AI 시대의 개인정보 보호, 혁신과 신뢰의 균형점을 찾아서

메타 설명: AI 시대, 개인정보 보호는 어떻게 진화해야 할까? 글로벌 규제부터 최신 기술(PET)까지, AI와 공존하기 위한 개인정보 보호의 방향성을 심층 분석한다.

목차

• AI는 정말 내 개인정보를 위협할까?
• 세계는 지금: GDPR부터 미국까지, 개인정보 보호 전쟁
• 한국은 어떻게 대응하고 있나? 최신 개인정보 보호법 파헤치기
• 사진, 영상, 목소리… 비정형 데이터는 어떻게 보호될까?
• 혁신을 위한 실험: 규제 샌드박스와 안심구역
• ‘블랙박스’ AI를 믿으려면? 투명성 확보의 모든 것
• 미래의 과제: 정부와 기업이 나아갈 길
• [특별 심층 분석] 프라이버시 강화 기술(PET) 대백과: 내 정보를 지키는 5가지 방패

서론: AI 시대, 개인정보 보호의 새로운 지평

인공지능(AI) 기술은 산업의 지형을 바꾸고 일상에 혁신을 가져오고 있다. 그러나 이 눈부신 발전의 이면에는 어두운 그림자가 존재한다. 바로 개인정보 보호에 대한 깊은 우려이다. AI 시스템은 방대한 양의 데이터를 학습해야만 성능을 발휘할 수 있으며, 이 데이터에는 종종 민감한 개인정보가 포함된다.¹ 이 때문에 전 세계 소비자의 57%는 AI가 자신의 개인정보에 중대한 위협이 된다고 인식하며, 81%는 AI 기업이 수집한 정보를 원래 의도와 다르게 사용하거나 사용자가 불편을 느낄 방식으로 사용할 것이라 우려한다.²

이러한 대중의 불안은 AI 기술의 본질적인 특성과 전통적인 개인정보 보호 원칙 사이의 근본적인 충돌에서 비롯된다. 개인정보 보호의 핵심 원칙인 ‘데이터 최소화(필요한 최소한의 정보만 수집)’와 ‘저장 제한(필요한 기간만 보유)’은 더 많은 데이터를 더 오래 보유할수록 성능이 향상되는 AI 모델의 속성과 정면으로 배치된다.¹ AI는 소셜 미디어, 비즈니스 프로필 등 다양한 출처에서 사용자의 명시적 동의 없이 데이터를 무차별적으로 수집하는 ‘웹 스크레이핑’과 같은 방식으로 학습 데이터를 확보하기도 한다.¹

결국, AI 시대의 개인정보 보호는 단순한 법규 준수 문제를 넘어선다. 낮은 소비자 신뢰는 데이터 제공 기피, 강력한 규제 요구로 이어져 AI 산업 생태계 전체의 성장을 저해할 수 있는 중대한 비즈니스 리스크이다.² 따라서 강력한 개인정보 보호 체계를 구축하는 것은 규제 장벽을 넘는 소극적 행위가 아니라, 시장의 신뢰를 얻고 지속 가능한 성장을 담보하는 핵심적인 경쟁 전략이 된다.

본 보고서는 이러한 시대적 요구에 부응하여, AI와 개인정보 보호가 공존할 수 있는 길을 모색한다. 글로벌 법규의 현주소부터 한국의 제도적 노력, 그리고 이 모든 딜레마를 기술적으로 해결할 프라이버시 강화 기술(PET)에 이르기까지, 혁신과 신뢰의 균형점을 찾기 위한 다각적인 분석과 방향성을 제시하고자 한다.

글로벌 개인정보 보호법 체계

AI 시대의 개인정보 보호 논의는 국경을 초월한다. 데이터가 자유롭게 이동하는 오늘날, 글로벌 표준을 이해하는 것은 필수적이다. 현대 개인정보 보호법의 근간이 되는 원칙부터 세계에서 가장 강력한 규제, 그리고 시장 중심의 접근법까지 주요 글로벌 법 체계를 분석한다.

