태블릿PC 등 통신사랑 네트워크에 연결된 기기까지 잠재적으로는 다 해킹 피해를 입었다고 보면 됩니다. 태스크포스(TF)를 만들어서 상황을 파악하고 있는데, 워낙 규모가 커서 시간이 좀 걸립니다.”
- SKT 주요 시스템에 악성프로그램 방지를 위한 백신이 설치되지 않았다고 하던데요.
“넓게 두 가지 요소를 보고 있는데요. 하나는 이 문제가 생긴 경위·규모, 또 하나는 회사가 안전 조치를 어떻게 했나를 봅니다. 백신이 제대로 설치 안 된 것 같다든가, 이런 것들은 안전 조치 관점에서 보는 거죠. 통신 네트워크가 원활하게 굴러가도록 돼 있는지 체크하는 것이 과학기술정보통신부 역할이고, 저희는 회사가 개인정보를 ‘금고’에 잘 보관했는지 파악하고 있습니다.”
- ‘유심 대란’이 일어났는데요. 이심(eSIM) 활용에 소극적이던 SK텔레콤이 이심 전환을 권고하고 있는데 갈아타도 될까요.
“당장 불안한 소비자 입장에서 이심은 좋은 대안이 될 수 있습니다. 그런데 이심 가입자가 늘면 회사 입장에서는 안 좋을 수밖에 없어요. 이심을 쓰면 이용자가 하나의 스마트폰으로 두 개의 통신사를 쓸 수도 있거든요.”
- SK텔레콤 해킹 사고 불과 반년 전에 정부가 이 회사의 정보보호 관리에 대해 합격점을 줬는데요. 그동안의 정부 점검이 형식적 수준에 그쳤다는 비판을 피할 수 없게 됐습니다.
“현행 인증제도는 규모가 좀 큰 회사들이 데이터 관리 체계를 잘 갖추고 있나를 보는 게 주목적이에요. 그러니까 해킹을 방어할 역량이 있는지에 주안점을 두지 않은 체계입니다. 그렇지만 (이번 사고를 계기로) 인증제도를 개선해야 한다는 문제의식에는 공감합니다. ‘문서 중심의 형식적 심사’라는 한계를 보완할 수 있도록 ‘모의해킹 실시’ 등 실전형 인증 체계로 개편하는 방안을 과기정통부와 마련하겠습니다.”
- 최근 알바몬, 현대차그룹, 명품 브랜드 디올 등도 해킹 공격을 받았습니다. 전반적으로 기업의 정보보호 체계에 허점이 있는 것 같습니다.
“유출 사고의 근본적인 예방을 위해서는 기업에서 개인정보 보호·보안 분야를 투자 영역이 아닌, ‘비용’으로 인식하는 관행이 개선돼야 합니다. 회사 경영진 대부분은 데이터 관리와 보호에 문제만 안 생기면 되니까 소극적으로 대응하고 돈 쓰는 부서로 생각하는 경우가 많아요. 또 하나는 시스템 관리·영업 부서 등에서 혹시나 업그레이드하고 보안 패치 장착 후 시스템 장애가 생기면 책임져야 하니까 기피하는 사례가 비일비재합니다. 의사결정 과정에서 보안·시스템 담당 부서의 목소리를 충분히 반영할 수 있는 구조 정착이 중요합니다.”
- 보안 투자를 소홀히 하는군요.
“우리나라는 초고속 인터넷 대중화 등으로 유례없이 빠른 속도로 정보화 기반을 확립했고, 수차례의 대규모 개인정보 유출 사고를 경험한 탓에 개인정보 보호에 대한 국민적 감수성이 상당히 높은 편입니다. 그럼에도 개인정보 보호에 대한 인적·물적 투자 규모는 작은 편이고, 안전과 프라이버시 보호에 대해 소비자 신뢰 확보를 위한 기업의 책무가 아니라 방어적인 법령 준수 관점으로만 접근하는 인식이 여전히 지배적이에요. 이러한 관행은 보안 문제가 발생했을 때 회사 부담이 크지 않았던 과거 경험에서 비롯된 것입니다.”
정보 유출 사고 낸 기업 ‘치명타’
- 그렇다면 기업이 책임의식과 경각심을 가지도록 처벌 수위를 상향하는 방법이 최선인가요.
