Privacy Desk

107. pia-privacy.com 지금까지 만든 것들, 솔직한 중간 점검

privacydo — Wed, 29 Apr 2026 09:00:26 +0900

처음 시작은 챗봇 하나였다.

개인정보보호 관련 질문에 답해주는 PRIVACY라는 이름의 페이지 하나. HTML 파일 하나에 Claude API를 연결한 구조였다. 그게 pia-privacy.com의 시작이었다.

지금은 16개 툴이 된다.

뭘 만들었나

크게 세 묶음으로 나눌 수 있다.

첫 번째는 문서 생성 계열이다. 개인정보 처리방침 초안 생성, 동의서 문구 생성, 위탁계약 체크리스트, 내부관리계획 초안. 반복적으로 써야 하는 문서를 AI가 초안을 잡아주고 담당자가 검토·수정하는 구조다.

두 번째는 진단·점검 계열이다. 개인정보 위험도 자가진단, PIA 체크리스트, 운영 점검 관리 시스템. 이쪽은 단순 텍스트 생성보다는 입력 기반의 구조화된 결과가 나와야 해서 시스템 프롬프트 설계에 가장 공을 많이 들였다.

세 번째는 학습·참고 계열이다. 개인정보보호법 퀴즈, 법 조문 인터랙티브 플로우차트, 침해사례 DB, 업종별 가이드, 현장 인터뷰 가이드.

마지막으로 운영 내부 도구 계열이 있다. 점검 관리 시스템과 인터뷰 가이드는 비밀번호로 접근을 제한해서 외부에는 공개하지 않고 실무에서만 쓰고 있다.

기술 스택은 단순하다

서버가 없다. 모든 페이지가 정적 HTML이고, AWS S3에 올라가 있다. 브라우저에서 직접 Claude API를 호출하는 구조다.

배포는 파일 업로드 하나로 끝난다. 유지보수 부담이 거의 없다. 대신 로그가 없고, API 키 관리가 불편하다. 이 한계는 알면서 택한 트레이드오프다.

UI는 다크 테마로 통일했다. CSS 변수로 색상 체계를 잡아두니 16개 파일 전체를 일관되게 유지하는 게 훨씬 수월해졌다. 모바일 최적화, 슬라이드인 사이드 패널 허브 내비게이션도 전체 파일에 일괄 적용했다.

다음에 할 것

지금 구조에서 가장 아쉬운 건 로그가 없다는 점이다. 어떤 기능이 자주 쓰이는지, 어떤 질문이 반복되는지 알 수 없다. 이걸 알고 싶어지면 결국 백엔드가 필요해진다.

당장 구조를 바꾸기보다는, 지금 있는 툴들의 완성도를 높이는 방향으로 갈 것 같다. 특히 운영 점검 관리 시스템은 더 고도화할 여지가 많다.

만들면서 배운 것들을 계속 블로그에 정리하려고 한다. 개인정보 담당자가 직접 도구를 만드는 경험이 쌓이면, 실무를 보는 시각도 달라진다는 걸 느끼고 있다.

106. 마이데이터가 6대 분야로 확대된다, 담당자가 지금 알아야 할 것

privacydo — Mon, 27 Apr 2026 09:00:18 +0900

개인정보보호위원회는 마이데이터를 에너지, 교육, 고용, 문화·여가 분야로 확대하기 위한 실무협의체를 구성·운영할 계획이라고 밝혔다. ZDNet Korea 기존 의료·통신 2대 분야였던 제3자 전송서비스를 에너지·교육·고용·문화·여가 등 6대 분야로 넓혀가겠다는 구상이다. Korea

마이데이터가 금융권 중심에서 시작해 점점 범위를 넓혀가는 흐름은 이미 진행 중이었다. 그런데 올해 개인정보위가 직접 전송 분야 확대를 주도하겠다고 나선 것은 구조적으로 의미가 다르다. 이제는 업종과 무관하게 "우리 서비스가 마이데이터 의무 대상이 될 수 있는가"를 따져봐야 하는 상황이 가까워졌다.

마이데이터의 핵심 개념: 본인전송요구권

마이데이터의 법적 근거는 개인정보보호법상 본인전송요구권이다. 정보주체가 자신의 개인정보를 보유하고 있는 기관에 제3자에게 전송해달라고 요구할 수 있는 권리다.

