공공기관 인공지능 활용 시 개인정보 보호 강화된다

다음은 대한민국 정부 부처인 개인정보보호위원회에서 발표한 보도자료를 바탕으로 작성된 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 2025년 9월 3일 「개인정보 영향평가에 관한 고시」(이하 ‘고시’) 개정안을 의결하고, 9월 5일부터 시행한다고 발표했다. 이번 개정안은 공공기관이 인공지능(AI) 활용 사업을 추진할 때 개인정보보호 리스크를 사전에 식별하고 경감하기 위한 구체적인 평가 기준을 마련하는 것을 목표로 한다. 특히 AI 시스템의 학습 및 개발, 운영 및 관리 등 두 가지 세부 평가 분야를 신설하여 AI 도입에 따른 잠재적 위험을 체계적으로 관리할 수 있도록 했다. 이는 공공기관뿐 아니라 민간기업의 AI 기반 개인정보 처리에도 중요한 참고자료가 되어, 국내 AI 산업 전반의 개인정보 보호 역량을 높이는 데 기여할 것으로 기대된다.

2. 주요 내용

• 「개인정보 영향평가에 관한 고시」 개정 및 시행: 개인정보보호위원회는 2025년 9월 3일 제19회 전체회의를 통해 「개인정보 영향평가에 관한 고시」 개정안을 의결했으며, 해당 고시는 2025년 9월 5일부터 시행된다. 이는 공공기관의 인공지능(AI) 활용 사업 추진 시 발생할 수 있는 개인정보보호 리스크를 사전에 식별하고 경감하기 위한 구체적인 기준을 마련하는 것을 핵심 내용으로 한다.
• 인공지능(AI) 분야 영향평가 기준 신설: 기존 고시에는 인공지능 분야에 대한 별도 기준이 없어 공공기관들이 AI 도입 시 개별적으로 평가항목을 개발해야 하는 어려움이 있었다. 이에 개인정보위는 고시 및 관련 안내서를 개정하여 ‘인공지능(AI)’ 평가분야를 신설하고, ‘AI 시스템 학습 및 개발’과 ‘AI 시스템 운영 및 관리’라는 2개의 세부 평가분야를 새롭게 도입했다.
• AI 시스템 학습 및 개발 관련 평가 기준 강화: AI 시스템 학습 및 개발 단계에서의 개인정보 보호를 위해 구체적인 평가 항목이 제시되었다. 주요 내용은 ▲개인정보 처리 시 적법한 법적 근거 확보(동의, 법률, 계약이행, 정당한 이익 등) ▲민감정보, 14세 미만 아동 정보, 불법 유통 개인정보 등 불필요한 정보의 수집 방지 ▲AI 학습용 데이터의 보유 기간 명확화 및 불필요 시 지체 없는 파기 ▲AI 취약점 공격에 의한 개인정보 유출 위험 최소화를 위한 안전조치 마련 등이다.
• AI 시스템 운영 및 관리 관련 평가 기준 마련: AI 시스템의 운영 및 관리 단계에서 정보주체의 권리 보장을 위한 기준도 마련되었다. 핵심 내용은 ▲오픈소스, API 등 다양한 개발 및 배포 방식에 따른 AI 개발 및 운영 주체 간 권한, 역할, 책임 명확화 ▲AI 시스템에서 처리되는 개인정보 현황을 정보주체가 쉽게 이해할 수 있도록 개인정보 처리방침 등에 투명하게 공개 ▲생성형 AI 서비스 제공 시 ‘허용되는 이용 방침(Acceptable Use Policy; AUP)’ 공개 ▲생성형 AI 시스템의 부적절한 답변, 개인정보 유출 등에 대한 신고 기능 및 정보주체의 삭제 요청 처리 절차 마련 등 정보주체 권리보장 방안 수립·시행이다.
• 개인정보 영향평가 의무 대상 공공기관 명확화: 개인정보 영향평가는 개인정보 처리가 필요한 사업 추진 시 사전에 개인정보에 미치는 영향을 분석하고 개선방안을 수립하여 침해 사고를 예방하는 제도이다. 공공기관은 ▲민감정보 또는 고유식별정보 5만 명 이상 ▲다른 개인정보파일과 연계된 정보 50만 명 이상 ▲개인정보 100만 명 이상을 구축·운영하거나 변경할 경우 영향평가를 의무적으로 실시해야 한다.
• 상세 평가항목 및 지속적인 개선 계획: 이번에 마련된 인공지능 분야의 상세한 평가항목은 ‘개인정보 영향평가 수행안내서’ 개정본을 통해 구체적인 해설과 사례와 함께 공개될 예정이다. 개인정보위는 관련 기관 및 기업의 다양한 의견을 지속적으로 수렴하여 평가항목을 꾸준히 개선해 나갈 계획이며, 이는 한국인터넷진흥원(KISA)과 공동으로 추진된다.
• 민간기업의 참고자료 활용 가능성: 이번에 마련된 인공지능 분야 영향평가 기준은 공공기관뿐만 아니라 인공지능을 활용하는 민간기업에서도 개인정보 처리 시 잠재적인 위험성을 식별하고 경감하는 사전 예방적 개인정보 보호체계를 구축하는 데 유용한 참고자료로 활용될 수 있을 것으로 전망된다.

