개인정보 3차 기본계획, AI 원본데이터 학습 어디까지 열리나

안녕하세요! 성징어의 IT 잉크사이트(IT Ink-Sight) 성징어입니다.

7월 3일, 개인정보보호위원회가 제3차 개인정보 보호 기본계획을 발표했습니다.
3년마다 나오는 기본계획이라고 하면 늘 원론적인 이야기만 담겨 있을 거라 생각하기 쉽습니다. 그런데 이번 계획은 조금 다릅니다. 개인정보 처리 위험도에 따라 규제 강도를 달리하는 ‘위험비례 규율체계’로 전환하겠다는 방향을 명확히 못박았고, 그 연장선에서 위험평가를 통과하면 원본 데이터를 마스킹 없이 AI 학습에 쓸 수 있는 길까지 열어뒀습니다. 공공 정보화 사업을 다니다 보면 이런 정책 전환이 실제 사업 범위와 예산에 그대로 반영되는 걸 자주 목격하게 되는데, 이번 기본계획도 그럴 가능성이 커 보입니다.

제3차 기본계획, 왜 이 시점에 나왔나

개인정보보호법에 따라 개인정보위는 중앙행정기관장과 함께 3년마다 기본계획을 수립해야 합니다. 2027년부터 2029년까지를 대상으로 한 이번 계획은 인공지능 대전환에 따른 데이터 활용 수요 증가와 반복되는 대규모 개인정보 유출이라는 두 가지 상반된 압력 속에서 나왔습니다. 개인정보위는 7월 3일 정부서울청사에서 브리핑을 열고 이 안을 발표했고, 같은 날 경제관계장관회의에 관계부처 합동 안건으로 보고했습니다.

이상민 개인정보보호정책국장이 직접 브리핑에 나선 것도 눈에 띄는 대목입니다. 통상 기본계획처럼 무게감 있는 정책 문서는 위원장이 서면으로 발표하는 경우도 많은데, 이번에는 실무를 총괄하는 국장이 직접 기자들 앞에 섰습니다. 그만큼 현장의 혼란이 크다는 방증으로 읽힙니다. 실제로 제가 만난 여러 발주기관 담당자들도 “AI 활용은 해야 하는데 법이 애매해서 못 움직이겠다”는 하소연을 자주 하셨습니다.

4대 전략과 12대 추진과제, 큰 그림부터

개인정보 3차 기본계획은 ‘신뢰받는 개인정보 환경, 안심하고 누리는 인공지능(AI) 사회’를 비전으로 내걸고 4대 전략과 12대 추진과제로 짜였습니다. 네 가지 전략은 인공지능 대전환 시대 개인정보 보호체계 혁신, 사전예방 중심 보호체계 확립, 전략적 개인정보 정책 고도화, 국민 권익 증진 및 신뢰문화 정착입니다.

말로만 들으면 추상적으로 느껴질 수 있는데, 저는 이 네 축을 “AI 활용 문을 여는 축”, “사고를 미리 막는 축”, “국경을 넘나드는 데이터를 관리하는 축”, “국민 개개인의 권리를 지키는 축”으로 구분해서 이해하는 편이 훨씬 실무적으로 와닿았습니다. 이 네 축이 따로 움직이는 게 아니라 서로를 견제하면서 맞물려 돌아가도록 설계됐다는 인상을 받았습니다. 규제를 풀어주는 손과 조이는 손이 한 계획 안에 동시에 담긴 셈입니다.

가장 큰 변화 — 위험비례 규율체계로 전환

이번 계획에서 가장 파급력이 클 것으로 보이는 대목은 개인정보 처리 위험도에 비례해 보호 수준을 달리 적용하는 원칙 중심 체계로의 전환입니다. 개인정보위는 인공지능 등장 이전에 설계된 일률적 규제로는 법령 준수도 어렵고 데이터 활용에도 제약이 크다는 현장의 의견을 반영했다고 밝혔습니다.

지금까지 국내 개인정보 규제는 처리하는 정보의 유형이나 목적과 무관하게 비교적 촘촘하고 동일한 절차를 요구하는 편이었습니다. 저위험 데이터를 다루는 소규모 서비스도, 대규모 민감정보를 처리하는 금융권 시스템도 거의 같은 수준의 절차적 부담을 졌다는 뜻입니다. 위험비례 체계로 바뀌면 처리하는 정보의 민감도와 활용 목적, 예상되는 피해 규모에 따라 요구되는 안전조치와 심사 절차의 무게가 달라질 가능성이 큽니다. 다만 이 원칙이 구체적으로 어떤 기준표로 짜일지는 아직 공개되지 않았고, 향후 하위 지침과 가이드라인을 통해 드러날 것으로 보입니다.