이 권리가 의료, 통신에서 실제로 작동하기 시작했고, 이제 에너지 사용량, 교육 이력, 고용·급여 정보, 문화·여가 이용 내역까지 범위가 넓어지는 것이다.

정보주체 입장에서는 내 데이터를 내가 원하는 곳에 보낼 수 있다는 의미다. 하지만 데이터를 보유하고 있는 기관 입장에서는 전송 요청을 받았을 때 이를 처리할 수 있는 기술 체계와 절차를 갖춰야 한다는 의무가 생긴다.

실무적으로 무엇이 달라지는가

마이데이터 의무 대상이 되면 크게 세 가지가 달라진다.

첫째, 전송 요청 수신 및 처리 체계가 필요하다. 정보주체가 요청하면 정해진 형식으로 데이터를 전송할 수 있어야 한다. 이건 기술 구현 문제이기도 하고, 운영 절차 문제이기도 하다.

둘째, 전송 대상 데이터 항목과 형식이 표준화되어야 한다. 개인정보위가 분야별 표준 API를 어떻게 정의하느냐에 따라 구현 방향이 달라진다. 실무협의체가 이 작업을 하고 있으므로, 결과를 지속적으로 모니터링해야 한다.

셋째, 전송 과정의 보안이 강화된 수준으로 관리되어야 한다. 전송 중 데이터 보호, 수신기관의 적격성 확인, 전송 이력 기록 등이 필요해진다.

지금 해야 할 것: 우리 조직 데이터가 대상인지 먼저 파악

시행령 개정이 8월 시행을 목표로 진행되고 있다. 분야별 구체적인 전송 항목과 대상 기관 기준이 시행령에 담길 예정이다.

지금 당장 해야 할 것은 우리 조직이 어떤 개인정보를 얼마나 보유하고 있는지, 그것이 확대될 마이데이터 대상 분야에 해당하는지를 파악하는 것이다. 준비 없이 의무가 시행되면 대응 속도가 늦어지고, 그 간격이 곧 리스크가 된다.

마이데이터는 정보주체의 권리 강화 흐름이다. 그리고 그 흐름에서 데이터를 보유한 기관의 의무도 함께 커진다.

105. AI 채용솔루션 점검이 시작된다, 담당자가 준비해야 할 것

privacydo — Fri, 24 Apr 2026 09:00:42 +0900

개인정보위는 2026년 AI 채용솔루션 및 이용기관을 대상으로 자동화된 결정 해당 여부, 설명의무, 주요 평가기준 공개여부 등 투명성 확보 노력을 점검한다. Korea

채용 과정에서 AI를 쓰는 기업이 빠르게 늘고 있다. 이력서 필터링, 면접 예약 자동화, 역량 진단 도구, 채용 적합도 평가 등이 AI 기반으로 운영되는 경우가 많다. 이번 점검은 이 도구를 만드는 사업자뿐 아니라, 이를 도입해 사용하는 기관도 대상이라는 점이 중요하다.

자동화된 결정의 법적 의미

개인정보보호법 개정 논의에서 완전 자동화된 의사결정에 대한 설명 요구권과 거부권이 계속 거론되어 왔다. 채용은 이 논의에서 가장 민감한 적용 사례 중 하나다.

AI가 이력서를 필터링해서 특정 지원자를 탈락시키는 결정이 "자동화된 결정"에 해당하는지, 그리고 그 결정에 대해 지원자에게 설명할 의무가 있는지가 핵심 쟁점이다. 아직 세부 기준이 완전히 확정된 것은 아니지만, 개인정보위가 이 영역을 올해 직접 들여다보겠다고 선언한 것 자체가 방향을 가리킨다.

이용기관이 봐야 할 체크리스트

AI 채용솔루션을 직접 개발하지 않고 외부 솔루션을 도입해 사용하는 기업이 대부분이다. 이 경우에도 점검 대상이 된다는 점을 유의해야 한다.

실무적으로 지금 확인해야 할 것들이 있다.

첫째, 도입한 AI 채용솔루션이 어떤 기준으로 지원자를 평가하는지 공개하고 있는지다. 블랙박스처럼 결과만 나오는 구조라면 설명의무 이행이 불가능하다.

둘째, 위탁 계약에 개인정보 처리 조항이 적절히 담겨 있는지다. AI 솔루션 사업자가 지원자 데이터를 모델 학습에 재활용하는 구조라면 위탁의 범위를 벗어난다.

