2025년부터 국내 정보보호 정책이 형식적 공시에서 실효성 중심 규제로 전면 개편됐다.
![2025년부터 국내 정보보호 정책이 형식적 공시에서 현장 점검·제재 중심으로 전면 개편됐다. [사진=게티이미지뱅크]](https://cdn.epnc.co.kr/news/photo/202508/320855_325905_1330.jpg)
개인정보보호위원회(이하 개인정보위)가 주도하는 이번 개편은 ‘공시’ 중심의 소극적 규제에서 벗어나 현장 점검·제재·평가를 결합한 적극적 집행 체계로 전환한 것이 특징이다.
특히 AI·클라우드 확산으로 복잡성이 높아진 보안 환경 속에서 사후 대응보다 사전 예방과 실시간 대응을 핵심으로 삼고 있다.
규제 강화, 현장에서 이미 현실화
정책 변화는 이미 구체적인 사례로 확인되고 있다. 모바일 게임 ‘삼국지 전략판’을 운영하는 쿠카게임즈는 이벤트 처리 과정에서 법적 근거 없이 주민등록번호 41건을 수집한 사실이 드러나 과징금 9370만 원과 시정명령을 받았다.
또 다른 사례로 전남테크노파크는 보안사고 발생 후 신고를 지연하고 보안 관리 부실이 확인돼 과징금 9800만 원과 과태료 360만 원이 함께 부과됐다. 이 같은 조치는 보안 관리 소홀에 대해 즉각적이고 실질적인 제재가 이뤄지고 있음을 보여준다.
AI·클라우드가 촉발한 대응 전환
정책 전환의 배경에는 AI와 클라우드 서비스 확산이 있다. 기존의 사고 발생 후 대응 구조는 빠르게 변화하는 위협 환경에서 한계가 드러났다. 이에 따라 사고를 미리 발견하고 차단하는 사전 예방 중심 보안으로의 전환이 불가피해졌다.
실제로 일부 ICT 기업은 AI 기반 보안관제를 통해 이상행위를 탐지하고 클라우드 환경에서 데이터 흐름을 실시간 추적하는 DSPM(Data Security Posture Management) 솔루션을 도입하고 있다. 이를 통해 데이터 위치·접근 권한·이상 행위를 종합적으로 관리하며 SaaS 환경 접근 통제도 강화하는 등 실시간 보안 기술이 확산되고 있다.
민간·공공 모두 대응 수준 상향
민간기업은 아이디·비밀번호 인증 절차를 고도화하고 데이터 전송·저장 구간 전부에 암호화를 적용하고 있다. 랜섬웨어와 내부자 위협 차단을 위해 다중인증(MFA)과 제로트러스트 아키텍처를 전사적으로 도입하는 기업도 늘고 있다.
공공기관 역시 전산망 분리와 보안관제 체계를 재점검하고 주민등록번호 등 민감정보 오남용 방지를 위한 기술적 조치를 확대하고 있다. 국가·지자체 단위의 침해사고 대응 매뉴얼도 한층 구체화해 실제 사고 발생 시 신속하고 일관된 대응이 가능하도록 하고 있다.
개인정보위 관계자는 “이번 제도 개선은 단순히 허용되던 관행을 바로잡는 변화이자 모두가 체감할 수 있는 실질적 보호 체계로 나아가는 전환점”이라며 “민간과 공공 모두 규제 준수와 기술 대응을 병행하는 보안 강화가 필수”라고 강조했다.
한편 2024년 정보보호 공시 결과, 공시 대상 기업들의 보안 투자액은 2조 1,96억 원으로 전년 대비 15.7% 증가했다. 전담 인력은 7681명으로 13.9% 늘었으며 자율공시 기업 수도 63개에서 91개로 확대됐다. 이 수치는 규제 강화 속에서 기업들이 보안 역량 강화를 위해 적극적으로 투자하고 인력을 확충하고 있음을 보여준다.
그래도 삭제하시겠습니까?