이런 방향 전환이 낯설게 느껴지실 수도 있지만, 사실 위험 기반 규제는 이미 여러 나라에서 채택하고 있는 방식입니다. 유럽연합의 AI Act도 인공지능을 금지, 고위험, 제한된 위험, 최소 위험이라는 네 단계로 나눠 규제 강도를 차등화하고 있고, 미국의 여러 주 단위 프라이버시법도 처리 규모나 민감정보 여부에 따라 의무 수준을 달리하는 조항을 두고 있습니다. 한국이 이번에 위험비례 체계를 공식화한 것은 국제적인 흐름에서 크게 벗어나는 방향은 아니라는 뜻입니다. 다만 한국은 여기에 개인정보위의 사전 위험평가라는 관문을 하나 더 얹었다는 점에서, 유연성과 통제력을 동시에 잡으려는 절충안에 가깝다고 저는 봅니다.

개인정보 3차 기본계획의 위험비례 규제 단계를 표현한 피라미드형 인포그래픽

AI 학습용 원본데이터, 어디까지 열리나

가장 많은 관심을 받는 부분은 역시 AI 학습 데이터 관련 내용입니다. 개인정보위는 에이전틱 AI에 의한 처리 등 의사결정 책임구조 검토, 실물 인공지능(피지컬 AI)의 상시적 정보 수집 확대에 대응하는 권리보장, 위험평가 등 최신 기술에 대한 규율체계와 보호 기준을 함께 수립하겠다고 밝혔습니다. 여러 해외 매체 분석에 따르면 이 흐름 속에서 적법하게 수집된 개인정보가 위험평가를 통과하면 마스킹 등 비식별 처리 없이 원본 형태로 AI 학습에 쓰일 수 있는 길이 열리는 것으로 해석되고 있습니다.

제가 앞서 소개한 사무관님의 고민과 정확히 맞닿아 있는 대목입니다. 영상이나 음성, 이미지처럼 마스킹을 하면 정보의 맥락 자체가 무너지는 데이터는 그동안 AI 학습 활용의 걸림돌이었습니다. 얼굴을 가린 CCTV 영상으로는 이상행동 탐지 모델을 제대로 학습시키기 어렵고, 음성을 왜곡하면 감정 인식 모델의 정확도가 떨어지는 식입니다. 위험평가를 통과한 원본 데이터 활용이 실제로 제도화된다면, 이런 유형의 공공 AI 사업 기획 방식 자체가 달라질 수 있습니다.

다만 여기서 핵심은 ‘위험평가를 통과하면’이라는 전제조건입니다. 무조건 원본을 쓸 수 있게 풀어준다는 뜻이 아니라, 안전조치와 심사라는 문턱을 통과한 경우에 한해 예외적으로 허용하겠다는 겁니다. 이 위험평가가 어떤 기준으로, 어느 기관이, 얼마나 걸려서 진행되는지가 관건인데 아직 구체적인 절차는 공개되지 않았습니다. 이 부분은 앞으로 나올 시행계획과 하위 고시를 계속 추적해야 할 지점입니다.

AX 안심지원센터와 지역거점 데이터 허브

정책이 아무리 좋아도 현장에서 무엇을 어떻게 해야 할지 모르면 그림의 떡입니다. 이를 의식한 듯 개인정보위는 기업이 AI 서비스를 개발하는 과정에서 겪는 법적 불확실성을 풀어주는 창구로 ‘AI 전환(AX) 안심지원센터’를 운영하겠다고 밝혔습니다. 개인정보 처리 관련 질의에 개별 상담을 제공하는 방식으로 운영될 것으로 보이는데, 저는 이런 상담 창구가 실제로 얼마나 빠르게 회신을 주는지가 성패를 가른다고 봅니다. 질의만 몇 주씩 걸린다면 사업 일정에 맞춰 활용하기 어렵기 때문입니다.

여기에 더해 5극3특 균형성장 전략에 맞춰 전국 어디서나 접근 가능한 데이터 혁신 환경을 만들겠다며 지역 거점별 가명·익명 정보 연계·활용 허브를 구축·확대하겠다는 계획도 담겼습니다. 지금까지 데이터 활용 인프라가 수도권에 쏠려 있었다는 지적을 의식한 조치로 보입니다. 지방 소재 공공기관이나 대학이 데이터 기반 사업을 기획할 때 이 허브를 활용할 수 있을지, 접근 조건은 어떻게 될지 앞으로 지켜볼 만합니다.