셋째, 채용 과정에서 수집된 지원자 정보의 보유기간과 파기 절차가 명확한지다. 탈락한 지원자의 이력서가 언제까지 시스템에 남아 있는지를 아는 조직이 생각보다 적다.

AI 도구를 도입했다면 위탁사 점검도 함께 해야 한다

AI 채용솔루션을 사용하는 것은 개인정보 처리 위탁에 해당한다. 위탁사가 어떤 안전조치를 하고 있는지, 재위탁이 발생하는지, 파기 절차가 계약에 명시되어 있는지를 확인하는 것이 이용기관의 의무다.

도구를 도입했다고 해서 책임이 도구 개발사로 넘어가지 않는다. 개인정보 처리에 대한 책임은 이용기관에도 동등하게 있다.

104. 개인정보위 2026년 조사 6대 분야, 실무 담당자가 읽어야 하는 이유

privacydo — Wed, 22 Apr 2026 09:00:54 +0900

개인정보보호위원회는 2026년 1월 15일 '위험 기반(Risk-based) 접근'과 '전주기(Life-cycle) 관리 강화'를 핵심으로 하는 2026년 개인정보 조사업무 추진 방향을 확정·발표했다. Lawtimes 매년 조사 방향이 나오지만, 이번 것은 구조가 다르다. 분야별 점검 대상이 이례적으로 구체적으로 명시됐다.

2025년 한 해 동안 이루어진 처분은 총 227건으로, 과징금 1,677억 원(40건)과 과태료 5.8억 원(125건)이 부과됐다. E-focus 이 수치를 보면 올해 조사의 무게가 어느 정도인지 짐작할 수 있다.

6대 분야가 어디인지 정확히 봐야 한다

개인정보위는 2026년 중점적으로 조사를 진행할 6대 분야로 대규모 개인정보처리자, 고위험 개인정보, 과잉수집 및 다크패턴, AI·블록체인 등 신기술, 공공부문, 기업결합(M&A)·파산·회생 등 처리구조 변화에 따른 대규모 개인정보 이전·파기 적법성을 구체적으로 명시했다. E-focus

이 목록을 보고 "우리 조직은 해당 없겠다"고 넘기면 안 된다. 하나씩 대입해보면 해당되지 않는 조직이 드물다.

대규모 개인정보처리자는 플랫폼만의 이야기가 아니다. 회원 수가 일정 규모 이상이거나 민감정보를 대량으로 다루는 의료·금융·유통도 포함된다. 고위험 개인정보 항목에는 생체인식정보와 영상정보가 명시됐는데, 본인확인 과정에서 얼굴·음성 등 신체적·행동적 특징 정보를 활용한 서비스가 증가함에 따라 수집·이용 실태를 점검하겠다고 밝혔다. Korea 출입통제나 비대면 인증에 안면인식을 쓰고 있다면 이미 대상 범위 안이다.

다크패턴 점검이 확대된다

주요 웹·앱 서비스 모니터링을 통해 이용자 선택을 왜곡하는 다크패턴 사항을 집중 점검하고, 공연장 등에서 아동·청소년 개인정보를 과도하게 수집하는 엔터 업계의 개인정보 실태도 점검한다. Korea

다크패턴은 그동안 규제 논의가 많았지만 실제 집행 사례가 상대적으로 적었다. 올해는 이 부분이 달라질 수 있다. 동의 창 구조, 철회 버튼 접근성, 선택 항목의 기본값 설정 방식이 점검 대상이 될 수 있다.

M&A·파산 시 개인정보 이전 적법성 점검은 새로운 항목이다

이번 6대 분야에서 실무적으로 주목할 부분이 있다. 기업결합, 파산, 회생 절차에서 발생하는 대규모 개인정보 이전·파기의 적법성을 점검하겠다는 항목이다.

M&A가 발생하면 인수 기업이 피인수 기업의 고객 정보를 그대로 이어받는 경우가 많다. 그런데 이때 원래 수집 목적이나 동의 범위와의 정합성이 검토됐는지는 조직 내부에서 제대로 따지지 않는 경우가 많다. 이 구간을 올해 개인정보위가 들여다보겠다는 뜻이다.

담당자라면 지금 자기 조직이 6대 분야 중 몇 개에 걸쳐 있는지부터 확인하는 것이 시작이다.

