올 하반기부터 플랫폼, 금융기관 등 대규모 개인정보를 다루는 고위험 분야에 대한 정부의 실태 점검이 대폭 강화된다.
개인정보보호위원회는 22일 경제장관회의에서 이 같은 내용을 담은 ‘예방 중심 개인정보 관리체계 전환계획’을 발표했다. 인공지능(AI), 클라우드 서비스 확산으로 개인정보 침해 위험이 커지자, 위험 수준에 비례한 맞춤형 점검으로 전환하는 것이다.
정부는 개인정보 처리 규모와 민감도 등을 기준으로 사업자를 고·중·저 위험군으로 분류한다. 100만명 이상의 민감정보를 다루는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 고위험군은 정기·수시 점검을 통해 내부통제 실태를 집중적으로 들여다볼 방침이다.
반면, 개인정보 처리 규모가 1만명 미만인 저위험군은 자율점검과 컨설팅 지원 위주로 관리된다. 중위험군은 부처 합동점검 등을 받게 된다.
서비스 기획 단계부터 개인정보 보호를 내재화하는 ‘개인정보 보호 중심 설계(PbD)’ 원칙도 제도화한다. 기업이 정보보호 공시 등을 통해 적극적인 보호 활동을 공개하고 법정 기준 이상의 투자를 입증하면, 과징금 감경 등 인센티브를 제공할 계획이다.
또한 서비스형 소프트웨어(SaaS), 클라우드 등 공급망 전반에 대한 관리를 강화하고, 사물인터넷(IoT) 기기나 에이전트 AI 같은 신기술 분야의 침해 우려도 선제적으로 점검한다. 오는 9월부터 시행되는 개인정보보호책임자(CPO) 지정 신고제와 연계해 CPO 협의회 등과 위협 정보를 공유하는 핫라인도 운영한다.
송경희 개인정보위 위원장은 “관계부처와 협력해 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다”고 밝혔다.