당신이 몇 년 전 가입한 쇼핑몰, 배달 앱, 헬스케어 플랫폼에 건넨 이름·주소·구매 이력·건강 데이터. 당신은 서비스 이용을 위해 동의했지만, 그 데이터가 어느 기업의 AI를 훈련시키는 재료가 될 것이라고는 상상도 못 했을 것이다. 2026년 5월 14일, 국회 정무위원회는 그 '상상'을 현실로 만드는 법안을 통과시켰다.

개인정보보호법 개정안의 핵심은 단 하나다. 기업이 이미 합법적으로 수집한 개인정보를, 개보위(개인정보보호위원회)의 심의를 거쳐 AI 개발 목적으로 활용할 수 있도록 허용한다는 것. '동의'가 사라졌다. 당신이 모르는 사이, 당신의 데이터는 이미 다음 세대 AI를 훈련시키고 있을지 모른다.

🔍 법이 바뀌면 무엇이 달라지나 — 개정안 핵심 해부

기존 개인정보보호법은 개인정보를 수집한 '목적 외'로 사용하려면 정보주체(즉, 나)의 동의를 다시 받아야 했다. 당신이 배달 앱에 주소를 줬다면, 그 주소를 AI 학습에 쓰려면 또 한번 물어봐야 했다는 뜻이다.

개정안은 이 원칙에 '특례'를 뚫었다. 개보위가 사전에 심의·의결한 경우에 한해, 이미 수집된 개인정보를 AI 기술 개발 목적으로 전용할 수 있다. 개보위가 '안전하다'고 판단하면 기업은 내 동의 없이 내 데이터로 AI를 만들 수 있다.

"규제 샌드박스나 실증 특례 같은 안전한 방법이 있는데도,
더 쉽고 저렴하게 개인정보를 얻으려는 것은
산업계의 탐욕이다."
— 개인정보 보호 4개 시민단체 공동 성명

📊 숫자로 보는 한국 AI·개인정보 현실

📈 2026년 한국 AI 데이터 현황

37.1% 2026년 1분기
생성형 AI 이용률
(전 세계 상승폭 1위)
92.6% 딥페이크 디지털 성범죄
피해자 중
10·20대 비율
35만↑ 연간 디지털 성범죄
피해 지원 건수
(전년 대비 5.9% 증가)
504억 정부 AI 휴머노이드
개발 투자 예산
(2030년까지)

국가별 AI 개인정보 규제 강도 비교 (주관적 지수, 10점 만점)

🇪🇺 EU (GDPR + AI법)9.2 / 10
🇺🇸 미국 (주별 분산)5.8 / 10
🇯🇵 일본 (APPI 개정)6.5 / 10
🇰🇷 한국 (개정 후)5.0 / 10 ▼
🇨🇳 중국4.1 / 10

🎭 찬성 vs 반대 — 팽팽한 두 목소리

구분 산업계·정부 (찬성) 시민단체·인권단체 (반대)
핵심 주장 AI 경쟁력 확보를 위해 데이터 규제 완화 불가피 헌법상 개인정보 자기결정권 침해, 위헌적
안전장치 개보위 사전 심의·의결로 충분히 통제 가능 개보위가 실질적 감독 역량 갖췄는지 의문
국제 비교 일본도 AI 학습 데이터 활용 허용 방향 채택 EU는 오히려 AI법 강화, 한국은 역행
실질 피해 가명처리·익명화로 개인 식별 위험 최소화 재식별 기술 발달로 비식별화 의미 없어짐
우려 시나리오 규제 과잉으로 AI 산업 해외 이탈 위험 내 의료·금융·위치 데이터가 광고 AI 재료로

💀 숨겨진 이면 — 당신이 몰랐던 세 가지 진실

① '가명처리'는 이미 해독 가능하다. 이번 개정안은 개인정보를 '비식별화' 또는 '가명처리'해 AI 학습에 쓴다고 명시했다. 그러나 MIT 연구팀은 이미 2019년에 넷플릭스 가명 데이터에서 87%의 정확도로 실제 이용자를 재식별하는 데 성공했다. 기술은 그 이후 5년 이상 발전했다. 가명처리가 완벽한 방패라는 것은 착각이다.

② 개보위는 인력이 너무 부족하다. 개보위의 연간 심의 건수는 2025년 기준 약 3,000건 수준이다. 국내 AI 기업 수는 수천 개, AI 서비스는 셀 수 없이 많다. 심의 인력이 압도적으로 부족한 상황에서 '사전 심의'가 얼마나 실질적일 수 있을지 전문가들은 회의적이다.