103. ISMS-P 의무화, 서류 심사에서 실증 심사로: 준비 안 된 조직이 맞을 변화

privacydo — Mon, 20 Apr 2026 09:00:57 +0900

개정 개인정보보호법에 공공·민간 주요 개인정보처리자에 대한 ISMS-P 인증 의무화가 포함됐다. ISMS-P 의무화 관련 규정은 2027년 7월 1일부터 시행될 예정이다. Korea

그리고 동시에, ISMS-P 심사 방식 자체도 바뀐다.

2026년부터 ISMS-P 심사가 기존의 서류 중심에서 실제 시스템을 점검하는 실증 심사로 전환된다. 보안 정책과 실제 운영 간의 정합성을 더욱 엄격하게 평가하게 된다. Lexology

이 두 가지가 동시에 진행된다는 것이 핵심이다. 의무화 대상이 늘어나는데, 심사 기준은 더 엄격해진다.

실증 심사가 기존 심사와 다른 점

기존 ISMS-P 심사는 정책 문서, 절차서, 운영 기록을 검토하는 방식이 중심이었다. 담당자가 준비한 서류를 심사원이 확인하고, 항목별 충족 여부를 판단하는 구조다.

실증 심사는 다르다. 시스템에 직접 접근해서 설정값을 확인하거나, 실제 접근 로그를 들여다보거나, 권한 체계가 문서와 일치하는지를 시스템 단에서 검증한다.

"내부관리계획에 최소 권한 원칙이 명시되어 있습니다"라고 제출하는 것과, "지금 이 계정의 실제 권한을 확인해보겠습니다"라는 심사는 완전히 다른 수준을 요구한다.

준비 안 된 조직에서 드러날 문제 유형

실증 심사로 전환되면 가장 먼저 드러날 취약 지점들이 있다.

첫째, 퇴직자·전직자 계정 잔존이다. 정책에는 '퇴직 즉시 계정 삭제'라고 적혀 있지만, 실제로는 수개월째 살아있는 계정이 남아있는 경우가 적지 않다.

둘째, 접근권한과 실제 업무 범위의 불일치다. 직급이나 부서가 바뀌었는데 권한이 회수되지 않아 이전 업무의 시스템에 접근 가능한 상태가 방치되는 경우다.

셋째, 로그 보관과 무결성이다. 접속 로그가 남는다고 적혀 있지만 실제로는 일부 시스템에서 로그가 비어 있거나, 보관기간이 지침보다 짧은 경우가 있다.

넷째, 처리방침과 실제 운영의 괴리다. 처리방침에는 보유기간이 3년으로 적혀 있는데, 실제 DB에는 5년 이상 된 데이터가 남아있는 경우다.

2027년 7월까지 실질적으로 남은 시간

의무화 시행은 2027년 7월이지만, 인증 심사 일정과 준비 기간을 감안하면 실질적으로 준비를 시작해야 하는 시점은 훨씬 빠르다.

인증 심사는 신청부터 결과 통보까지 보통 3~6개월이 걸린다. 미비한 통제 항목을 보완하고 재심사를 받을 경우 추가 시간이 필요하다.

지금부터 자체 갭 분석(Gap Analysis)을 시작해두는 게 가장 현실적인 준비다. 서류 기준이 아닌 실제 시스템 운영 기준으로 현황을 들여다봐야 한다. 정책 문서와 실제 설정값을 비교하는 작업이 시작점이다.

심사원이 시스템을 열기 전에 내가 먼저 들여다보는 것. 그게 실증 심사 시대의 준비 방식이다.

102. CPO 이사회 의결제·신고제, 실무 담당자가 알아야 하는 것들

privacydo — Thu, 16 Apr 2026 09:00:10 +0900

이번 개인정보보호법 개정에서 CPO(개인정보보호책임자) 관련 조항이 대폭 강화됐다. 법 조문이 바뀌었다는 차원을 넘어, 조직 내에서 개인정보보호 업무가 위치하는 방식 자체를 바꾸는 변화다.

달라지는 것: 이사회 의결과 개인정보위 신고

일정 규모 이상의 개인정보처리자에 대해 CPO를 지정·변경 또는 해제할 때 이사회 의결을 거칠 의무와 개인정보보호위원회에 신고할 의무가 부과됐다. Lawtimes

공공시스템을 운영하는 기관은 9월 14일까지, 상급 종합병원이나 재학생 2만 명 이상 대학 등은 3월 14일까지 관련 내용을 개인정보위에 신고해야 한다. Dailian

단순히 담당자 한 명을 지정하는 문제가 아니다. 임원급으로의 격상, 이사회 보고 의무, 행정기관 신고까지 연결되는 구조가 만들어진 것이다.

