투데이e코노믹 = 우혜정 기자 | 앞으로 실제 개인정보 유출이 발생하지 않았더라도 침해 가능성이 확인되면 기업은 이용자에게 이를 의무적으로 알려야 한다. 개인정보 유출 외 정보보호 침해로 인한 소비자 피해에 대해서도 분쟁조정 제도가 새로 도입된다.

정부는 지난 28일 이 같은 내용을 담은 ‘제2차 정보보호 종합대책’을 마련해 단계적으로 추진한다고 밝혔다. 지난해 10월 발표한 1차 종합대책 이후 소비자에 대한 실질적 배상이 부족하고, 민간 기업의 보안 투자 유인을 강화해야 한다는 지적에 따라 후속 대책을 내놨다.

2차 종합대책의 핵심은 이용자 보호 강화다. 개인정보가 실제로 유출되지 않았더라도 침해 가능성이 존재할 경우 이용자에게 통지하도록 의무화한다. 통지 항목에는 손해배상 청구 방법 등 이용자가 직접 대응할 수 있는 정보가 포함된다. 기존에는 사고가 확인된 이후에만 통지가 이뤄졌지만, 앞으로는 위험 단계부터 알림이 강화된다.

AI 레드팀 운영, 인공지능 시스템 취약점 점검

또한 개인정보 유출뿐 아니라 기타 정보보호 침해 사고로 발생한 소비자 피해에 대해서도 분쟁조정 제도를 도입한다. 해당 제도는 올해 안에 정보통신망법 개정을 통해 시행될 예정이다.

AI·데이터 보안 대응도 강화된다. 정부는 인프라·서비스·에이전트 등 분야별 보안 모델을 개발하고, AI 레드팀을 본격 운영해 인공지능 시스템의 취약점을 점검할 계획이다. 국가기관과 기업이 보유한 중요 데이터에 대해서는 암호화를 의무화하고, 기반시설 점검 규정과 정보보호관리체계(ISMS) 인증 기준도 함께 개정한다.

민간 기업의 자율적인 보안 역량 강화를 위한 장치도 마련된다. 화이트해커가 취약점을 발견·신고할 경우 일정 요건을 충족하면 면책을 받을 수 있도록 절차와 기준을 정비하고, 적극적으로 취약점을 개선한 기업에는 인센티브를 제공하는 방안도 추진한다. 디지털·AI 확산으로 대부분의 제품과 서비스에 디지털 요소가 포함되는 현실을 반영해 일반 제품 전반에 대한 보안 정책도 수립할 방침이다.