4년 걸린 '짐 없는 환승' 개인정보보호법 준수로 본격 시행…검색장비 로컬라이제이션 성공

핵심 요약

- 국토부·공항공사, 4년간 미국 검색장비 개발사와 협상해 한국 개인정보보호법 준수 시스템 구축 완료 - 외국 기업의 개인정보보호법 준수 거부에도 불구하고 로컬라이제이션(현지화) 요구 관철 - AI 기반 교통·모빌리티 시대, 개인정보보호 기술 주권 확보의 대표 사례로 평가

주요 내용

국토교통부와 한국공항공사가 2022년부터 추진해온 '짐 없는 환승(Baggage-Free Transfer)' 서비스가 2026년 본격 시행된다. 이 서비스는 환승객의 수하물을 자동으로 추적·이송하는 시스템으로, AI 기반 실시간 모니터링과 생체인증 기술이 결합된 차세대 공항 인프라다.

핵심은 4년에 걸친 개인정보보호법 준수 과정이었다. 미국 검색장비 개발사는 당초 한국 개인정보보호법의 엄격한 요구사항—특히 개인정보의 국외 이전 제한, 목적 외 이용 금지, 생체정보 처리 제한 등—에 대해 시스템 변경이 어렵다는 입장을 보였다. 글로벌 표준 시스템을 특정 국가 법률에 맞춰 수정하는 데 따른 비용과 복잡성을 우려한 것이다.

하지만 국토부와 공사는 한국 개인정보보호법 준수를 협상의 필수 조건으로 설정하고, 기술적 대안 제시와 단계적 이행 로드맵을 함께 제안하며 설득을 이어갔다. 그 결과 ▲승객 생체정보의 국내 서버 저장 ▲수하물 추적 데이터의 암호화 및 최소 보유 기간 설정 ▲제3자 제공 시 별도 동의 절차 마련 등 한국법 기준을 충족하는 시스템 변경에 합의했다.

자율주행차, AI 교통관리, 전기·수소 모빌리티가 일상화되는 2026년 현재, 교통 인프라는 막대한 개인 이동 데이터를 생성하고 있다. 이번 사례는 글로벌 기술 도입 시에도 국내 개인정보보호법 준수를 관철시킨 '기술 주권 확보' 모델로 평가받고 있다.

전문가 시각

ISMS-P 심사 현장에서 가장 자주 마주치는 이슈가 바로 '외국 솔루션 도입 시 개인정보보호법 준수 여부'다. 특히 클라우드, AI 플랫폼, IoT 장비 등 해외 기술에 의존도가 높은 기업일수록 "공급사가 한국법을 지원하지 않는다"는 이유로 법 준수를 유예하거나 예외를 요청하는 경우가 많다. 하지만 이번 사례는 공공부문이 먼저 나서 외국 기업에게 한국 개인정보보호법 준수를 요구하고 관철시킨 모범 사례다.

민간 기업 역시 동일한 전략을 취해야 한다. 계약 단계에서부터 개인정보 처리 방침, 국외 이전 절차, 데이터 보유 기간, 접근 권한 등을 명시하고, 이를 충족하지 못하면 계약을 체결하지 않겠다는 원칙을 세워야 한다. 특히 AI 기반 서비스 도입 시 학습 데이터의 출처, 개인정보 포함 여부, 재식별 가능성 등을 사전에 점검하고, 공급사에게 기술적·관리적 보호조치 이행을 요구하는 것이 필수적이다. 2026년 현재 AI기본법 시행과 맞물려, AI 시스템의 개인정보 처리 투명성 확보는 법적 의무이자 경쟁력이다.

CPPG·ISMS-P 연계 포인트

개인정보 국외 이전 시 법적 요건 (개인정보보호법 제39조의12~14) 개인정보를 국외로 이전할 때는 정보주체 고지·동의, 이전받는 자의 성명·연락처·이전 목적 명시, 안전성 확보조치 이행 등이 필수다. 특히 클라우드·AI 솔루션 도입 시 데이터 저장 위치와 접근 권한을 명확히 파악해야 한다.

위탁 관리 및 제3자 제공 통제 (ISMS-P 인증기준 2.8.2, 2.8.3) 외부 공급사에게 개인정보 처리를 위탁할 경우, 계약서에 보호조치 의무·재위탁 제한·손해배상 책임을 명기하고, 정기적으로 위탁업무 이행 실태를 점검해야 한다. 특히 AI·빅데이터 분석 업무 위탁 시 목적 외 이용 금지 조항이 핵심이다.