개인정보 유출 이외 피해도 분쟁조정…정부, 이용자 보호 범위 확대

(서울=연합인포맥스) 윤영숙 기자 = 정부가 정보 침해사고로 인한 개인정보 유출 이외의 소비자 피해에 대해서도 분쟁조정 제도를 도입하기로 했다.

또한 인공지능(AI)과 디지털 기술 확산에 대응해 정보보호 정책의 적용 범위를 '일반 제품'까지 확대할 예정이다.

정부는 28일 열린 제4회 과학기술관계장관회의에서 이 같은 내용을 담은 '제2차 정보보호 종합대책(안)'을 마련하고, 2026년부터 단계적으로 시행할 계획이라고 밝혔다.

이번 대책은 지난해 10월 수립된 1차 대책의 후속 조치로, AI 확산으로 급변한 보안 환경을 반영해 범위와 수위를 모두 높인 것이 특징이다.

특히 소비자에 대한 실질적인 배상이 부족하고 민간 인센티브가 필요하다는 일각의 지적도 수용했다.

우선, 정보통신망법을 개정해 침해사고로 인한 개인정보 유출 외 소비자 피해에 대해서도 분쟁조정 제도를 도입할 계획이다.

아울러 개인정보 유출 가능성이 있을 경우 이용자 통지를 의무화하고, 통지 항목에 손해배상 청구 관련 정보를 추가한다. 피해 사실 인지와 대응이 늦어지는 문제를 줄이고, 이용자가 실질적인 구제 절차를 밟을 수 있도록 지원한다는 취지다.

AI 확산에 따른 보안 위험에 대응하기 위해 AI·데이터 보안 체계도 강화된다. 정부는 AI 인프라, 서비스, 에이전트 등 분야별 특성을 반영한 보안 모델을 개발하고, AI 레드팀을 본격 운영해 AI 시스템의 취약점을 점검할 계획이다. 이와 함께 국가기관과 기업이 중요 데이터를 암호화하도록 기반시설 점검 규정과 정보보호관리체계(ISMS) 인증 기준도 개정한다.

기업의 자율적인 보안 역량 강화를 위한 취약점 점검 체계도 강화한다.

정부는 화이트해커를 활용해 기업이 자사 IT 자산의 취약점을 점검하고, 이를 공개·개선할 수 있도록 신고 절차와 면책 조건을 명확히 하는 기준을 마련한다. 적극적인 취약점 개선 노력에 대해서는 인센티브를 제공해 예방 중심의 보안 문화 확산을 유도한다.

디지털 제품에 대한 보안도 강화한다. 정부는 디지털·AI 시대에 대부분의 제품과 서비스가 소프트웨어, 통신, 데이터 처리 기능을 포함하고 있다는 점을 감안해, 전통적인 IT 시스템을 넘어 일반 제품에 대한 보안 정책을 마련할 계획이다.

이는 EU가 2024년 제정한 '사이버보안복원법(Cybersecurity Resilience Act, CRA)'과 유사한 흐름이다. EU CRA는 '설계 단계부터 보안 적용, 제품 수명주기(통상 5년) 동안 보안 업데이트 지원, 취약점 관리 및 신고 의무화, 소프트웨어 자재명세서 관리 등을 핵심 요건으로 담고 있다. EU는 2027년 12월부터 해당 규제를 본격 적용할 예정이다.

ysyoon@yna.co.kr