모든 규제의 뿌리, 공정정보실행원칙(FIPPs)

오늘날 우리가 논의하는 대부분의 개인정보 보호법은 1970년대에 뿌리를 둔 공정정보실행원칙(Fair Information Practice Principles, FIPPs)에 기반한다.⁵ 1973년 미국 보건교육복지부 보고서에서 처음 개념화되었고, 이후 경제협력개발기구(OECD)가 1980년에 발표한 가이드라인을 통해 국제적인 기준으로 자리 잡았다. FIPPs는 다음과 같은 8가지 핵심 원칙으로 구성된다.⁵

1. 수집 제한의 원칙 (Collection Limitation): 개인정보는 적법하고 공정한 수단에 의해, 정보주체의 동의를 받아 수집되어야 한다.
2. 데이터 품질의 원칙 (Data Quality): 개인정보는 이용 목적과 관련성이 있어야 하며, 정확하고 완전하며 최신 상태를 유지해야 한다.
3. 목적 명확화의 원칙 (Purpose Specification): 수집 목적은 수집 시점에 명확히 해야 하며, 데이터 이용은 해당 목적에 국한되어야 한다.
4. 이용 제한의 원칙 (Use Limitation): 명시된 목적 외로 데이터를 이용하거나 공개해서는 안 된다.
5. 안전성 확보의 원칙 (Security Safeguards): 합리적인 안전 조치를 통해 분실, 무단 접근, 파괴, 수정, 공개 등의 위험으로부터 보호해야 한다.
6. 공개의 원칙 (Openness): 개인정보 관련 정책 및 관행에 대해 투명성을 유지해야 한다.
7. 개인 참여의 원칙 (Individual Participation): 정보주체는 자신의 정보 존재를 확인하고, 접근하며, 정정을 요구할 권리가 있다.
8. 책임의 원칙 (Accountability): 데이터 관리자는 위 원칙들을 준수할 책임이 있으며, 이를 입증할 수 있어야 한다.

이 원칙들은 이후 제정된 유럽연합(EU)의 GDPR, 미국의 개인정보보호법(Privacy Act of 1974) 등 전 세계 주요 개인정보 보호법의 사상적 토대가 되었다.⁵

세계에서 가장 강력한 규제, 유럽 GDPR

2018년 시행된 유럽 일반 개인정보 보호법(General Data Protection Regulation, GDPR)은 현존하는 가장 강력하고 포괄적인 개인정보 보호 규제로, 글로벌 표준의 역할을 하고 있다.³ GDPR은 FIPPs의 원칙을 법제화하고 강화했으며, 특히 AI 기술 활용에 중대한 도전 과제를 제시한다.

GDPR의 핵심 원칙들은 AI의 데이터 처리 방식과 여러 지점에서 충돌한다. 예를 들어, ‘투명성’ 원칙과 정보주체가 자동화된 결정에 대해 설명을 요구할 권리(제22조)는 내부 작동 방식을 이해하기 어려운 AI의 ‘블랙박스’ 문제와 상충한다.³ AI 모델이 최상의 성능을 내기 위해 방대한 데이터를 요구하는 것은 ‘데이터 최소화’ 원칙에 위배될 수 있으며, 특정 목적으로 수집된 데이터를 다른 모델 학습에 재사용하는 것은 ‘목적 제한’ 원칙을 위반할 소지가 크다.¹

이처럼 GDPR은 AI 개발자와 운영자에게 높은 수준의 책임과 투명성을 요구하며, 이를 위반할 경우 전 세계 연간 매출액의 최대 4% 또는 2,000만 유로 중 더 높은 금액의 과징금을 부과할 수 있어 기업들에게 상당한 압박으로 작용한다.³

시장 중심의 접근, 미국 CCPA/CPRA

유럽이 포괄적이고 권리 중심적인 접근을 취하는 반면, 미국은 주(州)별로 시장 중심적이고 소비자 권리 보호에 초점을 맞춘 법 체계를 발전시켜왔다. 그 대표적인 사례가 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA)과 이를 개정한 캘리포니아 개인정보 권리법(California Privacy Rights Act, CPRA)이다.¹⁰

CCPA/CPRA는 소비자에게 다음과 같은 핵심 권리를 부여한다.¹⁰

• 알 권리 (Right to Know): 기업이 자신에 대해 어떤 개인정보를 수집, 이용, 판매, 공유하는지 알 권리.
• 삭제할 권리 (Right to Delete): 기업이 보유한 자신의 개인정보 삭제를 요청할 권리.
• 정정할 권리 (Right to Correct): 부정확한 개인정보의 정정을 요구할 권리.
• 판매·공유를 거부할 권리 (Right to Opt-Out of Sale/Sharing): 기업이 자신의 개인정보를 제3자에게 판매하거나 ‘상호맥락적 행태 광고(cross-context behavioral advertising)’를 위해 공유하는 것을 거부할 권리.

