"현재 명칭인 개인정보보호위원회에서 '보호'를 뺀 개인정보위원회로 바꾸는게 사실상 위원회의 업무와 더 부합한다고 본다. 우리 위원회는 기업·기관을 상대로 조사·처분하는 것뿐 아니라 데이터에 관한 국가적인 정책 방향을 새로 제시하는 기관이기 때문이다."

고학수 개인정보위원장은 지난  12월 19일 서울 종로구 정부서울청사 인근에서 열린 1차 기자단 대상 오찬에서 "최근 윤석열 대통령이 개인정보위원회로 위원회 이름을 수정하는 게 좋을 것 같다는 말씀을 하신 적 있다"면서 이에 공감을 표하고 이 같이 말했다.

이날 고 위원장은 개인정보위의 역할이 데이터의 처리·활용·폐기 등 전 단계에 걸쳐있다고 강조했다. 특히 인공지능(AI)·자율주행·마이데이터 등 신산업이 활성화할 수 있도록 데이터 보호를 위한 기본적인 안전장치를 마련함과 동시에 서비스 신뢰도를 높이는 데 집중하고 있다는 설명이다.

"큰 틀에서 정부 기조에 맞춰 전문성을 잘 발휘하겠다"고 말한 그는 "내년에는 올해 벌여놓은 AI·마이데이터 등 분야 업무를 이어서 하고, 신기술 출시로 인해 발생할 상황에 빠르고 유연하게 대응하겠다"고 했다. 고 위원장 임기는 3년으로, 오는 2025년 10월 초 만기된다.

다음은 이달 19일부터 3일 간 진행된 기자단 오찬에서 나온 주요 질의응답.

-취임 1년 넘었는데, 그간 소회는

"위원회가 생긴지 3년 남짓 됐다. 처음 2년이 중앙행정기관으로 자리잡아가는 단계였다면, 제가 오고나서 본격적인 활동을 시작했다. 전임자 윤종인 전 위원장이 해외 빅테크 구글·메타를 조사하는 역할을 했고 그러면서 조사 역량의 틀 잡았다. 조사 역량은 제가 온 뒤로 훨씬 안정화됐다.

더 넓은 시각에서 '조사' 자체도 정책이라고 본다. 정책국에서 하는 것도 정책이고. 그래서 위원회는 큰 틀에서 정책 기관이라고 생각한다. 올해 8월에 AI 정책방향 발표하고, 이후에 마이데이터 추진했는데 관련 후속 작업들이 줄줄이 라인업 돼 있다.

개인적으로 상당히 분주하게 시간을 보냈다. 위원회가 2단계 도약을 하고 있는 중이라고 본다. 직원들이 다들 바쁘고 분주하다. 생동감 있는 조직이다."

-AI 가이드라인 등 마련이 산업 활성화를 제한한다는 시각도 있는데

"최근 구성된 민관협의회에서 AI 가이드라인을 마련하는데 집중하고 있다. 이 협의회가 (업계와) 소통하는 창구다. 협의회는 세 분과로 나뉘는데 분과별로 단체 메시지방이 다 있고 정보 공유도 많이 한다. 협의회 구성원에 중량감 있고 인지도 있는 인물 보다는 가급적 젊은 세대를 많이 넣었다.

AI 정책은 워낙 초기 단계에 있다. 통상 산업 정책을 예산 태워서 하는 것만 생각하는데, 산업 초기이기 때문에 속도 제한을 걸어주는 역할이 필요하다고 본다. 산업 동향에 맞춘 속도 조절은 계속 업데이트가 필요한 부분이다.

모빌리티 기업 가운데 실시간 안면인식 서비스를 허용해달라고 하는 곳들이 있다. 이건 마치 아이가 이제 막 걸음마를 떼기 시작했는데 고속도로를 질주하겠다는 것과 같다. 한 걸음씩 가야한다. 기술적 가능성과 별개 차원으로 사회적 우려와 부작용 등 부문도 함께 고려하는 게 맞다. 이런 문제는 하루 아침에 풀리는건 아니다. 다양하게 상황을 봐야 한다."

