“최근 개인정보 유출 사고가 빈번하게 발생하면서 사회적인 문제로 떠올랐다. 이러한 상황에서 개인정보 안전성 확보를 위해 최소한의 기준을 정하는 등 각종 개선 조치가 필요하다. 아직 판례가 없는 인공지능(AI) 관련 유출 사고의 기준에 대해서도 고민하고 있다.”
차윤호 한국인터넷진흥원(KISA) 개인정보조사단장 4일 조선비즈와 서울 종로구 세미나실에서 만나 이렇게 말했다. KISA는 개인정보보호위원회와 함께 개인정보 유출 신고 접수 등 업무를 담당하고 있다. 개인정보위원회가 직접 관련 자문을 수행하면, KISA는 기술적 지원을 제공한다.
이날 차 단장은 개인정보 유출의 기준이 아직 불명확하지만, KISA는 판례를 통해 관련 기준을 확립해 나가고 있다고 설명했다. 차 단장은 “개인정보 위반행위는 주로 안전조치, 유출통지, 미파기, 동의, 열람 등 분야에서 문제가 생기는 경우다”라고 했다.
이어 “판례에 따르면 개인정보 관련 위반 행위는 침해사고 당시 보편적으로 알려진 정보보안의 기술 수준, 업종과 영업 규모와 취하고 있는 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹 기술의 수준과 보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 수집한 개인정보의 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치 등이다”라고 했다.
차 단장은 개인정보 유출을 방지하기 위해 개인정보처리시스템 및 개인정보 취급자의 컴퓨터와 모바일 기기에 웹 취약점 점검과 시큐어 코딩(소프트웨어 개발 과정에서 보안 취약점을 제거하는 것) 등 적절한 조치를 취해야 한다고 강조했다. 특히 그는 데이터베이스와 연동 처리하는 웹서버 등도 보호조치 대상에 포함돼야 한다고 했다.
또 그는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하는 등 안전한 시스템을 운영해야 한다고 강조했다. 차 단장은 “로그 분석, 정책 설정 운영, 이상 행위 대응 등으로 기능이 충족되도록 정보 시스템의 체계적인 운영 관리가 필요하다”라고 했다. 이어 “이러한 모든 기술조치는 사회통념상 합리적으로 기대 사능한 정도여야 한다”라고 했다.
이날 차 단장은 중소기업에 대한 보안 지원이 부족하다는 지적에 “중소기업을 대상으로 간이·심층 컨설팅을 진행하고 있다”라며 “관련 예산이 부족하지만 중소기업을 대상으로 하는 각종 사업을 지속적으로 확대하겠다”라고 했다.
또 아직 판례가 존재하지 않는, 챗GPT 등 AI 관련 정보유출과 관련해선 “개인정보위원회가 오픈AI와의 소통 등에서 전면적인 권한을 가지고 있으며, 위원회와 함께 관련 대책을 수립하고 있다”라고 했다.