속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

AI 학습용 개인정보 활용 확대, 가명처리만으로 충분한가 - 개인정보보호법 개정안 논란

글로벌 IT 기업들의 AI 경쟁 속에서 정부가 AI 학습용 개인정보 활용을 확대하는 개인정보보호법 개정안을 추진 중이다. 가명처리를 기본 가이드라인으로 삼는 이번 개정안의 개인정보보호 측면 쟁점을 분석한다.

백남정 기자
입력 2026년 7월 11일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/019a0c

핵심 요약

- 정부가 AI 학습용 '정제된 좋은 데이터' 확보를 위해 개인정보 활용을 허용하는 개인정보보호법 개정안 상정 - 가명 처리를 기본 가이드라인으로 삼아 AI 학습 목적 개인정보 활용 범위 확대 추진 - 글로벌 IT 기업들의 생존 전략으로 자리잡은 AI 학습 데이터 확보 경쟁 속 개인정보보호 균형점 모색 필요

주요 내용

2026년 현재, 글로벌 AI 경쟁이 치열해지는 가운데 정부가 AI 학습용 개인정보 활용을 확대하는 개인정보보호법 개정안을 안건으로 상정했다. OpenAI, 구글, 메타 등 글로벌 IT 기업들이 생성형 AI의 성능 향상을 위해 '정제된 좋은 데이터' 확보에 사활을 걸고 있는 상황에서, 국내 AI 산업 경쟁력 강화를 위한 불가피한 조치라는 평가와 함께 개인정보보호 후퇴 우려가 동시에 제기되고 있다.

이번 개정안의 핵심은 가명 처리를 기본 가이드라인으로 삼아 AI 학습 목적의 개인정보 활용 허용 범위를 넓히는 것이다. 현행 개인정보보호법 제28조의2에서는 가명정보를 통계작성, 과학적 연구, 공익적 기록보존 목적으로만 활용할 수 있도록 제한하고 있으나, AI 학습이라는 새로운 활용 목적을 추가하려는 것으로 보인다. 이는 2020년 데이터 3법 개정 이후 약 6년 만에 이루어지는 주요 변화다.

문제는 가명처리만으로 AI 학습 과정에서의 개인정보 보호가 충분히 보장될 수 있느냐는 점이다. LLM(대규모 언어모델)은 학습 데이터를 기억하고 재생산할 수 있는 특성이 있어, 가명처리된 정보라도 AI 모델의 출력 과정에서 재식별될 위험이 존재한다. 2023년 삼성전자의 ChatGPT 내부정보 유출 사례나 2024년 구글 제미나이의 개인정보 출력 논란 등이 이러한 우려를 뒷받침한다.

특히 'AI를 키운다'는 명목으로 개인정보를 넘기는 것이 과연 정보주체의 합리적 기대 범위 내에 있는지 재검토가 필요하다. 회원가입 시 제공한 개인정보가 AI 학습에 활용되리라 예상한 정보주체는 많지 않으며, 이는 목적 외 이용에 해당할 수 있다. GDPR 제6조의 적법성 근거나 제13조의 고지 의무 측면에서도 명확한 기준 설정이 선행되어야 한다.

전문가 시각

ISMS-P 인증심사 실무 관점에서 볼 때, AI 학습용 개인정보 활용은 단순히 법적 허용 여부를 넘어 기술적·관리적 보호조치의 충분성이 함께 평가되어야 한다. 가명처리 적정성 평가(K-익명성, L-다양성 등), AI 모델 출력 모니터링, 학습 데이터 접근통제, 재식별 시도 탐지 체계 등이 종합적으로 구축되어야 하며, 이는 ISMS-P 인증기준 2.8.2(가명·익명처리), 2.9.1(개인정보 영향평가) 항목과 직접 연계된다.

기업 실무 담당자는 개정안 시행 전 준비사항으로 ①AI 학습 목적 개인정보 처리 방침 수립 ②가명처리 절차 및 적정성 평가 체계 구축 ③AI 모델 학습·추론 과정의 개인정보 유출 모니터링 ④정보주체 권리 보장 방안(열람·삭제 요구 대응) ⑤개인정보 영향평가(PIA) 실시를 선제적으로 준비해야 한다. 특히 EU AI Act(2024년 발효)와의 정합성 확보는 글로벌 서비스 제공 기업에 필수적이다.

CPPG·ISMS-P 연계 포인트

1. 가명정보 처리 특례(개인정보보호법 제28조의2) 가명정보는 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보로, 통계작성·과학적 연구·공익적 기록보존 목적에 한해 정보주체 동의 없이 처리 가능하다. K-익명성, L-다양성 등 기술적 기준 충족과 함께 결합·반출 절차 준수가 요구되며, ISMS-P 인증기준 2.8.2에서 처리 절차의 문서화 및 적정성 평가를 요구한다.

2. 개인정보 영향평가(PIA, 개인정보보호법 제33조) 대규모 개인정보를 처리하거나 민감정보·고유식별정보를 처리하는 경우 의무적으로 실시해야 하는 사전 평가 제도다. AI 학습용 개인정보 활용은 처리 목적·방식의 중대 변경에 해당할 가능성이 높아 PIA 수행이 필요하며, 개인정보 침해요인 분석, 위험도 평가, 보호조치 적정성 검토를 포함해야 한다.

#개인정보보호법#AI학습데이터#가명처리#AI거버넌스#개인정보보호법개정안
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사