-통신사가 출시했거나 출시 예정인 에이닷 등 AI 서비스는 개인정보호법상 문제 없나

"들여다 보고 있다. 다만 공식적인 조사 단계는 아니다. 현재 사실관계를 알아보는 단계고 (업체 측에서) 자료 보낸 거 분석하는 중이다. 어떤 식의 결론이 날지는 예단하지는 않고 있다. 서비스 방식과 데이터 처리 등 방식을 문의했고 일부 답을 받았다.

이번 가을에 주요 AI 서비스에 대해 묶어서 실태점검하는 걸 계획하고 있었는데, 마침 에이닷 이슈가 그 무렵에 사회적으로 관심 사안이 돼서 그 일환으로 같이 하는 거다. AI 서비스 전체를 보면서 에이닷이 포함돼 있는 걸로 생각하면 된다.

업체 입장에서 몇 가지 조심해야 하는 부분이 있다. 데이터 흐름 맥락에서 △정보 제공 당사자한테 어떤 형태로 동의를 받았는지 △수집 데이터가 서버 간 여러 차례 이동이 있지는 등 여부다. 서비스 내용에 따라 구현 방법론이 다를 수 있는데, 데이터 흐름을 같이 봐야 한다."

-우리나라 의료·보건 분야 데이터 역량이 뛰어난데, 마이데이터에 어떻게 쓰일까

"의료 분야가 마이데이터 추진하는 것 중에 우선 추진 영역이다. 의료 데이터는 중요하고 잘했으면 좋겠다는 생각은 있다. 다만 구체적으로 가면 순식간에 복잡해진다. 보호법과 의료법 아래 다른 철학이 깔려 있어서 그렇다.

당장 지난주 위원회 전체회의에서 의결한 것 중 하나가 마이데이터 영역이었다. 여기에 다른 법 조항에 앞서 우리법을 적용한다는 내용이 포함돼 있다. 명확하게 의료법 조항이 있는데도 불구하고 보호법상 마이데이터 제도가 잘 운영될 수 있도록 하는 내용도 있다. 현재 복지부와 실무 협의 중인 부분도 있다.

복지부는 디지털 헬스케어법 추진하고 있지만, 이게 없던 법을 새로 만드는거라 쉽지 않다. 그게 될때까지 우리가 추진하는 마이데이터 제도에 최대한 협조하는 방향으로 간다. 복지부 입장에서는 먼저 법 초기 단계 틀을 잡고, 본론에 해당하는 건 나중에 입법 되면 더 넓게 추진할 수 있을 것으로 보인다."

-우리나라 개인정보 보호 수준이 아시아에서 톱인가

"맞다. 아시아에선 단연 톱이다. 개인정보 법 체계는 아시아에 다 생기긴 했지만, 법 운영 경험이 있는 곳은 한국·일본·중국·홍콩·싱가포르 등 5개 정도다.

일본은 개인정보위원회가 있는데, 사회 위상이 떨어진다. 일본의 독특한 사회문화일수 있는데 정부의 지침을 내리면 이에 대해 기업과 국민들이 순종하는 경우가 많다. 이게 좋은 점도 있지만 안 좋은점은 선례라고 할만한게 없다는 거다.

홍콩은 법 운영하다가 최근 (정치·경제 주도권이) 중국으로 넘어가면서 기관 역할이 좀 위축됐다. 중국 본토에서는 개인정보 보호를 어떻게 하는지 알기 어렵다. 국제 회의에도 중국 기관 소속 관계자가 아니라 베이징에서 업무하는 변호사들이 참석한다. '중국 당국에서 법을 이렇게 해석하는 것 같다'는 식으로 발표하곤 한다.