“두 가지 방향이 있는데요. 하나는 회사 내부적으로 경각심을 갖고, 의사결정 과정에 이해도를 높이도록 유도하는 겁니다. 이러한 문제인식하에서 2024년 3월 개인정보보호법상 관련 규정을 정비했습니다. 개인정보보호책임자(CPO) 자격 요건을 강화했고, 보호책임자가 정기적으로 대표자 또는 이사회에 직접 보고하도록 했습니다. 또 다른 하나로 처벌 수위가 높아졌는데요. 보호법 개정(2023년 9월)으로 과징금 부과 상한이 매출액의 3%에서 전체 매출액의 3%로 상향돼 처분에 따른 효과가 작지 않을 것으로 생각됩니다. 이번 SK텔레콤 해킹 사태처럼 앞으로 개인정보 관련 사고가 발생할 경우 정부의 행정처분(과태료, 과징금)은 물론 손해배상, 분쟁조정 신청 증가 등 기업의 1차적 부담이 늘어날 뿐 아니라 개인정보 보호에 소홀하다는 이미지는 소비자의 신뢰 하락, 나아가 고객층 이탈 등 추가적 손실로 이어지는 상황이 될 것입니다.”
- 결국 사이버 공격에 대한 책임은 누가 져야 합니까.
“부실 대응 책임은 기업에 있죠. 고객의 데이터잖아요. 아까 금고란 비유를 했는데, 회사는 고객의 데이터를 잘 관리해야 할 책무가 있습니다. 관리를 제대로 못할 거면, 데이터를 함부로 받으면 안 돼요. 그다음에 정부 역할은 ‘어떤 금고를 써야 되느냐’ 아니면 ‘이중 또는 삼중으로 해야 되는지, 한 단계만 거쳐도 되는지’ 이런 식의 규율 체계를 만들고, 잘 지키는지 확인하는 겁니다.”
- 미국 무역대표부(USTR)가 ‘2025년 국가별 무역장벽 보고서’에서 한국 정부의 개인정보 보호 정책을 ‘무역장벽’으로 지목한 것처럼 개인정보 국외 이전에 대한 압박도 큰 것으로 압니다.
“우리 개인정보법의 텍스트를 오해한 부분이 좀 있고요. 보고서에서 지적한 세 가지 항목에 대해 지금 오해를 설명하는 과정을 거치고 있습니다. 과징금을 산정하는 데 결정적인 영향을 미치는 매출액의 정의가 ‘전 세계 시장에서 올린 액수’라는 게 USTR의 해석인데, 우리 보호법은 ‘전체 매출액의 3%’로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했습니다. 한국에서 수집한 개인정보를 해외로 이전할 때 큰 제한이 있다는 USTR 주장도 사실과 다릅니다. 보호 수준이 담보되지 않은 국외 이전 시 추가적 조치를 요구하는 것은 타당하고, 해외 법체계에서도 유사한 방식으로 운영 중입니다. 아울러 구글·메타 등 글로벌 사업자가 한국에서 개인정보를 직접 수집해 미국 등 다른 나라에 있는 서버로 보내는 경우는 국외 이전에 해당되지 않아 무역장벽이 될 가능성이 거의 없어요. 현재까지 국외 이전 중지명령이 발동된 사례도 없고요.”
공공기관 정보 유출, 기관 평가에 반영
- 공공기관의 개인정보 유출 위험성에 대한 우려도 있던데요.
“공공기관은 국민의 개인정보를 대규모로 처리하는 경우가 많고, 그만큼 침해 사고 발생 우려도 커서 엄정한 관리 체계가 필요합니다. 유출 원인은 공무원 개인의 일탈, 기관의 보호 체계 미흡에서 기인한 경우가 있습니다. 개인 일탈행위는 한 번만으로도 공직에서 배제(원스트라이크 아웃제)될 수 있도록 했어요. 기관에 대해서 어떻게 할지가 고민이 많은데, 민간기업은 과징금에 민감하지만 공공기관은 좀 달라요. 공공기관에 부과한 과징금은 결국 세금이기 때문에 한계가 있습니다. 그래서 유출 사고 발생 기관엔 감점을 주고, 그 결과를 기관 평가에 반영해요. 망신주기 비슷하게 되는 거죠. 기관장들은 평가에 민감하기 때문에 실질적으로 영향을 미칠 걸로 생각합니다.”
- 위원회가 2022년 개인정보를 불법 수집한 빅테크 구글·메타에 합계 1000억원의 과징금을 매긴 것은 세계가 주시하는 선례가 될 듯합니다. 올해 1월 구글·메타가 낸 행정소송에서 모두 이겼는데 판결 의미를 설명해주십시오.
“플랫폼 사업자의 개인정보 보호 책임성을 명확히 하고 부적절한 처리 관행에 경종을 울렸다는 점에서 의미가 있습니다. 더 큰 의미는 우리가 글로벌 빅테크들을 상대로 조사나 처분을 할 만큼 역량이 축적됐다는 것이겠죠. 소송 이후 외국 기업들이 한국 시장이나 위원회 신경을 많이 써야 한다는 인식이 생겼고, 중요한 사안이 있으면 빅테크 본사 임원들이 방문해 설명하려고 애를 많이 씁니다.”