특히 CPRA는 기존 CCPA의 허점을 보완했다. 기업들이 금전적 대가 없이 광고 목적으로 데이터를 교환하는 행위를 ‘판매’가 아닌 ‘공유’라고 주장하며 규제를 회피하는 것을 막기 위해 ‘공유’의 개념을 명확히 하고 거부권을 확대했다.¹¹ 또한, 건강 정보, 인종, 성적 지향, 정확한 위치 정보 등을 ‘민감 개인정보(Sensitive Personal Information)’로 새롭게 정의하고, 그 사용을 제한할 수 있는 권리를 신설하여 보호 수준을 한층 강화했다.¹²

이러한 GDPR과 CCPA/CPRA의 규제 철학 차이는 글로벌 AI 기업에 복잡한 과제를 안겨준다. 전 세계를 대상으로 서비스하는 기업이 각 지역의 법규에 맞춰 별도의 데이터 처리 시스템을 구축하는 것은 비효율적이고 위험 부담이 크다. 결과적으로 많은 기업은 가장 엄격한 기준인 GDPR을 기본값으로 삼아 시스템을 설계하는 ‘상향 평준화’ 전략을 택하게 된다. 이는 ‘브뤼셀 효과(Brussels Effect)’로 불리며, EU의 규제가 사실상 글로벌 표준으로 확산되는 현상을 낳고 있다.

한국의 개인정보 보호법 발전

한국 역시 급변하는 디지털 환경에 대응하기 위해 개인정보 보호법(이하 개보법)을 지속적으로 발전시켜왔다. 특히 2023년 전면 개정된 개보법은 디지털 경제 활성화와 정보주체의 권리 강화라는 두 가지 목표 사이의 균형을 맞추는 데 중점을 두고 있다.

2023년 전면 개정, 핵심은 ‘균형’

2023년 9월 15일부터 시행된 개정 개보법은 AI와 데이터 경제 시대를 맞아 낡은 규제를 현실에 맞게 정비하는 데 초점을 맞췄다.¹⁴ 기업 활동을 지원하기 위한 대표적인 변화는 정보주체와의 계약 체결 및 이행을 위한 개인정보 수집·이용 요건 완화이다. 기존에는 ‘불가피하게 필요한 경우’라는 엄격한 요건을 충족해야 했지만, ‘불가피성’ 요건을 삭제하여 계약 이행을 위해 필요한 경우 정보주체의 별도 동의 없이도 개인정보 처리가 가능하도록 길을 열어주었다.¹⁶ 이는 과도한 동의 요구 관행을 개선하고 기업의 정상적인 활동을 보장하기 위한 조치이다.

정보주체 권리 보장과 마이데이터(MyData)

기업의 데이터 활용 자율성을 일부 확대한 만큼, 정보주체의 자기결정권을 실질적으로 보장하기 위한 새로운 권리들이 도입되었다.

• 개인정보 전송요구권 (Right to Data Portability): 정보주체가 자신에 관한 개인정보를 보유한 기업에게 해당 정보를 자신 또는 다른 기업으로 전송해달라고 요구할 수 있는 권리이다.¹⁴ 이는 정보주체가 자신의 데이터를 통제하고 적극적으로 활용할 수 있는 기반을 마련하며, ‘마이데이터(MyData)’ 산업의 법적 근거가 된다.¹⁸
• 자동화된 결정에 대한 권리: AI와 같이 완전히 자동화된 시스템이 내린 결정(예: 대출 심사, 채용 서류 평가)이 개인에게 중대한 영향을 미치는 경우, 정보주체는 그 결정을 거부하거나 설명을 요구하고, 인적 개입에 의한 재처리를 요구할 수 있다.¹⁴

이 중 개인정보 전송요구권은 한국의 데이터 경제에 큰 변화를 가져오고 있다. 과거 은행, 통신사, 병원 등 거대 기관에 갇혀 있던 개인정보의 주도권이 개인에게 넘어오면서 새로운 서비스 생태계가 열린 것이다. 마이데이터는 정보주체의 동의하에 여러 기관에 흩어진 금융, 의료, 통신 데이터를 한곳에 모아 통합 관리하고, 이를 기반으로 맞춤형 자산관리, 건강 컨설팅 등 혁신적인 서비스를 제공하는 산업을 의미한다.²⁰

실제로 2022년 1월 금융 분야에서 마이데이터가 전면 시행된 이후, 카카오페이, 토스, 핀다와 같은 핀테크 기업들은 물론 기존 금융사들도 통합 자산 조회, 소비 패턴 분석, 맞춤형 상품 추천 등 다양한 서비스를 선보이며 치열하게 경쟁하고 있다.²² 2024년 2월 말 기준, 총 69개 사업자가 누적 가입자 1억 1,787만 명에게 서비스를 제공할 정도로 빠르게 시장에 안착했다.²⁴ 이는 단순히 개인의 편의를 높이는 것을 넘어, 데이터 독점을 해소하고 신생 기업들이 기존 강자들과 서비스 품질로 경쟁할 수 있는 토양을 마련했다는 점에서 중요한 산업 정책적 의미를 지닌다.