싱가포르는 현지 형성된 정보기술(IT) 시장이 굉장히 소규모다. 글로벌 빅테크가 아시아 지역 헤드쿼터를 현지에 두는 경우가 많은데, 이는 싱가포르 국민을 위한 차원은 아니다. 때문에 싱가포르 개인정보법에 대해 논하는 건 애매하다."

-국회에서 기업 대상 과징금 규모를 더 높여야 하지 않냐는 지적 나왔는데

"올해 9월 개정·발효된 보호법상 과징금 상한액이 크게 늘었다. 개정 법으로 온·오프라인 사업자 구분을 완전히 없앴다. 과거엔 오프라인 사업자라고 하면 과징금 처분이 어려웠다. 앞으로는 과거 과징금 부과 대상이 아닌 곳들이 대상에 포함되는 경우가 많아진다. 처벌이 강화되는 측면이 있다.

이번 개정 법에 따라 내년 봄 개인정보최고책임자(CPO) 협의체 운영하도록 했다. 규모 있는 기업들은 개인정보 담당자가 총알받이로 쓰이지 말고 최고경영진과 파트너가 돼야 한다는 취지다. CPO에 권한 주면서 동시에 책임을 강조하는거다. 또한 1년에 한번 이상 최고경영자와 이사회에 관련 업무 현황 등을 보고하도록 했다. 정기 보고가 들어가도록 했다. 그런걸로 변화를 기대하고 있다.

법 개정에 따라 전반적으로 과징금은 늘어나게 된다."

-유럽연합(EU) AI 규제법도 있는데, 국제연합(유엔·UN) AI 자문기구 정책과 방향 다를까

"전략적 관저메서 유럽에선 유럽에 이게 생겼으니 더이상 안해도된다는 시각이 있을 수 있다. 유럽 밖에서는 '진도를 빨리 나가야해'라는 입장이 있을 수 있다. 상충되는 압력이 있을거다. 어떻게 작동할지 지켜봐야 한다.

유엔 논의 분위기는 글로벌하게 가야한다는 분위기가 있다. 규율 체계도 글로벌하게 만들어야하지 않냐는 거다. 유엔 회원국들이 이를 얼마나 지지하는지가 관건이겠다. 아마 내년에 분위기가 만들어질 것으로 본다. 유엔에서는 이례적인데 제가 이달 초 AI 자문기구 회의차 미국 출장가서 대면회의 했는데 3~4일만에 중간 보고서 초안이 만들어졌다. 개정판이 그주 주말에 만들어지더라. 뭘 하겠다는 의지가 확실히 있다.

유엔 AI 자문기구에선 AI 모델 평가 모형을 구축하고 거기에 기초해서 주요 모형을 어떻게 평가할 건지 등을 정한다. 특정 행위를 하면 된다, 안된다 식으로 하진 않을것이다. AI 관련 모니터링하고 컴플라이언스 확인하는 정도가 최대한의 활동이다. 미국 행정명령이 굉장히 디테일한데, EU법도 있지만 미국 행정명령에 더 디테일이 담겨있다. 그걸 보고 참조 많이 해야한다."

-개인정보위는 산하기관이 없다

"산하기관 만드는거 국회에서 전반적으로 좋아하지 않는다. 필요성은 있다. 한국인터넷진흥원(KISA) 지원만으로는 한계가 있다. KISA에 개인정보위 예산은 15~20%밖에 안되고… KISA가 예산이 가장 많은 다른 부처 일에 가장 신경쓸 수 밖에 없지 않겠나.

내년에 CPO협의체가 만들어진다는 점은 긍정적이다. CPO 간 역량 강화하고 필요한 정보도 공유하는 등 활동이 활발해질 예정이다. 또 선배가 후배에 커리어 설계도 도와주는 식의 활동이 조금 더 가시화될 거다. 일종의 CPO 커뮤니티로 거듭나길 기대하고 있다".