마이데이터 2단계, 국민 주권 강화

그동안 기업과 기관 중심으로 이뤄지던 데이터 활용의 무게 중심을 국민 쪽으로 옮기겠다는 대목도 눈에 띕니다. 온마이데이터 플랫폼을 강화해 국민이 자기 정보에 대한 결정권을 실질적으로 행사할 수 있게 하고, 데이터로 산출된 가치를 정보주체에게 환원하는 체계를 수립하겠다는 겁니다. 10개 분야 확대 등 마이데이터 1단계를 마무리하고, 복지·돌봄·의료처럼 데이터 기반 사회적 난제를 푸는 마이데이터 2단계로 넘어가겠다는 로드맵도 함께 제시됐습니다.

의료나 돌봄 분야는 개인정보 중에서도 민감도가 가장 높은 영역입니다. 이런 영역까지 마이데이터를 확대하려면 정보주체 동의 절차와 안전조치가 지금보다 훨씬 정교하게 설계돼야 할 텐데, 이 부분이 어떻게 구체화되는지는 개인정보위의 다음 발표를 기다려봐야 할 것 같습니다.

사전예방 중심으로— ISMS-P에 AI 접목, 이행강제금 도입

두 번째 전략인 사전예방 중심 보호체계 확립도 실무 영향이 큽니다. 유출사고가 터진 뒤에는 온전한 피해 회복이 어렵다는 인식 아래, 고위험군 집중점검과 부처 합동점검 같은 상시적 점검 체계를 고도화하겠다는 겁니다. 특히 정보보호 및 개인정보보호 관리체계, 흔히 ISMS-P라고 부르는 인증 및 평가체계에 인공지능 기술을 접목해 기준과 절차를 개선하겠다는 대목이 눈에 띕니다. AI를 활용한 보안점검과 인증체계가 도입되면 심사 방식 자체가 지금과는 상당히 달라질 가능성이 있습니다.

국민 개인정보를 대량으로 보유·처리하는 공공분야는 안전조치 기준 강화, 상시적 점검체계 확대, 평가제도 실효성 제고를 우선 추진하겠다고 명시했습니다. 저는 이 대목을 특히 눈여겨봐야 한다고 생각합니다. 공공기관을 상대로 컨설팅하는 입장에서 보면, 앞으로 발주되는 정보화 사업의 과업범위에 개인정보 안전조치 강화 항목이 지금보다 더 구체적으로, 더 무겁게 반영될 가능성이 크다는 신호이기 때문입니다.

기업의 책임성을 강화하는 방향도 함께 담겼습니다. 의무기준을 넘어서는 선제적 보호 투자에는 유출 과징금을 감면하는 인센티브를 확산하는 한편, 관리의무를 소홀히 한 경우에는 이행강제금을 새로 도입하고 조사 역량을 강화해 억지력을 높이겠다는 겁니다. 개인정보 불법유통에 대해서는 형사처벌 근거를 신설하고 탐지·삭제 등 정부 역할도 강화합니다. 앞서 다뤘던 개인정보보호법 개정의 대표자·CPO 책임 강화, 과징금 상한 10% 확대 흐름과 정확히 같은 방향을 향하고 있는 셈입니다.

여기에 더해 중소기업 지원 방향도 함께 언급됐습니다. 유출 사고가 발생한 중소기업에는 복구 기술지원을 우선 제공하고, 사고가 나기 전에도 맞춤형 컨설팅과 보호·보안 지원 사업을 제공해 보호 수준을 상향평준화하겠다는 내용입니다. 개인정보 보호 특화 전문인력 양성과 인공지능 보안인력 관리 플랫폼 구축, 암호기술 등 개인정보보호 강화기술(PET) 연구개발 확대도 함께 추진됩니다. 대기업 중심으로 짜여 있던 기존 보안 지원 체계가 중소·영세 사업자 쪽으로도 확대된다는 점에서, 공공기관과 협업하는 중소 IT기업 입장에서는 눈여겨볼 만한 대목입니다.

에이전틱 AI·피지컬 AI, 새로운 규율 대상의 등장

이번 계획에서 처음 눈에 띄는 표현이 에이전틱 AI와 피지컬 AI입니다. 자율형 인공지능, 즉 에이전틱 AI가 스스로 판단해 개인정보를 처리했을 때 그 의사결정 책임 구조를 어떻게 볼 것인지 검토하겠다는 내용과, 실물 인공지능인 피지컬 AI가 상시적으로 정보를 수집하는 환경에 대응하는 권리보장 방안을 마련하겠다는 내용이 함께 담겼습니다.