이 변화가 의미하는 것: CPO의 위상이 달라진다

그동안 많은 조직에서 CPO는 실질적인 의사결정 권한 없이 업무를 수행하는 경우가 많았다. 예산 요청이 묵살되거나, 보호 조치 도입 의견이 개발팀·사업부의 일정에 밀리는 상황이 반복됐다.

개정안은 사업주·대표자를 개인정보 보호의 최종 책임자로 명시하고, CPO의 업무 범위에 전문 인력 관리 및 예산 확보, 사업주 또는 대표자 및 이사회에 대한 개인정보 보호 현황 보고가 추가됐다. Lawtimes

CPO가 이사회에 보고하는 구조가 법적으로 명시됐다는 뜻이다. 예산 확보 권한도 업무 범위에 포함됐다. 말하자면 CPO를 실질적인 권한을 가진 역할로 제도화하겠다는 설계다.

실무에서 부딪힐 현실적인 문제들

이 제도가 현장에서 매끄럽게 작동하려면 넘어야 할 지점들이 있다.

첫째, 적용 대상 범위다. '매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준'이라고만 되어 있다. 시행령이 확정되어야 내 조직이 해당하는지 알 수 있다. 시행령을 지속적으로 모니터링해야 하는 이유다.

둘째, 전문성 요건이다. 단순히 누군가를 CPO로 지정하는 것으로는 부족해질 수 있다. 법이 요구하는 '일정 경력을 갖춘 CPO' 기준이 어떻게 구체화될지가 관건이다.

셋째, 이사회 보고 체계 구축이다. 지금까지 개인정보보호 현황을 이사회에 보고한 적 없는 조직이 대부분이다. 어떤 지표를 어떻게 보고할지를 설계하는 것 자체가 새로운 과제다.

CPO가 갖춰야 할 것이 달라진다

이 변화는 CPO 역할을 수행하는 사람에게도 의미가 있다. 법 조문을 해석하고 현장을 점검하는 능력만으로는 부족해진다. 경영진에게 보고하고, 예산을 요청하고, 리스크를 수치로 설명하는 역량이 요구된다.

개인정보보호 업무가 IT 관리 업무에서 경영 리스크 관리 업무로 이동하는 흐름이 이번 개정에 고스란히 반영되어 있다.

101. 개인정보보호법 대개정: 징벌적 과징금이 실무에 의미하는 것

privacydo — Mon, 13 Apr 2026 09:00:45 +0900

2026년 3월 10일, 개정 개인정보보호법이 공포됐다. 오는 9월 11일부터 시행된다. 핵심은 반복적이거나 중대한 위반행위에 대해 전체 매출액의 최대 10%까지 징벌적 과징금을 부과할 수 있게 된 것이다. Ebn

이번 개정은 최근 주요 통신사, 금융사, 플랫폼 사업자 등의 대규모 개인정보 유출 사고가 연이어 발생하면서 기업 책임 강화에 대한 사회적 요구가 커진 데 따른 것이다. 14개 개정안을 통합·조정한 국회 정무위원회 대안이 본회의에서 통과된 것이다. Lawtimes

숫자가 달라지면 조직이 움직이는 방식도 달라진다. 이게 이번 개정의 핵심이다.

기존 과징금과 무엇이 다른가

기존 체계에서 과징금은 위반 행위로 인한 관련 매출액의 3% 또는 정액이었다. 피해 규모 대비 제재가 약하다는 비판이 계속 나왔다.

이번 개정으로 반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 과징금이 부과될 수 있다. Igloo '관련 매출액'이 아닌 '전체 매출액'이라는 점이 다르다. 사업 규모가 클수록 리스크가 커지는 구조다.

인센티브 구조가 함께 설계됐다는 점을 봐야 한다

개인정보보호 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는, 고의 또는 중대한 과실로 위반행위를 한 경우가 아닌 한 과징금을 필수적으로 감경하도록 했다. Lawtimes

이 조항을 보면 개정의 설계 의도가 읽힌다. 단순히 제재를 강화하는 게 아니라, 사전 투자를 한 조직에는 감경 혜택을 주는 방식으로 '예방 투자'를 제도적으로 유도하고 있다.