3. 배경 및 목적

인공지능(AI) 기술이 급속도로 발전하고 다양한 공공 서비스 분야에 도입되면서, AI 시스템이 처리하는 방대한 개인정보에 대한 보호 필요성이 증대되었다. 기존 「개인정보 영향평가에 관한 고시」는 AI 분야에 특화된 평가 기준을 명시하고 있지 않아, AI를 도입하는 공공기관들이 개별적으로 평가항목을 개발해야 하는 어려움이 있었다. 이로 인해 평가의 적정성을 판단하기 어렵고, 잠재적인 개인정보 침해 위험에 대한 사전 예방적 대응이 미흡할 수 있다는 지적이 제기되었다. 특히 AI 학습 데이터의 수집 및 활용, AI 시스템의 운영 과정에서 발생할 수 있는 개인정보 오남용, 유출, 오작동으로 인한 피해 가능성이 커지면서 이에 대한 명확한 가이드라인의 필요성이 더욱 부각되었다.

이러한 배경 하에 개인정보보호위원회는 AI 활용 과정에서 발생할 수 있는 개인정보 침해 리스크를 사전에 식별하고 분석하여 효과적으로 경감하기 위한 구체적이고 체계적인 기준을 마련하고자 이번 고시 개정을 추진하였다. 궁극적으로는 공공기관의 AI 도입 및 활용을 지원하면서도 정보주체(개인정보의 주인이 되는 사람)의 개인정보를 안전하게 보호하고, AI 기술의 신뢰성을 확보하여 국민들이 안심하고 AI 서비스를 이용할 수 있는 환경을 조성하는 것을 목적으로 한다. 이는 AI 기술의 건전한 발전과 개인정보 보호라는 두 가지 가치를 균형 있게 추구하려는 정부의 의지를 반영한다.

4. 세부 추진 내용

개인정보보호위원회는 이번 고시 개정을 통해 「개인정보 영향평가에 관한 고시」에 인공지능(AI) 분야를 신설하고, ‘AI 시스템 학습 및 개발’과 ‘AI 시스템 운영 및 관리’라는 두 가지 세부 평가분야를 도입했다. 이는 AI 시스템의 생애 주기 전반에 걸쳐 개인정보 보호를 고려하도록 설계되었다.

‘AI 시스템 학습 및 개발’ 분야에서는 AI 학습용 데이터 수집 시 적법한 처리 근거 확보(예: 정보주체의 동의, 법률에 따른 의무, 계약 이행, 정당한 이익 등)를 최우선으로 하며, 특히 프롬프트 등 이용자 데이터를 AI 학습에 활용할 경우 목적, 보유 기간 등을 명확히 알리고 동의를 받아야 함을 강조한다. 또한, 공개된 개인정보를 수집하더라도 민감정보(예: 건강 정보, 사상·신념 등), 14세 미만 아동 정보, 불법 유통 개인정보 등이 불필요하게 포함되지 않도록 기술적·관리적 안전조치 마련을 요구한다. AI 학습 데이터의 보유 기간을 명확히 정하고, 학습·개발 또는 운영 종료 등으로 불필요하게 되었을 때에는 지체 없이 파기하도록 하며, AI 시스템의 유형·특성·용례 등을 고려하여 AI 취약점 공격에 의한 개인정보 유출 위험을 식별하고 이에 대한 안전조치를 마련하도록 한다.

