에이전트 AI 시대, 프라이버시 '공백'…정부 '특화 개인정보 처리기준' 수립 착수

[이데일리 권하영 기자] 스스로 판단하고 행동하는 ‘에이전트 AI’ 시대가 열리고 있지만, AI가 수집·활용하는 개인정보의 범위와 책임을 규율할 기준은 여전히 공백 상태라는 지적이 나온다. 이에 정부는 에이전트·피지컬 AI 환경에 특화된 개인정보 처리 기준을 마련하고, 민관 협력을 통해 선제적 가이드라인 구축에 나선다.

송경희 개인정보보호위원회 위원장이 2월 2일 오후 AI 프라이버시 민관 정책협의회 전체회의에 참석해 인사말을 하고 있다. 사진=개인정보위

◇‘에이전트 AI 개인정보 처리기준’ 상반기 내 마련

개인정보보호위원회는 2일 서울 중구 은행회관에서 ‘2026 AI 프라이버시 민관 정책협의회’(이하 협의회)를 출범하고 △올해 1분기 내 ‘AI 이용 개인정보보호 수칙’ 마련 △상반기 내 ‘에이전트 AI 개인정보처리기준’ 수립 △연내 ‘AI 프라이버시 리스크 관리 모델’ 개정 △‘에이전트 AI 투명성 확보 방안’ 도출 등 단계별 정책 로드맵을 발표했다.

2023년 10월 처음 발족 된 협의회는 그동안 AI 개발의 기초가 되는 ‘공개된 개인정보 처리 기준’과 ‘AI 프라이버시 리스크 관리 모델’을 제시해왔다. 다만 최근 AI 기술이 대규모언어모델(LLM)을 넘어 에이전트 AI, 피지컬 AI로 빠르게 확장되면서 기존 논의 틀을 넘어선 재정비가 필요하다는 판단에 따라 협의회 구조를 전면 개편했다.

개편된 협의회는 △데이터 처리기준 분과(분과장 김병필 KAIST 교수) △리스크 관리 분과(분과장 최대선 숭실대 교수) △정보주체 권리 분과(분과장 윤혜선 한양대 교수) 등 3개 분과 체제로 운영된다. 공동 의장은 송경희 개인정보보호위원장과 권창환 부산회생법원 부장판사가 맡는다.

송경희 위원장은 “에이전트와 피지컬 AI 환경에 특화한 개인정보 처리기준을 구체화해, 개인정보가 어떤 원칙과 절차에 따라 수집·활용돼야 하는지, 그 과정에서 어떤 위험을 관리해야 하는지에 대한 기준을 선제적으로 마련하겠다”며 “정부와 기업이 위험 요인을 함께 식별하고 기술적 가드레일을 공동 설계하는 실질적인 정책 플랫폼이 되겠다”고 강조했다.

◇“이미 AI는 쓰고 있다”…프라이버시 대비는 아직

AI 프라이버시 문제는 아직 미래의 위험이 아니라 이미 현실로 다가온 과제다. 개인정보위와 한국정보통신기술협회가 지난해 하반기(7~12월) 기업·공공기관 107곳을 대상으로 AI 프라이버시 이슈를 조사한 결과(복수응답), 응답 기관 대부분이 이미 일부 업무에 AI를 활용하고 있었으며, 이 중 68.2%는 외부 AI 서비스를 사용하고 있는 것으로 나타났다.

모델 유형별로는 오픈소스 모델을 채택한 곳이 40.2%, 자체 개발 모델을 사용하는 곳이 29.9%였다. 학습·활용 데이터로는 공공 데이터(67.3%)와 고객 데이터(65.4%), 공개 데이터(65.4%)가 광범위하게 사용되고 있었다.

문제는 AI 활용 수준에 비해 개인정보 안전조치가 현저히 부족하다는 점이다. 응답자의 35.5%는 개인정보 보호 강화를 위한 기술 도입이 필요하다고 답했지만, 실제로 개인정보 강화기술(PETs)을 적용한 사례는 단 1곳에 불과했다. 기술적 이해 부족(23.7%), 전문 인력 및 예산 부족(47.4%)이 주요 장애 요인으로 지목됐다.

◇알아서 정보 수집하는 에이전트…각국 규제체계 시동

전문가들은 에이전트 AI 확산 국면에서 개인정보 안전조치의 중요성이 지금보다 훨씬 커질 것이라고 경고했다. 김병필 KAIST 교수는 “AI 에이전트는 학습 데이터에 포함된 개인정보만 처리하는 것이 아니라, 온라인에 공개된 개인정보나 기업 내부 데이터베이스에 있는 정보를 탐색해 답변에 활용한다”며 “실제 AI 에이전트를 활용하면 온라인에 공개된 고유식별정보를 95.9% 정확도로 추출할 수 있고, 기업 내부 인사 관련 민감 정보가 다른 직원에게 노출된 사례도 있었다”고 설명했다.

김 교수는 현재 ‘이용자 동의’를 중심으로 설계된 개인정보 처리 방식의 실효성에도 의문을 제기했다. 그는 “AI 답변 품질을 높이기 위해 과도한 개인 컨텍스트를 활용할 유인이 커지고, 이는 최소 수집 원칙에 위배될 소지가 있다”며 “대화 이력 기반 개인 속성 추론이나 프로파일링 위험이 커지는 상황에서 AI 프라이버시 문제를 개인 통제 중심 모델로만 해결하기는 어렵다”고 지적했다.

이 같은 문제의식 속에 주요 국가들도 에이전트 AI 관련 개인정보 규제와 가이드라인 정립에 속도를 내고 있다. 미국은 NIST 산하 CAISI를 중심으로 ‘AI 에이전트 시스템 보안 위협’ 관련 의견수렴(RFI)을 진행하며, 데이터 접근권한 통제 체계 마련에 나서고 있다. 영국은 4개 규제기관 연합체인 DRCF를 통해 개인정보를 포함한 에이전트 AI 규제 논의를 진행 중이다. 싱가포르는 IMDA를 중심으로 에이전트 간 상호작용 안정성 확보와 샌드박스 내 사전 테스트 의무화를 포함한 프레임워크를 개발했다.

협의회 역시 민관 협력을 통해 에이전트·피지컬 AI 대응 역량을 강화하는 개인정보 보호 정책을 선제적으로 마련한다는 방침이다. 특히 개인정보위가 운영 중인 ‘공공 AX 혁신지원 헬프데스크’를 통해 도출되는 현장 쟁점을 협의회에서 논의하고, 그 결과를 지침과 안내서에 반영할 계획이다. 논의 결과는 국가AI전략위원회, AI안전연구소 등 관계 기관과도 공유된다.

권창환 공동의장은 “국민의 개인정보와 권익은 확실히 보호하되, 산업 현장이 과도한 불확실성에 위축되지 않도록 예측 가능한 정책 환경을 조성하는 것이 중요하다”며 “국민이 신뢰할 수 있는 AI 생태계를 구축하고, 산업 현장에서도 책임 있는 혁신이 지속될 수 있도록 실질적인 성과를 만들어가겠다”고 말했다.