개보위, AI 범죄 대응 범부처 협의체 출범…딥페이크·AI 해킹 총력 대응

핵심 요약

- 개인정보보호위원회가 2026년 6월 26일 법무부·과기정통부 등 7개 부처와 'AI 범죄 대응 범부처 협의체'를 공식 출범 - 딥페이크 성범죄, AI 기반 해킹, 개인정보 유출 등 AI 악용 범죄에 대한 통합 대응 체계 구축 - 법·제도 정비, 기술 개발, 국제 공조 강화 등 3대 축 중심의 종합 대응 전략 추진

주요 내용

개인정보보호위원회는 2026년 6월 26일 법무부, 과학기술정보통신부, 경찰청, 방송통신위원회, 금융위원회, 국가정보원, 중소벤처기업부 등 7개 부처가 참여하는 'AI 범죄 대응 범부처 협의체'를 공식 출범했다. 이번 협의체는 생성형 AI 기술의 급속한 발전과 함께 딥페이크 성범죄, AI 기반 피싱·해킹, 대량 개인정보 유출 등 AI를 악용한 신종 범죄가 급증함에 따라 정부 차원의 통합 대응 필요성이 제기되면서 구성됐다.

협의체는 △AI 범죄 유형별 법·제도 정비 △AI 탐지 및 추적 기술 개발 △국제 공조 강화를 3대 핵심 과제로 설정했다. 특히 딥페이크 영상물의 경우 생성·유포·소지 전 단계에 대한 처벌 강화 방안을 마련하고, AI가 생성한 콘텐츠임을 표시하는 워터마킹 기술 의무화를 검토할 예정이다. 또한 AI 기반 개인정보 침해 사고에 대한 신속 대응을 위해 부처 간 정보 공유 체계를 구축하고, 분기별 합동 점검을 실시하기로 했다.

개보위는 이번 협의체를 통해 AI 범죄 피해자 지원 체계도 강화한다. 딥페이크 피해 영상의 신속 삭제 지원, 법률·심리 상담 원스톱 서비스 제공, AI 범죄 신고 통합 플랫폼 구축 등이 포함된다. 아울러 AI 서비스 제공자의 개인정보 보호 책임을 강화하는 방향으로 「개인정보 보호법」 개정안을 2026년 하반기 중 입법 예고할 계획이다.

협의체는 매월 실무회의를 개최하고, 분기별로 고위급 회의를 통해 추진 과제 점검 및 정책 조율을 진행한다. 개보위는 "AI 기술의 긍정적 발전을 저해하지 않으면서도 AI 악용 범죄를 효과적으로 차단하는 균형잡힌 정책을 추진하겠다"고 밝혔다.

전문가 시각

ISMS-P 심사 현장에서 AI 기반 서비스를 운영하는 기업들의 개인정보 처리 실태를 점검하면서, AI 모델 학습 데이터의 출처 불명확성과 생성 콘텐츠에 대한 통제 미흡 사례를 다수 확인해왔다. 이번 범부처 협의체 출범은 단순히 범죄 대응을 넘어, AI 서비스 제공자에게 개인정보 보호 설계(Privacy by Design) 원칙을 보다 엄격하게 요구하는 신호탄으로 해석된다. 특히 워터마킹 의무화와 AI 생성 콘텐츠 표시 요구는 향후 ISMS-P 인증심사 시 새로운 통제 항목으로 추가될 가능성이 높다.

기업 입장에서는 지금부터 AI 서비스 전반에 대한 개인정보 영향평가(PIA) 재점검이 필요하다. 특히 생성형 AI를 활용해 고객 데이터를 처리하는 경우, 학습 데이터의 적법한 수집 근거, 비식별 조치의 적정성, 생성 결과물에 포함될 수 있는 개인정보 노출 위험성 등을 사전에 평가하고 문서화해야 한다. 또한 AI 기반 서비스의 오·남용 모니터링 체계를 구축하고, 이상 행위 탐지 시 즉각 대응할 수 있는 기술적·관리적 보호조치를 마련해야 한다.