③ 한번 학습된 AI에서 개인정보를 지우는 것은 거의 불가능하다. '잊힐 권리'가 있어 기업에 내 데이터 삭제를 요청할 수 있다. 그런데 그 데이터로 이미 AI 모델을 학습시켰다면? 특정 데이터만 선택적으로 '지운' AI를 만드는 기술은 아직 초기 단계다. 즉, 한번 AI에 들어간 내 정보는 사실상 돌이킬 수 없다.

⚠️ 전문가 경고

"AI 기술 개발을 위해서라면 헌법상 기본권은 무시해도 좋다는 것이 국회의 기본 입장인가? 개인정보 보호 원칙을 훼손하는 'AI 예외주의'를 강력히 반대한다." — 개인정보 보호 4개 시민단체 공동 성명 (2026년 5월)

🏠 나에게 직접 영향을 주는 것들

추상적으로 들릴 수 있지만, 이 법이 본회의까지 통과하면 내 일상 데이터가 어떻게 쓰일 수 있는지 생각해보자.

병원에서 수집한 진료 기록이 의료 AI 학습에 쓰일 수 있다. 배달 앱의 음식 주문 패턴이 소비 성향 AI 분류 모델에 쓰일 수 있다. 대출 신청 때 제출한 소득·자산 정보가 신용 위험 AI에 쓰일 수 있다. 개보위가 허가한 특정 기업이라면 말이다.

당신이 '이 목적으로 쓸 것이다'라고 생각하며 동의한 데이터가, 전혀 다른 AI를 만드는 재료가 된다. 그리고 당신은 그 사실을 통보받지 못할 수 있다. 법 개정안에는 정보주체에 대한 사후 통보 의무가 명시되지 않았다.

🌍 해외는 어떻게 하고 있나

EU: 2026년 5월 7일, EU는 고위험 AI 시스템에 대한 의무 준수 기한을 오히려 연장하는 AI법 개정안에 합의했다. 규제의 방향은 '완화'가 아닌 '이행 유예를 통한 철저한 준비'다. GDPR(개인정보 보호 규정)은 여전히 세계 최고 수준의 보호막 역할을 한다.

일본: AI 학습용 데이터 활용을 허용했지만, 저작권법과 개인정보보호법(APPI)에 별도 가이드라인을 두어 남용을 막는 체계를 갖췄다. 한국의 개정안은 일본보다 개보위 사전 심의라는 관문이 있다는 점이 차이지만, 그 심의가 실질적인지가 관건이다.

미국: 연방 차원의 단일 AI 개인정보 법안은 아직 없다. 다만 캘리포니아 CCPA 등 강력한 주법이 일부를 보완하고 있다.

🔮 앞으로의 시나리오 — 이 법의 미래

개정안은 정무위를 통과했지만 아직 국회 본회의가 남아있다. 시민단체들의 반발이 거세지면서 본회의 통과 전 일부 수정 가능성도 있다. 핵심 쟁점은 세 가지다.

첫째, 정보주체 통보 의무 신설 여부. 내 데이터가 AI 학습에 쓰였다면 알 권리가 있다. 둘째, 개보위 심의 기준의 투명화. 어떤 기준으로 허가하는지 공개해야 한다. 셋째, 학습 후 데이터 삭제 요청권의 실효성 확보. 현재로선 기술적으로 거의 불가능하다.

📋 내가 지금 당장 할 수 있는 것

  • 개보위 공식 홈페이지(pipc.go.kr)에서 자신의 개인정보 처리 현황 확인하기
  • 주요 서비스 앱의 개인정보 처리방침 중 'AI 학습 관련' 항목 체크하기
  • 불필요한 서비스의 계정 탈퇴 및 개인정보 삭제 요청하기
  • 개인정보보호법 개정 국회 청원 및 시민단체 성명 지지 서명 참여하기
  • 본회의 표결 전 국회의원 의견 청취 및 민의 전달하기

✍️ 기자 총평

대한민국은 세계에서 AI 도입 속도가 가장 빠른 나라 중 하나가 됐다. 그 속도의 연료가 바로 우리의 데이터다. 문제는, 그 데이터의 주인인 국민이 이 거래에서 철저히 배제되어 있다는 점이다.

개보위 심의가 실질적인 방패가 될 수 있을까? 수백만 개의 AI 서비스를 수십 명의 심의관이 들여다볼 수 있을까? 우리는 이 질문에 아직 답을 갖고 있지 않다. 그러나 법은 이미 움직이고 있다. 그리고 한번 AI에 들어간 데이터는, 두 번 다시 꺼낼 수 없다.

당신의 데이터는, 당신의 것이어야 한다.