“美·中·EU, AI 규제 제각각… 韓, 중재역할로 논의 이끌 기회 열려”[현안 인터뷰]

■ 현안 인터뷰 - 고학수 개인정보보호위원장
6월 데이터 프라이버시 콘퍼런스
英·獨·佛 등 주요국서 협력제안
개인정보 국제회의 서울 유치도
정보 칸막이 허무는 ‘마이데이터’
‘원하는 곳에만’ 개인 통제 강화
AI의사결정 ‘설명요구권’ 신설
기준·절차·처리방식 공개해야
구글·메타 1000억 과징금 소송
빅테크 무단 정보수집에 ‘경종’
유엔 AI자문기구 韓대표 활동도

고학수 개인정보보호위원회 위원장이 지난 14일 서울 세종로 정부서울청사 집무실 앞에서 올해 마지막 인터뷰에 응하기 위해 길 안내를 하고 있다. 문호남 기자

인터뷰 = 노성열 경제부 부장 nosr@munhwa.com

“개인정보 보호는 서구에서 주로 형성돼 온 법리(法理)이지만, 최근 국제사회에서 디지털 선진국인 우리나라의 역할에 대한 기대가 커지고 있습니다. 지난 6월 서울에서 ‘인공지능(AI)과 데이터 프라이버시 콘퍼런스’를 열었는데, 영국·독일·프랑스 등 주요국 개인정보 감독기구에서 문의와 협력 제안 등이 몰려들었습니다. 개인정보 분야의 최대 국제회의로 ‘개인정보 유엔’으로 불리는 GPA(Global Privacy Assembly)의 2025년 서울 총회 유치에도 성공해 전 세계로부터 더욱 관심을 끌 것 같습니다.”

지난 14일 오후 서울 세종로 정부서울청사 집무실에서 만난 고학수 개인정보보호위원회 위원장은 △개인정보 보호법 전면 개정 △GPA 총회 서울 유치 △메타, 구글 1000억 원 과징금 부과 등의 인상적 성과를 보여준 취임 1년 2개월을 차분하게 술회했다. 호리호리한 체격에 안경 속 눈빛이 형형한 그는 경제학·법학·첨단기술 공부를 동시에 한 융합 지식인이다. 디지털 시대의 개인정보 수장(首將)을 하기에 안성맞춤의 인물인 셈이다.

―경제학에서 출발해 법학, 그리고 기술까지 공부하게 된 사연은?

“경제학의 두 줄기인 주류 경제학, 마르크스 경제학에 별 흥미를 느끼지 못하다가 우연히 법경제학 강의를 듣게 됐다. 매우 구체적인 현실을 정책으로 연계하는 점이 매력적이었다. 유학 가서 로스쿨에서 법학을 배운 다음, 경제학 박사를 마쳤다. 당시 마이크로소프트(MS)의 독점 규제 문제가 떠오르던 시점이라 법·경제·기술이 만나는 영역을 함께 공부할 수 있었다. 한국에 돌아와 대학교수를 할 때 2011년 개인정보 보호법이 처음 만들어졌다. 들여다보니 너무나 중요한 법인데 선행연구가 거의 안 돼 있었다. 게다가 서류에서 ‘동의하십니까’ 난에 동그라미를 치고 서명하던 아날로그 시대의 법이었다. 그래서 디지털 시대의 개인정보 보호법은 어때야 하는가가 제게 큰 화두였다. 5년 정도 공부하다 보니 빅데이터로부터 AI로 자연스레 확장되더라. 한 이슈를 깊이 파는 편이라 여기까지 흘러오게 됐다.”

―개정된 개인정보 보호법의 골자는 ‘마이데이터(My Data)’와 설명요구권이다. 이게 무엇인지, 국민 생활에 어떤 영향이 있는지 말씀해 달라.