ISMS-P 심사원 체크포인트

1. 2.8.2 개인정보 영향평가 (관련 법: 개인정보 보호법 제33조) AI 서비스 도입 시 개인정보 영향평가 수행 여부를 확인한다. 특히 생성형 AI가 개인정보를 학습 데이터로 활용하거나, 생성 결과물에 개인정보가 포함될 가능성이 있는 경우 의무 대상에 해당할 수 있다. 평가 결과에 따른 위험 완화 조치가 실제로 이행되었는지, AI 모델의 개인정보 처리 흐름이 명확하게 문서화되었는지 점검해야 한다.

2. 2.1.3 개인정보 보호조직 (관련 법: 개인정보 보호법 제31조) AI 범죄 대응을 위한 전담 조직 또는 책임자 지정 여부를 확인한다. AI 서비스에서 발생 가능한 딥페이크, 무단 학습, 개인정보 유출 등의 침해 사고에 신속 대응하기 위해서는 AI 거버넌스 체계가 필요하다. CPO(개인정보보호책임자) 산하에 AI 윤리·보안 담당 조직이 구성되어 있고, 역할과 책임이 명확히 정의되어 있는지 심사한다.

3. 2.10.1 개인정보 처리 제한 (관련 법: 개인정보 보호법 제3조, 제15조) AI 학습용 개인정보 수집 시 목적 명확화 및 최소 수집 원칙 준수 여부를 점검한다. 특히 동의 없이 수집된 개인정보를 AI 학습에 사용하거나, 당초 수집 목적을 벗어나 AI 모델 개발에 활용하는 사례가 없는지 확인한다. AI 생성 콘텐츠가 특정 개인을 식별 가능하게 만드는 경우, 이에 대한 법적 근거와 정보주체 동의 확보 여부를 검토해야 한다.

위반 조항

개인정보 보호법 제15조 (개인정보의 수집·이용) AI 학습 목적으로 개인정보를 수집할 때 정보주체의 동의를 받지 않거나, 수집 목적을 명확히 고지하지 않은 경우 위반에 해당한다. 특히 딥페이크 생성을 위해 타인의 얼굴, 음성 등 개인정보를 무단으로 수집·이용하는 행위는 제1항 제1호(동의) 위반으로 5천만원 이하 과태료 또는 형사처벌 대상이다.

개인정보 보호법 제3조 (개인정보 보호 원칙) AI 서비스 운영 시 개인정보 처리 목적에 필요한 범위를 초과하여 과도한 데이터를 수집·학습하거나, 안전성 확보 조치 없이 AI 모델을 운영하는 경우 제1항(최소수집), 제7항(안전성 확보) 위반에 해당한다.

개인정보 보호법 제59조 (금지행위) 정당한 권한 없이 AI를 이용해 개인정보를 수집·처리하거나, 거짓이나 부정한 수단으로 개인정보를 취득하는 행위는 제2호, 제3호 위반으로 5년 이하 징역 또는 5천만원 이하 벌금에 처해질 수 있다. 딥페이크 범죄가 대표적 사례다.

CPPG·ISMS-P 연계 포인트

1. AI 기반 개인정보 처리의 적법성 (CPPG 핵심) 개인정보처리자가 AI 기술을 활용할 때에도 개인정보 보호법상 수집·이용·제공의 적법 근거를 반드시 갖춰야 한다. 특히 정보주체 동의 없이 공개된 정보(SNS 사진 등)를 AI 학습에 사용하는 것도 목적 외 이용에 해당할 수 있으므로, '공개된 정보 = 자유 이용 가능'이라는 오해를 경계해야 한다. CPPG 시험에서는 AI 활용 시나리오에서 적법 근거 판단 문제가 출제될 수 있다.

2. Privacy by Design 원칙 (ISMS-P 핵심) ISMS-P 인증기준 2.8.1(개인정보 보호 고려 서비스 기획·설계)에서 요구하는 사전 예방적 보호조치가 AI 서비스에서 더욱 중요하다. AI 모델 개발 단계부터 개인정보 최소화, 비식별 처리, 접근 통제, 암호화 등을 설계에 반영해야 하며, 사후 보안 패치가 아닌 선제적 보호 설계가 심사 핵심 포인트다. AI 거버넌스 체계 구축과 정기적 위험 평가도 필수 요구사항으로 자리잡고 있다.