실무적으로는 이게 중요한 시사점이다. 보안 예산 편성, 개인정보보호 전담 인력 운영, 안전조치 시스템 도입 이력이 추후 과징금 산정에 영향을 줄 수 있다는 뜻이다. 지금까지는 "비용"으로만 봤던 보호 투자가 "리스크 헤지" 수단으로 재정의되는 구조다.

담당자로서 지금 챙겨야 할 것

9월 시행까지 약 6개월이 남아 있다. 이 시간 안에 점검해야 할 것이 있다.

첫째, 개인정보보호 관련 투자 이력을 문서화해두는 것이다. 예산 집행 내역, 안전조치 도입 시점, 교육 이력 등이 감경 사유 입증 자료가 될 수 있다.

둘째, 내부적으로 위반 행위가 반복되는 구간이 있는지 점검하는 것이다. 징벌적 과징금 적용의 핵심 조건 중 하나가 '반복성'이기 때문이다.

셋째, 사고 발생 시 대응 타임라인이 절차화되어 있는지 확인하는 것이다. '고의 또는 중대한 과실'의 판단 기준에서 초기 대응 속도와 신고 이행 여부가 영향을 줄 수 있다.

제재가 강해질수록, 평소의 운영 수준이 더 중요해진다.

100. 개인정보보호 업무에 AI 챗봇을 붙이면서 다시 생각한 '설명 가능성'

privacydo — Thu, 19 Mar 2026 12:00:41 +0900

AI 기본법에 고영향 AI의 의무 중 하나로 '설명 방안 수립·시행'이 들어가 있다. AI가 왜 그런 판단을 내렸는지를 이용자에게 설명할 수 있어야 한다는 내용이다.

개인정보 담당자로서 이 조항을 읽었을 때, 이미 비슷한 맥락을 개인정보보호법에서 다루고 있다는 생각이 들었다.

완전 자동화된 의사결정과 설명 요구권

개인정보보호법 개정 논의에서 완전 자동화 의사결정에 대한 설명 요구권과 거부권이 계속 거론되고 있다. AI가 사람의 권리·의무에 영향을 주는 결정을 내릴 때, 그 과정을 설명하고 이의를 제기할 수 있는 권리를 보장하는 방향이다.

실무적으로는 "우리 서비스가 자동화 의사결정을 하는가"를 먼저 따져봐야 한다. 대출 심사, 채용 필터링, 개인화 추천 같은 기능이 해당될 수 있다.

챗봇에서 설명 가능성이란

pia-privacy.com에서 개인정보보호 관련 질문에 AI가 답할 때, 나는 항상 근거 조문이나 가이드 출처를 함께 제시하도록 시스템 프롬프트를 설계했다. 이게 결국 챗봇 수준의 설명 가능성이다.

"왜 이렇게 답했는지"를 사용자가 확인할 수 있어야 한다. 근거 없이 그냥 "~해야 합니다"라고만 나오면 신뢰하기 어렵고, 실무에서도 쓰기 어렵다.

이 감각은 서비스를 만드는 쪽이 먼저 갖고 있어야 한다.

AI 투명성이 결국 신뢰의 문제다

개인정보보호 업무를 하면서 느끼는 건, 신뢰는 조치보다 구조에서 나온다는 점이다.

암호화를 했다는 사실보다, "어디에 무엇이 저장되어 있고, 누가 접근할 수 있는지"가 구체적으로 설명되는 쪽이 더 신뢰를 준다. AI도 마찬가지다. 성능보다 "어떤 근거로 이런 결과가 나왔는지"를 설명할 수 있는 구조가 장기적으로 더 안전하다.

AI 시대에 개인정보 담당자가 챙겨야 할 역할이 넓어지고 있다는 걸, 서비스를 만들면서 다시 실감했다.

99. 직원이 쓰는 AI 도구가 보안 위협이 되는 시대

privacydo — Wed, 18 Mar 2026 12:00:54 +0900

요즘 사무실에서는 공식 허가 없이 AI 도구를 쓰는 사람이 많다. ChatGPT에 보고서를 붙여 넣거나, 외부 AI 서비스에 고객 데이터를 입력하거나, 개인 계정의 생성형 AI로 사내 문서를 요약하는 일이 일상이 됐다.

