AI 에이전트한테 계정을 몇 개 줬는지 아십니까
6월 9일 개인정보위가 '개인정보 전주기 보호·활용 기술 R&D 및 표준화 로드맵(2026~2030)'을 공개했다. 연구개발 로드맵이라 실무자 입장에서는 남 얘기처럼 읽힌다. 당장 지켜야 할 의무가 생기는 것도 아니고.
그런데 규제기관이 앞으로 5년간 무슨 기술에 돈을 쓰겠다고 하는지를 보면, 지금 뭘 문제로 보고 있는지가 드러난다. 그런 관점에서 읽으면 꽤 볼 게 있다.
11개 중 4개가 AI
기존에 따로 굴러가던 R&D 로드맵('22~'26)과 표준화 로드맵('23~'27)을 하나로 합쳐 조기 개정한 게 이번 로드맵이다. 원래 R&D 쪽은 올해까지가 기한이었으니 어차피 갱신할 시점이긴 했다. 다만 표준화 로드맵은 아직 1년 남았는데 끌어와서 통합했다.
4대 분야로 정리했고, 그 안에 11대 핵심기술이 들어간다.
- 개인정보 주권보장: 정책 준수 증명 결과 열람, 딥페이크·합성 검증·레이블링
- 유·노출 위험경감: 엣지 디바이스 개인정보보호, 다크웹·표면웹 유출 탐지, 재식별 위험도 평가·검증
- 신뢰기반 안전활용: 합성데이터 등 PET 기반 비식별화, 마이데이터 동의·위임 통합 자동화 플랫폼
- AI 대응 기술개발: AI 모델 안전성 평가, 에이전트·도구·로봇 실행 보안, 피지컬 AI 실시간 프라이버시 제어, AI 기반 비정형데이터 탐지·비식별화
11개 중 4개가 AI 대응이다. 여기에 PET 기반 비식별화와 재식별 위험도 검증까지 넣으면 절반이 넘는다. 배분만 봐도 무게중심이 어디로 갔는지 명확하다.
에이전트한테 권한을 어떻게 줄 것인가
개인적으로 제일 걸리는 건 '에이전트·도구·로봇 실행 보안'이다. AI 에이전트가 개인정보에 접근하고 뭔가를 실행하는 권한을 어떻게 통제할 거냐는 문제다.
이건 연구 주제이기 전에 이미 현장 문제다. 사내에 코파일럿 붙이고, 상담 이력 요약시키고, DB 조회하는 에이전트 붙이는 회사가 늘고 있다. 그런데 그 에이전트가 무슨 계정으로 붙는지 물어보면 답이 잘 안 나온다. 대부분 담당자 계정을 그대로 쓰거나, 서비스 계정 하나에 넉넉한 권한을 몰아준다.
문제는 두 가지다. 개인정보처리시스템 접근권한 대장에 사람은 있는데 에이전트는 없다. 그리고 접속기록에는 행위 주체가 사람으로 찍힌다. 사고가 나면 "이 조회는 사람이 한 건가, 에이전트가 자동으로 돌린 건가"에 답을 못 한다.
접근권한 대장과 접속기록에 AI 에이전트를 별도 주체로 식별할 수 있는가. 지금 시점에 이 질문에 답할 수 있는 조직은 많지 않다.
로드맵은 이걸 기술로 풀겠다고 한다. 그건 그거고, 지금 당장 쓸 수 있는 건 계정 분리다. 에이전트마다 전용 계정을 파고, 권한을 최소로 주고, 로그에 주체를 남긴다. 새로운 기술이 필요한 얘기가 아니라 이미 있는 통제를 대상만 넓혀서 적용하는 거다. 안 하고 있을 뿐이다.
로드맵은 왜 미리 읽어야 하나
R&D 로드맵이 곧 규제는 아니다. 여기 실린 기술이 몇 년 뒤 인증기준 항목으로 그대로 내려온다고 단정할 수는 없다. 이건 내 추정이다.
다만 흐름은 있다. 기술 연구가 표준으로 정리되고, 표준이 가이드라인이 되고, 가이드라인이 심사 질문이 된다. 가명처리가 그 경로를 지나왔다. 이번에 R&D와 표준화 로드맵을 굳이 하나로 붙인 것도 그 연결을 빨리 돌리겠다는 뜻으로 읽힌다.
그래서 '재식별 위험도 평가·검증'이나 '다크웹·표면웹 유출 탐지' 같은 항목이 눈에 띈다. 지금은 가명정보 처리하면서 재식별 위험을 정성적으로 판단하는 곳이 대부분이다. 평가 도구가 표준화되면 "위험이 낮다고 판단했다"가 아니라 "이 지표로 이렇게 나왔다"를 요구받게 된다. 그때 가면 준비 안 된 곳이 꽤 나올 거다.
인력양성 로드맵이 별첨으로 붙었다
이번에 처음 들어간 게 '개인정보 분야 전문인력 양성 로드맵('26~'35)'이다. 10년짜리를 별첨으로 붙였다.
개인정보 보호·활용, 유출사고 예방·대응 역량을 갖춘 전문 인재를 단계적으로 확보하겠다는 방향인데, 구체적인 프로그램 설계는 앞으로 나올 거다. 이 분야로 커리어를 잡고 있는 사람이면 어떤 역량을 "전문"으로 정의하는지 한 번 볼 만하다. 정부가 부족하다고 보는 역량이 곧 시장이 비싸게 쳐주는 역량일 확률이 높으니까.
로드맵 원문은 개인정보위 홈페이지와 개인정보 포털에서 받을 수 있다. 보도자료만 읽으면 항목 나열로 끝나는데, 본문에는 기술별 세부 정의가 붙어 있다. 자기 회사에 걸리는 항목이 뭔지 찾아보는 정도는 해볼 만하다.
출처