유통업 특화 인공지능(AI) 솔루션 기업 A사는 최근 한 중소 유통 업체와의 협업을 추진했지만 계약 직전 무산됐다. A사는 매장 내 CCTV 영상을 분석해 고객의 표정과 동선을 비식별 데이터로 변환한 뒤 이를 기반으로 특정 매대 앞 체류 시간이나 상품 접근 빈도 등을 분석해 매출 향상에 유리한 상품 배치를 제안하는 사업을 하고 있다. 그러나 상대 기업은 협의 막판 ‘개인정보 규제 부담’을 이유로 계약을 포기했다. A사 대표는 “CCTV 정보는 특히 개인정보 민감도가 높아, 사업 활용 가능성을 검토하기보다 아예 처음부터 제외하는 경우가 많다”며 “많은 중견·중소기업들이 AI를 도입한 뒤 법적 리스크가 불거질 가능성을 우려해 선뜻 나서지 못하는 게 현실”이라고 말했다. 그는 “대기업은 자체 IT 부서가 법률·보안 대응 체계를 갖추고 있지만 중소기업은 그렇지 않아 AI 도입을 포기하는 경우가 많다”고도 덧붙였다.
A사 대표가 말한 ‘비식별 데이터’란 개인정보에서 특정 개인을 알아볼 수 있는 정보를 제거하거나 다른 값으로 대체한 가명정보를 뜻한다. 다만 개인정보 중 ‘가명정보’와 ‘익명정보’는 개인정보보호법상 서로 다른 법적 지위를 가진다. 현행 개인정보보호법 제28조의2(가명정보 처리)는 가명정보를 정보 주체의 동의 없이도 통계 작성, 과학적 연구, 공익적 기록 보존 등의 목적으로 활용할 수 있도록 허용하고 있다. 하지만 같은 법 제28조의3과 시행령 제29조는 가명정보가 다른 정보와 결합돼 특정 개인을 알아볼 수 있게 되는 경우 ‘재식별’로 간주한다. 재식별이 확인되면 개인정보보호법 제70조에 따라 5년 이하의 징역 또는 5000만 원 이하의 벌금형에 처해질 수 있다.
익명정보는 상대적으로 규제가 덜하지만, 무엇이 익명정보인지 판단하는 기준이 명확하지 않다는 점에서 기업들은 활용 자체를 꺼린다. 특히 CCTV 영상이나 음성과 같은 비정형 데이터는 AI 분석 과정에서 다른 데이터와 결합되는 경우가 많아 재식별 위험 판정을 받을 가능성이 크다. 기술적으로 비식별 처리가 가능하더라도, 법적으로 ‘안전하다’고 단정하기 어려운 이유다. 기업들은 “정보가 재식별로 판단되는 기준이 모호해, 사후적으로 재식별 위험이 인정되면 처벌을 피하기 어렵다”고 지적한다.
여기에 2023년 9월 개인정보보호법 개정으로 공공기관의 유출 신고 기준이 강화되면서 기업들의 부담은 더욱 커졌다. 2023년까지는 1000명 이상의 개인정보가 유출돼야 신고 의무가 있었으나 개정 이후에는 주민등록번호·건강정보 등 민감 정보가 1명만 유출돼도 신고 의무가 발생한다. 그 결과 2024년 공공기관의 신고 건수는 104건으로 전년도(41) 대비 2배 이상 늘어났다. 이 중 68%는 유출 규모가 1000명 미만인 소규모 사고였다. 법 개정으로 사소한 유출까지 신고하는 사례가 빈번해진 셈이다. 민간 기업의 유출 신고는 전체의 66%(203건)로, 전년(277건)보다 다소 줄었지만 이 중 60%는 중소기업에서 발생했다. 나머지는 해외 기업(12%), 협회 및 단체(12%), 중견기업(11%), 대기업(5%) 순이었다.
이처럼 한국이 다양한 규제에 묶여 AI 발전에 속도를 내지 못하는 사이 주요국들은 규제 완화에 속속 나서고 있다. 미국에서는 2025년 도널드 트럼프 미 대통령이 ‘AI 액션 플랜(Action Plan)’을 발표하며 규제 완화 기조를 분명히 했다. 연방 정부는 주(州) 단위의 과도한 규제를 억제하기 위해 연방 자금 지원과 연계하는 방식을 추진하며, AI 인프라와 혁신 중심의 산업 환경을 조성하는 정책을 본격적으로 추진하기로 했다. 기업 친화적인 정책으로 AI 산업 경쟁력을 강화하려는 의도다. 일본은 2022년 개인정보보호법 개정을 통해 기존 개인정보 규제의 적용을 받지 않는 ‘개인 관련 정보’라는 개념을 도입하고 보다 유연한 데이터 활용을 위한 법적 기반을 마련했다. 유럽연합(EU)은 개인정보보호규정(GDPR)에 따른 500인 이하 중소기업의 데이터 기록 보관 의무를 완화하는 방안을 추진 중이다. 의료 정보 같은 ‘고위험’ 개인정보만 데이터 처리 기록을 보관하고 그 외 규정에 대해서는 면제할 수 있도록 하겠다는 것이다.
전문가들은 해외 사례를 참고해 개인정보 보호와 데이터 활용 사이의 균형을 맞추는 법제 개선이 시급하다고 지적한다. 최경진 가천대 교수는 “AI는 데이터를 실시간으로, 맥락에 따라 유기적으로 처리하는 방식으로 작동하기 때문에 수집·제공·위탁·제3자 처리 등 각 단계를 나눠 규제하는 현행 법 체계에는 분명한 한계가 있다”며 “개인정보 보호 제도가 AI 시대의 기술 환경을 따라갈 수 있도록 현실적으로 개편되고, 다양한 활용 사례도 적극 발굴될 필요가 있다”고 말했다.
![美中 힘싸움에 ‘이중 덫’ 걸린 K반도체…올트먼 경고 현실로? 캠브리콘 이어 알리바바도 AI칩 개발 [AI 프리즘*주식투자자 뉴스]](https://newsimg.sedaily.com/2025/09/01/2GXQE39YHS_1.jpg)
![[알쓸비법] '구조적 조치'와 '행태적 조치'…공정위 기업결합 심사의 기준은?](https://www.bizhankook.com/upload/bk/article/202509/thumb/30245-73788-sampleM.jpg)
