송경희 개인정보보호위원회 위원장이 11월 5일 오후 서울 종로구 정부서울청사에서 개최된 ‘출입기자단 정례브리핑’에서 인사말을 하고 있다. 개인정보보호위원회 제공

송경희 신임 개인정보보호위원장이 “선제적으로 정보보호에 투자한 기업에 확실한 인센티브를 주겠다”고 예고했다.

송 위원장은 5일 개인정보위에서 열린 기자간담회에서 “정보보호 정책 패러다임을 사후 제재에서 사전 예방 중심으로 전환하겠다는 취임 때의 약속을 어떻게 이행할 것이냐”는 질문에 이같이 말했다. 이어 “지금도 (과징금 산정 시 과거 예방조치 등을 감안하는) 감경 제도가 있긴 하지만 강화하겠다”며 “다만 심각한 사고가 발생하거나 반복적으로 개인정보 유출이 일어나는 등 국민의 기본권을 침해할 만한 행위에 대해서는 강력히 처벌하겠다”고 밝혔다. 또 “그런 사안에 대해서는 규제를 추가로 만들 수도 있다”고 덧붙였다.

기업들의 선제적 보안 투자를 유도하는 동시에 중대·반복 사고에 대한 책임은 강력히 묻는 ‘투트랙’ 전략을 본격화하겠다는 뜻으로 풀이된다. 다만 송 위원장은 구체적인 인센티브 방안과 관련해서는 “아직 말씀드릴 단계는 아니다”라며 “강조하고 싶은 것은 사전 예방이 규제의 의미는 아니라는 것”이라고 설명했다. 그는 “스타트업, 소상공인 등 정보보호 자원이 부족한 업체에는 교육과 컨설팅 등을 지원하는 사업도 생각하고 있다”고 덧붙였다.

실효성 논란이 일었던 ‘ISMS-P’(정보보호 및 개인정보보호 관리체계) 인증과 관련해서는 “서면심사에 그쳤던 것을 현장심사로 전환하고, 본심사에 앞서 예비심사도 추가하려 한다”며 “(인증 후) 모의해킹 등 사후심사도 강화해서 인증 취소도 할 수 있게끔 실효성을 높이겠다”고 말했다. ISMS-P는 정부가 공인한 정보보호 관리체계 인증이지만, 이 인증을 받은 롯데카드와 KT 등이 해킹 피해를 입으면서 신뢰도에 의문이 제기된 바 있다.

송 위원장은 인공지능(AI)을 활용한 제품·서비스의 정보보호 강화 필요성도 강조했다. 그는 “AI 시대에는 이용자가 최적의 서비스를 받기 위해 자기 정보를 자발적으로 제공할 수밖에 없다”며 “그렇게 제공된 정보가 어떻게 처리되고 있는지 이용자들이 신뢰를 가질 수 있도록 체계를 만들겠다”고 말했다. 그러면서 “AI 서비스·제품의 ‘프라이버시 중심 설계’ 인증제 활성화 등을 추진하겠다”고 밝혔다.

올해 개인정보위는 SK텔레콤 개인정보 유출 사건을 비롯해 KT, 롯데카드, SK쉴더스, GS리테일, 예스24 등 주요 기업의 잇따른 해킹 사건으로 조사와 처분이 전반적으로 지연되고 있다는 지적을 받아왔다. 송 위원장은 이에 대해 “조사가 상당히 많이 진행되고 있는 것은 사실”이라며 “2022년 조사관 수가 31명이었는데 현재도 같다. 반면 처분 건수는 56%, 사고 규모는 500% 이상 늘었다. 인력 충원을 적극 요구하고 있다”고 말했다.