‘AI 시스템 운영 및 관리’ 분야에서는 오픈소스나 API(Application Programming Interface) 등 다양한 개발 및 배포 방식에 따른 AI 시스템 개발 및 운영 전 주기에 참여하는 관련 기업·기관 간의 권한, 역할, 정보주체 권리보장 책임, 협력체계 등을 명확히 정의하고 이를 계약서, 라이선스, 사용지침 등에 반영하도록 요구한다. AI 시스템에서 처리되는 개인정보 현황을 정보주체가 쉽게 이해할 수 있도록 개인정보 처리방침 등에 투명하게 공개하는 것을 의무화하며, 생성형 AI 서비스 제공 시 ‘허용되는 이용 방침(Acceptable Use Policy; AUP)’을 공개하여 예견 가능한 오용을 금지하고 국민이 안전하게 서비스를 이용할 수 있도록 가이드라인을 제시하도록 한다. 마지막으로, 생성형 AI 시스템의 부적절한 답변, 개인정보 유출 등에 대한 신고 기능을 갖추고, 정보주체의 의도에 반하여 AI 출력물에 생성된 얼굴·목소리 등의 삭제 요청에 관한 조치 등 정보주체 권리보장 방안을 수립·시행하도록 강조한다. 이러한 세부 평가항목들은 개인정보위가 그간 발간한 인공지능 관련 안내서들(예: 2024년 7월 ‘인공지능 개발·서비스를 위한 공개된 개인정보 처리 안내서’, 2024년 12월 ‘안전한 인공지능 데이터 활용을 위한 인공지능 프라이버시 리스크 관리모델’, 2025년 8월 ‘생성형 인공지능 개발·활용을 위한 개인정보 처리 안내서’)을 바탕으로 마련되었다. 상세한 내용은 2025년 9월 5일 시행되는 ‘개인정보 영향평가 수행안내서’ 개정본을 통해 구체적인 해설과 사례와 함께 공개될 예정이다.

5. 기대 효과

이번 「개인정보 영향평가에 관한 고시」 개정 및 AI 분야 평가 기준 마련을 통해 공공기관은 인공지능 시스템 도입 및 운영 전 과정에서 발생할 수 있는 개인정보 침해 위험을 사전에 체계적으로 분석하고 효과적인 개선 방안을 수립할 수 있게 된다. 이는 공공 서비스의 개인정보 보호 수준을 한층 강화하고, 잠재적인 침해 사고를 미연에 방지하는 사전 예방적 개인정보 보호체계를 구축하는 데 크게 기여할 것이다. 또한, 공공기관뿐만 아니라 인공지능을 활용하는 민간기업에게도 개인정보 보호를 위한 유용한 참고자료가 되어, 국내 AI 산업 전반의 개인정보 보호 역량을 높이고 AI 기술에 대한 국민의 신뢰를 확보하는 데 긍정적인 영향을 미칠 것으로 기대된다. 궁극적으로는 AI 기술 발전과 함께 정보주체인 국민의 개인정보 자기결정권이 실질적으로 보장되는 안전한 디지털 환경을 조성하는 데 이바지할 것이다.

6. 향후 계획

개인정보보호위원회는 2025년 9월 5일 개정된 고시의 시행과 함께, 인공지능 분야의 상세한 평가항목과 구체적인 해설, 적용 사례를 담은 ‘개인정보 영향평가 수행안내서’ 개정본을 공개할 예정이다. 이후에도 개인정보위는 관련 기관 및 기업의 다양한 의견을 지속적으로 수렴하고, 급변하는 인공지능 기술 환경과 개인정보 보호 이슈를 반영하여 평가항목을 꾸준히 개선해 나갈 계획이다. 특히, AI 기술의 발전 속도와 새로운 개인정보 침해 유형 발생 가능성을 고려하여, 평가 기준의 실효성과 적정성을 주기적으로 검토하고 보완할 것이다. 이를 통해 AI 기술 발전과 개인정보 보호가 균형 있게 발전할 수 있도록 지속적인 노력을 기울일 것이며, 한국인터넷진흥원(KISA)과의 협력을 통해 현장 적용을 적극 지원할 방침이다.