[ET시론]글로벌 AI 강국으로 도약하기 위해 실용적 개인정보 보호 정책이 필요

2025년 1월 한국인터넷진흥원이 발표한 '2024년 하반기 사이버 위협 동향 보고서'에 따르면, 민간 정보통신서비스 제공자의 침해사고 신고 건수는 2023년 1277건에서 2024년 1887건으로 약 48% 증가했다. 특히 서버 해킹과 해킹 경유지 악용 등 정교하고 고도화된 사이버 공격이 급증하고 있다. 이는 단순히 기술적 대응만으로는 감당할 수 없는 현실을 보여준다.

2019년 도입된 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO) 지정 제도는 긍정적인 출발이었다. 각각 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(이하 정보통신망법)과 '개인정보 보호법'에 기반한 이 제도들은 보안과 개인정보를 체계적으로 관리하기 위한 최소한의 기반이었다. 초기에는 CISO와 CPO의 역할 분리와 독립성이 산업계에서도 긍정적으로 평가되었다. 그러나 현실에서는 전문인력과 예산 부족으로 인해 다수 기업이 두 역할을 한 사람이 겸직하는 상황이 지속되고 있다.

한편 과학기술정보통신부와 한국인터넷진흥원이 발표한 '2024년 정보보호 공시 현황 분석 보고서'에 따르면, 정보보호 공시 기업의 평균 전담 인력은 10.5명, 평균 투자액은 29억원 수준에 불과하다. AI 기술 활용과 데이터량은 폭발적으로 증가하고 있으며, 이에 상응하는 보안 인프라와 인재는 턱없이 부족하다는 평가를 받고 있다. 최근 국내 주요 기업들의 잇단 정보 유출 사고로 산업 전반의 보안 취약성에 대한 시급성이 대두되고 있다.

최근 과학기술정보통신부에서 발표한 통계자료에 따르면, 국내 주요 기업들의 정보보호 예산은 전체 정보기술(IT) 투자 대비 평균 6%로 미국과 유렵의 평균인 25%에 한참 못 미치는 수준으로 평가되고 있다. 과학기술이 지속적으로 발전함에 따라 지능화·다양화된 사이버 범죄 환경 속에서 국내 기업들은 해외 기업들에 비해 정보보안 투자에 대해 낮은 수준을 보여, 아직까지 국내 정보보안에 대한 중요성과 위협 수준에 대한 인식이 낮을 것으로 판단된다. 또 글로벌 기술 기업인 시스코에서 발표한 '2025 사이버보안 준비 지수'에 따르면 국내 기업 가운데 사이버보안 위협에 충분히 대응할 준비가 된 성숙단계에 이른 곳은 단 3%에 그친 것으로 나타났다. 이러한 사이버 환경 속에서 이제는 사이버 공격은 특정 기업의 자산 등을 위협하는 것이 아닌 산업·사회 전반을 위협하는 수준으로 진화되고 있으며, 보안은 비용이 아닌 비즈니스의 연속성과 국가의 안보와도 직결되는 문제이다. 그러나 더욱 우려되는 점은, 법률상 CPO와 CISO의 역할이 구체적으로 나뉘어 있음에도, 현실에서는 유사 업무로 인식돼 겸직이 일반화되며 책임 소재가 불명확해지고 있다는 점이다. '개인정보 보호법'은 CPO에게 정보주체의 권리 보호와 안전성 확보조치를, '정보통신망법'은 CISO에게 시스템과 네트워크의 기술적 보호 조치를 각각 명확히 규정하고 있다. 두 직무의 목적과 관점이 명확히 다른 만큼, 제도의 실효성을 담보하려면 명확한 분리와 전문화가 반드시 필요하다.

주요국들의 경우 정보보호와 개인정보를 명확하게 분리하여, 개별 보호의 대상의 주체에 따른 기술적, 물리적 보호조치를 취하고 있다. 유럽연합(EU)은 EU 일반 데이터 보호 규정(General Data Protection Regulation:GDPR)을 통해 개인정보 보호 기준을 명확히 하며, 정보보호 분야에 대해 따른 지침 등을 통해 별도로 관리하고 있다. 미국과 일본도 정보보호와 프라이버시를 독립적으로 규제하고 있다. 그러나 한국은 아직도 두 분야를 포괄적으로 다루고 있는 것이 현실이다.