IBM이 2026년 사이버 보안 전망에서 이걸 '섀도 AI(Shadow AI)'라고 불렀다. 10여 년 전의 섀도 IT와 비슷하지만, 파급력이 훨씬 크다는 평가다. AI 도구는 독점 알고리즘, 기밀 데이터, 전략적 의사결정을 직접 다루기 때문이다.

개인정보 담당자 입장에서 보면

섀도 AI 문제는 단순한 보안 이슈가 아니다. 개인정보 관점에서도 직접적인 위협이다.

직원이 외부 AI 서비스에 고객 정보를 입력하면, 그 데이터는 어디로 가는가. 해당 서비스의 개인정보 처리방침은 어떻게 되어 있는가. 제3자 제공이나 위탁 처리 요건을 충족했는가.

이 질문에 답하기 어렵다면, 그게 이미 문제다.

'금지'만으로는 안 된다

조직에서 AI 도구 사용을 전면 금지하는 방식은 실효성이 떨어진다. 직원들은 더 편리한 쪽으로 움직이고, 금지가 잘 지켜지지 않으면 오히려 관리 사각지대만 커진다.

더 실용적인 접근은 승인된 AI 도구의 목록을 만들고, 어떤 데이터를 어떤 도구에 입력할 수 있는지 기준을 잡아주는 것이다. AI 도구 사용 가이드라인을 내부 규정화하고, 개인정보 처리 관점에서 검토된 도구만 업무에 활용하도록 유도하는 구조가 필요하다.

pia-privacy.com을 만들면서 느낀 것

직접 챗봇 서비스를 만들고 보니, 사용자가 어떤 데이터를 입력하는지에 대한 설계가 얼마나 중요한지 다시 깨달았다.

개인정보 특화 서비스라도 "사용자가 실제 개인정보를 입력하지 않도록 UI 단에서 유도하는 것"이 기술 조치 못지않게 중요하다. 도구를 만드는 쪽도, 쓰는 쪽도, 이 감각이 있어야 한다.

98. 개인정보위가 '사전 예방'으로 방향을 틀었다는 게 실무에서 의미하는 것

privacydo — Wed, 18 Mar 2026 09:00:24 +0900

올해 개인정보보호위원회가 공식적으로 선언한 방향이 있다. "사후 제재 중심에서 사전 예방 중심으로." 2026년 예산도 그 방향으로 편성됐다. 침해·유출 예방과 보안 강화 예산이 전년 대비 늘었고, 조사·처벌보다 예방에 무게를 뒀다.

그런데 이게 실무에서는 어떤 의미인지가 더 중요하다.

'걸리면 제재'에서 '구조가 안 되면 문제'로

사후 제재 중심 체계에서는 사고가 난 이후에 대응하면 됐다. 감사에서 지적받으면 고치고, 처분이 나오면 수용하는 방식이다.

사전 예방 중심 체계는 다르다. 사고가 나기 전에 위험이 있는 구조 자체를 문제로 본다. 보유·파기 체계가 작동하는지, 접근권한 통제가 실제로 이루어지는지, 처리방침이 실제 운영과 일치하는지가 평가 기준이 된다.

말하자면 서류가 아니라 실제 운영이 기준이 된다는 뜻이다.

ISMS-P 실증 심사 전환이 그 신호다

2026년부터 ISMS-P 심사 방식이 바뀐다. 기존의 서류 중심 심사에서 실제 시스템을 점검하는 실증 심사로 전환된다.

정책 문서에 "접근권한을 관리한다"고 적혀 있는 것과, 실제로 퇴직자 계정이 삭제되어 있는지를 확인하는 건 완전히 다른 얘기다.

그동안 문서와 실제 운영 사이에 간격이 있는 조직이라면, 이 변화가 체감될 것이다.

실무 담당자가 지금 봐야 하는 지점

사전 예방 체계로의 전환이 실무에 요구하는 건 결국 '정합성'이다.

처리방침에 적힌 보유기간과 실제 파기 시점이 맞는가. 위탁 계약서에 적힌 보호 의무가 실제로 운영되는가. 내부관리계획에 정한 접근권한 기준이 지금 이 순간의 시스템에 반영되어 있는가.

이 간격을 줄이는 작업이 지금 시점에서 가장 실질적인 컴플라이언스 준비다.