로봇이나 자율주행체가 카메라와 센서로 주변 정보를 끊임없이 수집하는 상황을 떠올려보면, 기존의 ‘정보주체에게 사전 동의를 받는다’는 방식이 그대로 적용되기 어렵다는 걸 쉽게 알 수 있습니다. 지나가는 행인 모두에게 동의를 구할 수는 없으니까요. 이 지점에서 정부가 어떤 절충안을 내놓을지가 향후 로보틱스나 스마트시티 관련 공공사업의 설계 방향을 좌우할 것으로 보입니다. 아울러 딥페이크 등 데이터 변조 방지 방안과 AI 투명성 확보 제도화도 함께 추진한다고 밝혔는데, 이 역시 생성형 AI 활용이 늘어나는 공공 서비스 전반에 영향을 줄 수 있는 대목입니다.

국외이전 체계 고도화 — SCC·BCR 확대와 국외이전영향평가

생성형 AI와 클라우드 서비스 대부분이 해외 인프라를 쓰다 보니, 개인정보의 국외이전 문제는 피해 가기 어려운 이슈입니다. 개인정보위는 이미 구축된 한-EU 상호 동등성 인정 체계에 이어 영국, 일본, 미국 등 법체계가 유사하고 교역 규모가 큰 국가들과의 데이터 상호 이전 네트워크를 확대하겠다고 밝혔습니다. 동시에 보호 수준이 상대적으로 미흡한 국가로의 데이터 이전에 대해서는 관리 대응력을 강화해 안보 위협을 최소화하겠다는 방침도 함께 제시했습니다.

제도적으로는 표준계약조항(SCC)과 구속력 있는 기업규칙(BCR) 같은 안전한 국외이전 수단을 확대해 글로벌 공동연구 등에서 데이터 이전의 유연성을 높이는 한편, 국외이전 현황조사를 실시하고 국외이전영향평가를 신설해 리스크 관리체계를 병행하겠다고 밝혔습니다. 해외 클라우드나 AI 서비스를 활용하는 공공사업이라면, 앞으로 국외이전영향평가라는 새로운 절차가 사업 일정에 추가될 가능성을 염두에 둬야 할 것 같습니다.

국민 권익 — 원스톱 권리구제와 AI 기반 개인정보 관리 플랫폼

네 번째 전략인 국민 권익 증진 부분에서는 유출이나 침해가 발생했을 때 신고부터 조사, 분쟁조정, 손해배상까지 모든 절차를 연계하는 원스톱 권리구제 체계를 마련하겠다는 내용이 핵심입니다. 지금까지는 유출 신고, 분쟁조정 신청, 손해배상 청구를 각각 다른 창구에서 따로 진행해야 해서 피해자 입장에서는 절차 자체가 또 다른 부담이었습니다. 이 부분이 실제로 하나의 창구로 통합된다면 실무적으로 체감되는 변화가 클 것 같습니다.

AI 기반 개인정보 관리 플랫폼을 구축해 국민이 자신의 개인정보 처리 현황을 쉽게 확인하고 권리를 행사할 수 있도록 지원하겠다는 계획도 함께 제시됐습니다. 영상정보와 생체정보 등 민감도가 높은 정보에 대한 특화 보호, 아동·청소년 등 취약계층에 대한 보호체계 강화도 함께 언급됐습니다.

해외는 어떻게 움직이고 있나

한국만 이런 고민을 하는 건 아닙니다. 일본은 2025년 AI 추진법 제정에 이어 2026년 4월 개인정보보호법인 APPI 개정안을 통과시키면서 AI 데이터 활용 규제를 유연하게 재편하는 방향으로 움직였습니다. 유럽연합은 GDPR이라는 강력한 프레임을 유지하면서도 AI Act를 통해 위험 등급별로 의무 수준을 차등화하는 방식을 택했고, 최근에는 AI 학습 목적의 데이터 활용에 대해 ‘정당한 이익’ 근거를 어디까지 인정할지를 두고 회원국 간 논쟁이 이어지고 있습니다.

이런 흐름과 비교해보면 한국의 이번 3차 기본계획은 원본데이터 활용이라는 파격적인 카드를 꺼내 들면서도, 개인정보위의 사전 위험평가라는 관문을 하나 더 세워뒀다는 점에서 다소 독특한 위치에 있습니다. 이 사전 심의가 형식적인 요식 절차에 그치지 않고 실제로 예측 가능한 기준으로 운영된다면, 한국은 AI 활용의 유연성과 개인정보 보호 수준을 동시에 잡는 모델을 만들 수도 있습니다. 반대로 심의 기준이 불투명하거나 처리 기간이 길어지면, 오히려 법적 불확실성이 더 커지는 역효과가 날 수도 있다는 점을 개인정보위도 의식하고 있을 것으로 보입니다.