우리나라는 '정보보호산업의 진흥에 관한 법률' 제13조에 따라 정보보호 공시제도를 운영하고 있다. 해당 제도는 이용자의 안전한 인터넷 이용 및 정보보호 투자 활성화를 위해 정보보호 투자, 인력, 인증, 활동 등 기업의 정보보호 현황을 국민 일반인에게 공개하는 자율·의무공시제도이다. 해당 제도는 이용자 관점에서 기업들의 정보보호 투자 및 인력 현황 등의 정보를 객관적으로 제공함으로 기업 선택의 기준을 제시하며, 기업 관점에서는 정보보호를 기업경영의 중요 요소로 포함하기 위해 도입된 제도다. 하지만 해당 제도에 있어 정보보호 투자 분야에 있어 개인정보 보호 분야에 대한 투자 및 인력 등 또한 일괄적으로 포함해 정보를 공시하고 있다. AI가 전 산업·사회 분야에 적용되며, 이용자들의 개인정보 등을 활용한 제품 및 서비스가 다양화됨에 따라 안전한 개인정보 활용 및 보호에 대한 중요성이 커지고 있다. 그러나 기업들에서는 고객 이용자들의 개인정보를 안전하게 보호하고 있다는 객관적인 정보는 정보보호 및 개인정보 보호 관리체계 인증제도 등으로만 제공하는 한편 실질적으로 기업에서 개인정보 보호 분야에 투자나 인력 등을 얼마나 투입했는지에 대한 객관적인 정보는 없기 때문에 향후 정보보호 공시제도 항목 개정이나 개인정보보호 공시제도 도입도 검토가 필요하다.

AI 기술과 IT 인프라만으로는 글로벌 AI 강국이 될 수 없다. 정보보호와 개인정보 보호라는 두 축이 균형을 이루며 발전할 수 있도록 하는 정책적 시각 전환이 필요하다. 특히, AI 기술 활용이 보편화되는 상황에서 개인정보 침해 위협을 사전에 탐지하고 관리할 수 있는 전문인력 양성은 더 이상 미룰 수 없는 과제다. 나아가 개인정보 보호는 단순한 법률 준수 문제가 아니다. 그것은 국가의 신뢰, 기업의 경쟁력, 그리고 국민의 권리를 지키는 핵심 요소다. 지금이야말로 개인정보 보호를 위한 자격 체계를 국가가 주도적으로 설계가 필요하며, 개인정보 보호에 대한 전문인력 양성 체계가 필요한 시점이다.

산업계 전반에서는 기존과는 다른 방식의 신(新)보안 전문인력 양성 체계가 요구되고 있다. 정보보호와 개인정보보호는 이제 선택이 아닌, 기업 생존의 전제조건이 되었다. 이에 따라 기업은 신입사원을 포함한 모든 구성원이 정보보호 및 개인정보 보호 분야의 책임자로 성장할 수 있도록 내부 역량 개발의 토양을 마련해야 한다. 현재 국내 기업들은 대부분 외부 경력직 또는 계약직 인력에 의존하고 있는 실정이다. 그러나 디지털 전환과 함께 지속 가능한 기업 경영과 보안 거버넌스를 실현하기 위해서는, 이제 외부 경력직 채용 중심에서 벗어나 기업 내부에서 장기적으로 인재를 발굴하고 체계적으로 육성하는 방식으로 전환해야 한다. 보안 리더십은 외부에서 수혈하는 자리가 아니라, 기업 내부에서 자연스럽게 성장할 수 있어야 한다. 내부 인재를 CISO·CPO로 육성할 수 있는 기업 차원의 인력양성 체계 구축이 필요하다.

AI와 첨단기술 등 보호를 위해 국가는 다양한 인재양성 사업 등을 운영하며 분야별 특화된 인재를 육성하고 있다. 그러나 AI 등에 대해 다양한 정부투자가 있는 한편 AI를 산업·사회에 활용 시 안전하게 데이터, 개인정보 보호 등을 보호 및 활용하고자 하는 인재에 대해 양성하는 정책은 부재한 상황이다. 따라서 정부는 AI 산업 강국에 적실히 필요한 인재를 양성하기 위한 실무 중심의 대학·대학원 교육 프로그램과 민관 협력 기반의 양성 시스템을 마련해야 할 시점이다.

홍준호 성신여자대학교 융합보안공학과 교수 hjh@sungshin.ac.kr