최장혁 삼일회계법인 AI트러스트위원장(서울대 특임교수)


휴대폰으로 여행지나 관광 상품을 검색하면 곧이어 관련 상품 권유를 받아본 경험이 있을 것이다. 몇 년 전 관광지에서 찍은 사진을 스스로도 잊고 있었는데, 이를 타임라인 형태로 보내오는 플랫폼 기업들을 보며 현대 문명의 편리함을 실감하는 동시에 개인정보 활용에 대한 의구심과 불안감을 느끼는 것도 사실이다. 최근 국내외 주요 기업들의 잇따른 개인정보 유출 사태 역시 국민적 불안을 키우고 있으며, 이에 대한 정부 대응에도 관심이 쏠리고 있다. AI 시대를 맞아 개인정보의 중요성은 더욱 커졌지만, 과도한 수집과 이용에 대한 우려 또한 함께 증가하고 있다.


국가를 구성하는 사회적 자본 중 하나는 신뢰다. 신뢰 수준이 높은 사회는 불필요한 거래 비용을 줄여 전체적인 효율성이 높다. 반면 신뢰가 낮은 사회는 이를 보완하기 위한 다양한 사회적 비용이 발생하고, 이는 곧 비효율로 이어진다.

기업의 사회적 신뢰는 전통적으로 재무적 안정성, 최고경영자의 도덕성, 기업 윤리 등을 기준으로 평가되어 왔다. 한때 강조되던 기업의 브랜드 가치 역시 결국은 이러한 신뢰를 바탕으로 형성된 것이다. 그러나 최근에는 개인정보 보호 수준이 기업 신뢰를 결정짓는 핵심 요소로 부상하고 있다. 시장 점유율 1위 기업이라도 개인정보 유출 사태가 발생하면 우월적 지위는 흔들릴 수밖에 없다.


국가 간 신뢰 역시 개인정보 보호 수준과 직결된다. 작년에 통과한 유럽연합과 대한민국 간 '적절성 결정'(Adequacy Decision)은 양국이 서로의 개인정보 보호 수준을 자국과 동등한 수준으로 인정한 결과이며, 이는 개인정보 국외 이전을 허용하는 근거가 된다. 결국 개인정보 보호 수준에 대한 신뢰를 외교적 합의로 확인한 사례다. 우리가 흔히 말하는 신용정보 점수 역시 개인의 재정 상태에 대한 사회적 신뢰를 수치로 표현한 것이라 할 수 있다.

AI 시대에 개인정보의 의미는 크게 달라졌다. 과거에는 주민등록번호처럼 개인을 식별하는 수단으로 인식되었지만, 이제는 개인의 행동과 위치를 파악하고 이를 연결하는 핵심 요소로 기능한다. 개인이 인터넷을 이용하거나 휴대폰을 소지하고 이동하는 과정에서 기기 식별 정보를 통해 다양한 행태 정보가 수집된다. 로그인하지 않은 상태에서도 개인의 이동 경로와 활동이 파악될 수 있다.


자율주행차는 차량 소유주의 개인정보를 중심으로 중앙 서버와 연결되며, 신용카드 거래 내역 역시 단순한 경제 활동을 넘어 개인의 삶의 패턴을 보여주는 정보가 되었다. 이러한 개인정보가 정보 주체의 의사에 반해 수집·활용되거나 해킹으로 유출될 경우, 그 피해는 과거와 비교할 수 없을 정도로 커질 수 있다. 특히 AI 학습을 위한 데이터 활용이 확대되면서 개인정보 주체의 불안감은 더욱 커지고 있다.

이러한 상황에서 개인정보 보호에 대한 사회적 신뢰를 높이기 위한 방안 마련이 필요하다. 우선 대규모 개인정보를 처리하는 기업과 조직은 개인정보 보호에 대한 인식을 제고하고 관련 인적·물적 인프라를 정비해야 한다. 개인정보 보호를 단순히 실무 담당자의 업무로 한정하거나 관련 투자에 소극적인 태도에서 벗어나야 한다. 해킹의 불가피성을 주장하기 전에 개인정보 보호를 위한 기본적인 투자와 체계를 갖추는 것이 우선이다.


정부 역시 개인정보 보호를 강화하는 방향으로 정책을 추진할 수밖에 없는 상황이다. 최근 개인정보 보호법 개정을 통해 과징금 상한을 총매출액의 10%로 인상하는 방안이 마련되었고, 시행을 앞두고 있다. 다만 정부는 AI 글로벌 3를 목표로 하는 만큼 개인정보 활용을 통한 기술 혁신 역시 병행해야 하는 과제를 안고 있다.

결국 개인정보 보호에 대한 신뢰를 높여 유출로 인한 사회적 비용을 줄이는 동시에, 데이터 활용 기반의 기술 혁신을 달성해야 한다. 이를 위해 사후 책임을 강화하는 제도와 함께 내부 통제 체계를 실질적으로 작동시키는 방안이 필요하다. 일정 규모 이상 기업의 감사에 개인정보보호 항목을 포함시키는 미국의 방안도 고려해 볼만하다. 아울러 정보 주체가 사전에 신뢰할 수 있는 대상을 선택할 수 있도록 실효성 있는 인증 체계를 구축할 필요가 있다.

보안 산업의 경쟁력을 높여 우수한 인재가 개인정보 보호 및 보안 분야로 유입되도록 하는 노력도 중요하다. 개인정보를 지키지 못하는 국가는 AI 강국이 될 자격이 없다. 개인정보 보호에 대한 사회적 신뢰를 바탕으로 대한민국이 AI 글로벌 3 목표를 달성하기를 기대한다.