한국 개인정보 3차 기본계획과 EU AI Act, 일본 APPI 개정을 비교하는 세계지도 일러스트

공공 IT 컨설팅 관점에서 지금 무엇을 봐야 하나

여기까지 개인정보 3차 기본계획의 내용을 공공 정보화 사업 관점에서 다시 짚어보겠습니다. 저는 이번 3차 기본계획이 당장 법 조문으로 확정된 게 아니라 향후 3년의 정책 방향을 담은 청사진이라는 점을 먼저 강조하고 싶습니다. 그럼에도 ISP나 ISMP 사업을 기획하는 입장에서는 몇 가지를 미리 짚어둘 필요가 있어 보입니다.

첫째, AI 활용 사업의 개인정보 처리 방침을 설계할 때 위험평가 절차가 새로운 필수 과업으로 들어올 가능성을 열어둬야 합니다. 위험평가 기준이 아직 공개되지 않았더라도, 사업 범위(RFP)를 작성하는 시점에 “AI 학습 데이터의 위험평가 및 안전조치 방안 수립”과 같은 항목을 선제적으로 넣어두면 추후 감리나 인증 단계에서 유리한 출발선에 설 수 있습니다. 둘째, ISMS-P에 AI 기술이 접목된다는 방향이 확정된 만큼, 공공기관 정보시스템 구축 사업의 보안성 검토 항목도 기존보다 세분화될 가능성이 큽니다. 셋째, 국외이전영향평가라는 절차가 신설되면 해외 클라우드나 해외 AI API를 활용하는 사업의 일정과 산출물 구성에 새로운 단계가 추가될 수 있으니 미리 여유를 두고 일정을 짜는 편이 안전합니다.

넷째, 사업 제안서나 정보화전략계획을 작성할 때 개인정보 처리 관련 리스크를 정리하는 절이 있다면, 이제는 위험비례 규율체계라는 용어 자체를 인지하고 있다는 점을 드러내는 편이 평가위원들에게 신뢰를 줄 수 있습니다. 아직 확정되지 않은 정책이라 해도, 발주기관 담당자보다 한발 앞서 방향성을 파악하고 있다는 인상은 제안 경쟁력에서 무시할 수 없는 요소입니다. 저 역시 실제 제안 작업을 할 때, 시행 전 정책이라도 방향성이 뚜렷하면 과업 수행 계획서에 미리 대응 방안을 한 문단이라도 넣어두는 편입니다. 평가위원 입장에서는 “이 업체는 최신 정책 동향까지 파악하고 있구나”라는 인상을 받게 되고, 이게 기술평가 점수 차이로 이어지는 경우를 여러 번 봤습니다.

다섯째, 개인정보위가 신설하겠다고 밝힌 AI 전환(AX) 안심지원센터의 운영 방식과 상담 절차도 개소 이후 초기에 직접 확인해볼 필요가 있습니다. 상담 창구를 통해 우리 사업의 개인정보 처리 방식에 대한 사전 의견을 받아둘 수 있다면, 사업 후반부에 감사나 개인정보 영향평가 단계에서 갑작스러운 지적을 받을 위험을 줄일 수 있습니다.

물론 이 모든 내용은 아직 시행계획과 하위 지침으로 구체화되지 않은 상태입니다. 저는 앞으로 나올 부처별 시행계획과 개인정보위의 위험평가 기준안을 계속 추적하면서, 실제 사업 현장에 어떻게 반영되는지 이 블로그에 이어서 정리해볼 생각입니다.

마무리하며

개인정보 3차 기본계획은 겉으로는 ‘규제 완화’처럼 보이지만, 속을 들여다보면 사전예방과 위험평가라는 새로운 문턱을 함께 세운 조건부 완화에 가깝습니다. AI 학습용 원본데이터 활용이라는 달콤한 문구에만 집중하기보다, 위험비례 규율체계가 실제로 어떤 기준표로 짜일지, ISMS-P에 접목될 AI 심사 방식이 무엇일지까지 함께 지켜봐야 이번 정책의 실체를 제대로 파악할 수 있을 것 같습니다.

여러분이 다루는 사업이나 서비스에서는 이번 3차 기본계획 중 어떤 항목이 가장 먼저 영향을 줄 것 같으신가요? 특히 AI 학습 데이터 활용을 준비 중이시라면, 위험평가 기준이 어떻게 나오길 기대하시는지 댓글로 의견을 나눠주시면 다음 글의 방향을 잡는 데 큰 도움이 될 것 같습니다.


참고한 글


함께 보면 좋은 글

댓글 남기기