“이번에 새로 만들다시피 대폭 개정했다. 마이데이터는 정보 주체가 자신이 원하는 곳으로 개인정보를 이동시켜 원하는 서비스에 활용하도록 한 제도다. 전송요구권(데이터 이동권)이라고도 한다. 개인의 정보 통제권이 강화돼 서비스를 자유롭게 선택할 수 있다. 공적으로는 복지·연금 같은 복잡한 국가 문제에 대한 데이터 기반의 의사 결정이 가능해지고, 국민 맞춤형 공공 서비스도 개발이 원활해진다. 업계는 데이터 칸막이가 사라져 새로운 혁신적 스타트업이 출현하는 등 활성화할 것으로 기대된다. 2025년 본격 제도 시행 전에 국민이 체감할 만한 선도 서비스를 선보이려 한다. 예를 들어 아픈 환자는 병원에서 자신이 처방받았던 약물 이력 정보로 불필요한 복용을 줄이고 약물 간 부작용도 줄일 수 있을 것이다. 장애인분들이 놀이공원 등에 갈 때도 등록증 확인을 위해 현장에서 줄을 서야 하는데, 마이데이터로 미리 온라인 할인을 받아 불편이 사라질 것이다. 우선, 보건의료·통신·유통·에너지 등 4대 분야부터 추진할 계획이다. 금융·보건·교육·노동·공공 등 모든 분야에 걸친 변화에 대비하기 위해 범정부 마이데이터 추진단과 12개 부처 차관 및 민간 위원으로 구성된 민관 합동 마이데이터 협의회를 출범시켰다. 두 번째, 설명요구권은 AI 시대의 ‘자동화된 의사 결정’에 대한 권리를 신설한 것이다. AI 기술의 신뢰성을 높이기 위해 정보 주체가 AI 결정의 기준과 절차, 처리 방식 등을 쉽게 확인할 수 있도록 공개해야 한다. 또 AI 결정을 거부하거나 설명 등을 요구할 수 있도록 했다. 이 역시 AI 프라이버시 민관 정책 협의회를 구성, 운영 중이다.”

고 위원장에게 마이데이터의 개념이 어렵고 체감도 잘 안된다며, 대학 입시나 아파트 청약 등 피부에 와닿는 정책의 선도 사례를 만들 수 없겠느냐고 물었더니 너무 큰 과제의 경우, 관련 부처들이 많고 풀어야 할 규제도 산적해 작은 것부터 차근차근 해보려 한다는 답변이 돌아왔다. 금융 분야에서 우리가 이미 쓰고 있는 오픈뱅킹을 생각하면 마이데이터가 얼마나 편리한지 조금 이해하기 쉽다. 한곳에서 다른 모든 금융기관의 내 정보를 모두 보고 이체·저축·대출 등 거래도 하게 됐다. 앞으로 병원·학교·관공서 간 정보 칸막이를 모두 허물면 예컨대, 내 치료 정보를 고용노동부에 보내 산업재해 신청까지 원클릭으로 가능해진다.

―구글·메타와 1000억 원대의 과징금 행정소송을 하고 있다. 세계가 주시하는 선례가 될 듯하다.

“작년 9월에 두 회사에 대해 1000억 원가량의 과징금을 처분하자 불복해 올 2월부터 행정소송 1심이 진행 중이다. 구글·메타는 이용자의 다른 앱·웹 활동 기록을 알아차리지 못하는 사이에 수집, 분석해 그들의 맞춤형 광고에 노출시키는 데 이용했다. 이런 사실을 이용자에게 명확하게 알리거나 제대로 동의를 받지 않았으므로 개인정보를 무단 수집·이용한 우리나라 개인정보 보호법 위반 행위가 된다. 국제적으로도 글로벌 빅테크의 개인정보에 대한 부적절한 처리 관행에 경종을 울린 주요 사례로 평가받고 있다. 이에 앞서 개인정보보호위원회는 지난 2020년 페이스북 이용자가 소셜 로그인으로 제3자 앱에 가입할 때 그 사람의 개인정보뿐 아니라 페이스북 친구의 개인정보도 같이 제공되게 하는 행위에 대해 67억 원의 과징금과 시정명령을 내린 바 있다. 이 역시 소송으로 갔지만 올 10월 1심에서 위원회가 승소했다. 우리나라 법원이 ‘본인 동의 없는 개인정보의 제3자 전송’ 같은 글로벌 빅테크의 정보처리 관행에 문제가 있음을 인정했다는 데 의미가 있다. 위원회는 앞으로도 한국·외국 기업 구분 없이 원칙대로 국민 프라이버시를 보호할 것이다.”

―유엔의 AI 국제기구 창설 준비에 한국 대표로 참여하고 있다. AI 국제질서 구축에 한국이 기여할 수 있는 틈새 경쟁력은 무엇이라고 보는가?

