PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

韓-EU PNR 협정 체결의 의미... 아시아 최초 개인정보 보호 신뢰 확보

EU가 아시아 국가 중 최초로 한국과 항공 승객정보(PNR) 협정을 체결했다. GDPR 수준의 엄격한 개인정보 보호 기준을 충족한 한국의 제도적 신뢰성이 인정받은 결과다.

백남정 기자
입력 2026년 6월 28일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/341a8d

핵심 요약

- EU가 아시아 국가 중 최초로 한국과 항공 승객정보(PNR) 협정 체결, 한국의 개인정보 보호 제도 신뢰성 입증 - GDPR 수준의 엄격한 개인정보 보호 기준을 충족한 한국의 제도적 역량이 국제적으로 인정받음 - 트럼프 2기, AI 발달, 기후변화 등 글로벌 불확실성 속에서 韓-EU 안보·데이터 협력 제도화 가속화

주요 내용

2026년 현재, 한국과 유럽연합(EU) 간 항공 승객정보(Passenger Name Record, PNR) 협정 체결이 개인정보 보호 분야에서 중요한 이정표로 평가받고 있다. EU는 역내 승객정보 보호를 위해 세계에서 가장 엄격한 기준을 적용하고 있으며, 아시아 국가 중 한국이 최초로 이러한 기준을 충족하며 협정을 체결했다는 점에서 의의가 크다.

PNR 협정은 테러 및 중대 범죄 예방을 목적으로 항공 승객의 예약·여행 정보를 교환하는 체계다. 그러나 이름, 여행 일정, 좌석 번호, 수하물 정보 등 민감한 개인정보가 포함되어 있어 GDPR(일반 개인정보 보호 규정) 제6조의 적법성 원칙, 제5조의 목적 제한·최소 수집 원칙을 엄격히 준수해야 한다. EU는 미국, 캐나다, 호주 등 극소수 국가와만 PNR 협정을 체결해왔으며, 상대국의 개인정보 보호법 체계가 EU 기준과 동등한 수준(adequacy)인지를 철저히 검증한다.

한국이 이번 협정을 체결할 수 있었던 배경에는 2020년 전면 개정된 개인정보 보호법, 2023년 시행된 ISMS-P 인증 제도의 국제적 정합성 강화, 그리고 개인정보보호위원회의 독립적 감독 체계가 자리하고 있다. 특히 한국은 가명정보 처리 제도, 개인정보 영향평가(PIA) 의무화, 정보주체 권리 보장 체계 등에서 GDPR과 유사한 수준의 제도적 틀을 구축했다는 평가를 받아왔다.

트럼프 2기 행정부 출범, AI 기술의 급속한 발달, 기후변화로 인한 글로벌 불확실성이 증대되는 상황에서 韓-EU 협력은 안보를 넘어 데이터 거버넌스 영역으로 확대되고 있다. EU는 AI Act 시행(2024-2026년 단계적 적용)을 통해 고위험 AI 시스템에 대한 규제를 강화하고 있으며, 한국 역시 AI 기본법(2024년 제정) 시행을 준비 중이다. 양측의 제도적 협력은 디지털 전환 시대의 새로운 안보 협력 모델로 자리잡고 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 韓-EU PNR 협정은 단순한 정보 교환 합의를 넘어 한국 기업의 EU 진출 시 개인정보 보호 컴플라이언스 부담을 실질적으로 경감시키는 효과를 가져올 것으로 예상된다. EU 적정성 결정(adequacy decision)은 아니지만, 특정 영역에서 한국의 개인정보 보호 수준이 EU 기준과 동등하다는 공식 인정이므로, 항공·물류·보안 분야 기업들은 GDPR 제46조에 따른 적절한 안전조치(appropriate safeguards) 입증 시 이번 협정을 중요한 근거로 활용할 수 있다.

다만 실무 현장에서는 주의가 필요하다. PNR 데이터는 특정 목적(테러·범죄 예방)으로만 처리되어야 하며, 보유 기간(통상 5년 이내), 접근 권한 제한, 암호화 저장, 역외 이전 시 추가 보호조치 등 ISMS-P 인증 기준 2.8(개인정보 보호), 2.9(개인정보 생명주기 관리)를 철저히 준수해야 한다. 특히 AI 기반 위험 예측 시스템 도입 시 자동화된 의사결정에 대한 정보주체의 이의제기 권리(GDPR 제22조), 알고리즘 투명성 확보가 필수적이다. 한국 기업들은 이번 협정을 계기로 EU 수준의 개인정보 거버넌스를 내재화하는 기회로 삼아야 할 것이다.

CPPG·ISMS-P 연계 포인트

1. 국외 이전 시 적법성 확보 (개인정보 보호법 제28조의8) PNR 협정은 개인정보의 국외 이전 시 정보주체 고지, 동의, 적절한 안전조치 마련 등 법적 요건 충족의 실제 사례다. ISMS-P 인증 심사 시 국외 이전 관리 체계(2.8.5)가 중점 점검되며, 이전 국가의 개인정보 보호 수준 확인, 이전 근거 문서화, 재이전 제한 조치 등이 필수다.

2. 목적 제한 및 최소 수집 원칙 (개인정보 보호법 제3조) PNR 데이터는 테러·범죄 예방이라는 명확한 목적으로만 처리되며, 목적 외 사용이 엄격히 금지된다. CPPG·ISMS-P 시험에서 반복 출제되는 개인정보 처리 5대 원칙(적법성, 목적 제한, 최소 수집, 정확성, 안전성) 중 목적 제한 원칙의 전형적 적용 사례로, 실무에서는 처리 목적 명시, 목적 달성 후 즉시 파기 등의 통제가 필요하다.

#PNR협정#한-EU협력#GDPR#개인정보보호#국제데이터이전
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

인공지능 기사 더 보기 →
개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
AI 기반 보안 파트너 ‘패스파이’, 2026 ISMS-P 정예 체험단 1 기 모집... 자격증 합격 이끈다
ISMS-P

AI 기반 보안 파트너 ‘패스파이’, 2026 ISMS-P 정예 체험단 1 기 모집... 자격증 합격 이끈다

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일