- 개인정보 보호 분야에서 한국 위상이 많이 올라갔군요.
“지금까지는 미국과 유럽이 선점한 측면이 있긴 하지만, 적어도 아시아권에선 한국이 선도하고 있는 게 사실입니다. 이젠 주요 국가 기관장들 논의하는 자리의 패널로 미국, 유럽, 한국이 참석하는 구성이 일반적인 상황이 됐어요. 오는 6월 캐나다에서 열리는 주요 7개국(G7) 개인정보 감독기구(DPA)의 라운드테이블에 초청받아 가는데요. 위원장으로서 뿌듯합니다. 위원회 출범 당시 예측 못했던 현안이 많이 늘었는데, 현재 조직과 예산이 부족해 아쉬움이 큽니다.”
무차별 스팸 문자…창과 방패의 싸움
- 중국 생성형 AI 딥시크가 개인정보 유출 문제를 일으켰는데요.
“딥시크는 급하게 글로벌 서비스를 출시하는 과정에 미비점이 있었음을 인정했어요. 이번 일을 계기로 이용자의 개인정보 보호에 대한 경각심이 생기긴 했죠. 그렇지만 국가 차원에서 더 중요한 메시지는 미국의 빅테크가 아닌 곳에서 이런 괜찮은 기술이 나왔다는 점입니다. 한국도 자극을 받아야 하는데, 그런 쪽 이야기가 많이 나오지 않아서 좀 아쉬워요. 딥시크는 일종의 오픈 소스예요. 한국에서도 이를 잘 활용하면 기회가 될 수 있고요. AI 생태계가 더 풍부해져야 합니다.”
- AI 개발은 개인정보를 이용할 수밖에 없는데, 과도하게 기술을 옥죄면 발전이 뒤처질 수 있다는 지적도 있습니다.
“AI 기술 발전과 개인정보 보호를 ‘양날의 검’처럼 상충하는 것으로 바라보는 것은 틀린 시각입니다. 우리나라는 기술 발전이 국가적으로 중요한 가치지만, 동시에 프라이버시에 관한 국민 감수성이 굉장히 높은 편이에요. 이 불안감을 잠재우면서 기술 혁신도 아우를 수 있는 방법을 고민하고 있어요.”
- 휴대전화만 해도 원치 않는 스팸 문자가 많이 오는데요. 어떻게 제 정보가 새어 나갔는지가 사실 가장 궁금합니다.
“지난해 우리 위원회에 접수된 개인정보 유출 신고 건은 총 307건인데, 통계에 반영이 안 된 것까지 포함하면 훨씬 더 많겠죠. 창과 방패의 싸움 같은데요. 무작위로 발송하는 일반 스팸 문자가 상당수를 이루고 있지만, 특별히 주의를 기울여야 하는 위협은 특정 정보를 기반으로 ‘타기팅’ 형태로 발송하는 스팸 문자예요. 예를 들면 우리 국민 절반은 SK텔레콤 고객인데, ‘SKT 고객님’ 이런 식으로 문자를 보내면 사람들은 ‘어떻게 알았지’ 해요. ‘다크웹’에 돌아다니는 개인정보를 결합해서 ‘이름’을 알 수 있으면 더 명확한 타기팅이 되고, 서울 거주 등 인구통계학적으로 좁힐 수 있으면 타기팅이 점점 더 많이 되는 것입니다. 반대로 막아야 하는 입장에서는 데이터를 조금이라도 쪼개놓고, 본인 확인 과정을 아이디·패스워드로 했다면 이제는 2단계나 그 이상의 단계를 거칩니다. 최근에는 아예 비밀번호 자체를 없앤 ‘패스워드 리스’ 로그인 방식을 도입하고 있어요.”
- 올해 위원회 계획이 궁금합니다.
“챗GPT 출시 이후 개인정보 침해·활용 이슈도 끊임없이 발생하고 있고, 개인정보 국외 이전 우려 등 개인정보 유출 이슈가 잇따른 만큼 글로벌 프라이버시 논의의 장에서 대한민국의 주도권과 영향력을 넓혀가겠습니다.”
![[김경환 변호사의 디지털법] 〈52〉W 공급망 보안과 디지털 안전법의 필요성](https://img.etnews.com/news/article/2025/05/20/news-p.v1.20250520.176414a41dbf4092bffa3494b1006d14_P3.jpg)
![[기고] 마음 돌봄, AI에게 맡겨도 될까?](https://img.newspim.com/news/2025/01/06/2501060829105660.jpg)