“유엔 사무총장의 제안으로 AI 자문기구가 설치돼 3개 분과 39명이 활동 중이다. 저는 자문기구 운영위원과 함께 국제 거버넌스 상호운용성 공동분과장을 맡았다. 2024년 여름쯤 자문기구 보고서가 완성된다(유엔은 이를 토대로 9월 ‘미래 정상회의’를 열어 글로벌 디지털 협약을 채택할 계획이다). 챗GPT 이후 국제사회의 AI에 대한 기대와 우려가 혼재하는 가운데, 유엔 자문기구에서 한국이 주도적으로 논의를 이끌 기회를 갖게 됐다. 유럽연합(EU)의 AI 법 타결과 미국의 AI 행정명령 발표, 중국의 독자적 AI 교류 체계를 마련할 움직임 등 주요국들이 약간 차별화된 전략을 추구하는 가운데 우리나라는 일종의 중재자로 나름의 역할이 가능한 공간이 열리고 있다. AI 규율 체계의 방향 등에 우리 판단과 의견을 담은 목소리를 명확하게 냄으로써 AI의 위험을 최소화하고 편익은 극대화해, 국익과 인류 미래의 번영을 동시에 고려한 해법을 제시할 수 있도록 노력하겠다.”

정책·감독 기능 통합한 ‘개인정보 컨트롤타워’… 권리보호부터 기술개발까지 총괄

■ 개인정보보호위원회는

개인정보(Personal Data)란 무엇일까. 개인정보 보호법 제2조는 개인정보를 ‘살아 있는 개인에 관한 정보’로 규정하고, △성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보 △해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보 △가명 정보 등을 말한다고 정의하고 있다. 쉽게 풀어보면 이름, 주민등록번호, 얼굴 사진 등은 하나만으로도 누구라고 알아볼 수 있다. 나이, 혈액형, 생일 등은 하나로는 알기 어렵지만 이름 등과 결합하면 알아보게 된다. 마지막으로 가명 정보는 특별한 정보 처리 없이는 실명으로 복원할 수 없는 개인정보를 말한다.

‘알아본다’는 식별(identification)을 뜻한다. 일본식 한자로 ‘신원(身元) 증명’이라고 하는 이 작업은 매우 중요하다. 내가 나임을 증명하는 신분증을 보자. 사진과 함께 이름, 주소 등 개인정보가 적혀 있다. 서류에 나온 홍길동이 틀림없이 홍길동이 맞음을 증명해준다. 만약 위조해서 다른 사람이 나의 신분을 훔친다면 내 모든 것을 자기 것처럼 맘대로 할 수 있다. 영화 ‘리플리’는 부자인 친구를 죽이고 그의 행세를 하며 재산과 애인을 뺏는 이야기다. 몬테크리스토 백작과 장발장도 신분 세탁의 좋은 예다.

소설과 영화만 그런 건 아니다. 세상에는 개인정보를 빼돌려 그 사람의 인생과 소유물을 파괴한 범죄들이 수없이 많다. 이처럼 개인정보는 사생활의 자유(프라이버시) 같은 인격권, 상속 권리 등 재산권을 포함한 모든 법적 권리와 의무의 출발점이 된다. 아날로그 시대엔 종이에 적힌 글자와 숫자가 주된 정보였다. 하지만 지금은 컴퓨터로 처리되는 영상·소리 등 비정형 정보들이 넘쳐난다. 게다가 그 빅데이터를 인공지능(AI)이 ‘알아서’ 분류해 예상과 추천, 결정까지 해준다. 이른바 ‘자동화된(automated)’ 결정이다. 자율주행차가 길거리에서 카메라로 자동 촬영한 사람들의 얼굴도 개인정보다.

개인정보보호위원회는 개인정보 보호에 관한 정책과 감독, 국민의 권리침해 조사 및 처분, 개인정보 관련 고충처리·권리구제, 개인정보 기술개발 및 전문인력 양성, 국제협력 강화 등 개인정보 총괄 컨트롤타워다. 2020년 8월 행정안전부, 방송통신위원회 등 여러 부처에 분산돼 있던 개인정보 정책 및 감독 기능을 통합해 출범한 장관급 중앙행정기관이다. 고학수 개인정보보호위원회 위원장은 “그동안 개인정보의 수집과 이용 등에서 정보 주체에게 형식적으로라도 동의만 받고 나면 기업들은 편히 개인정보를 활용할 수 있다는 것이 관행이었다”며 “이제는 정보 주체로서 개인의 권리를 적극 보장하고, 기업이 이용자·소비자의 신뢰 확보가 핵심임을 알게 하도록 정책과 제도를 개선하는 중”이라고 말했다.