글로벌 스탠다드 연계와 디지털 법 체계 강화

개정 개보법은 글로벌 규제와의 정합성을 높이는 데도 주력했다. 개인정보의 국외 이전 요건을 GDPR과 유사하게 ‘정보주체의 동의’ 외에도 ‘계약 체결’, ‘법률 규정’ 등 다양화했으며, 국외 이전을 중지시킬 수 있는 명령권을 신설하여 정보주권을 강화했다.¹⁴ 또한, 과징금 제도를 개편하여 위반행위와 관련 없는 매출액을 제외하고, 위반행위 관련 매출액의 3%까지 부과할 수 있도록 합리화했다. 이는 GDPR의 과징금 체계와 유사한 방식으로, 기업의 책임성을 실질적으로 높이는 조치이다.¹⁵

이와 함께 대규모 개인정보를 다루는 공공시스템의 안전성 확보 조치를 강화하고, 개인정보 처리방침 평가제를 도입하여 기업의 투명성을 제고하는 등 디지털 시대에 걸맞은 법 체계를 구축하기 위한 노력을 이어가고 있다.¹⁴

AI 시대의 도전과 변화

AI 기술의 발전은 기존의 개인정보 보호 체계가 예상하지 못했던 새로운 도전 과제들을 던지고 있다. 특히 이미지, 영상, 음성과 같은 비정형데이터의 처리와 인터넷에 공개된 데이터를 AI 학습에 활용하는 문제는 법적, 기술적 논쟁의 중심에 있다.

비정형데이터와 가명 처리 기법

전통적인 개인정보는 이름, 주민등록번호, 주소 등 정형화된 데이터가 중심이었다. 그러나 AI 시대에는 CCTV 영상, 음성 녹음, SNS 게시글 등 비정형데이터의 활용이 폭발적으로 증가하고 있다. 이러한 데이터는 그 자체로 개인을 식별할 수 있는 민감한 정보를 포함하는 경우가 많아 보호가 더욱 어렵다.²⁶

이러한 비정형데이터를 안전하게 활용하기 위한 핵심 기술 중 하나가 ‘가명 처리(Pseudonymization)’이다. 가명 처리는 개인정보의 일부를 삭제하거나 대체하여 추가 정보 없이는 특정 개인을 알아볼 수 없도록 만드는 조치이다. 예를 들어, 문서에 등장하는 모든 이름을 ‘참가자 01’, ‘참가자 02’와 같은 고유 코드로 대체하는 것을 생각할 수 있다. 이 코드와 실제 이름의 연결 정보(매핑 테이블)는 별도의 ‘키 파일(key file)’로 분리하여 안전하게 보관한다.²⁸ 이렇게 하면 가명 처리된 데이터 자체만으로는 개인을 식별하기 어렵지만, 필요한 경우(예: 연구 후 동의 재확인) 키 파일을 통해 원래 정보로 복원할 수 있다. 이는 데이터를 완전히 삭제하여 복원이 불가능한 ‘익명 처리(Anonymization)’와 구별되는 중요한 특징이다.

비정형데이터에 대한 가명 처리는 더욱 복잡하다. 영상에서는 얼굴을 모자이크 처리(blurring)하고, 음성 데이터에서는 목소리를 변조하는 기술이 사용된다. 하지만 이러한 작업은 기술적으로 까다롭고 많은 시간과 비용이 소요되는 단점이 있다.²⁹

공개 데이터 처리 기준과 안전조치

AI, 특히 생성형 AI 모델 학습에 인터넷에 공개된 방대한 데이터를 활용하는 것은 산업계의 오랜 관행이었다. 그러나 이 과정에서 개인정보가 무단으로 수집되어 학습에 사용되는 사례가 늘면서 심각한 법적 문제로 비화하고 있다. 실제로 OpenAI, Google, Meta 등 빅테크 기업들은 저작권 침해뿐만 아니라 개인정보 무단 수집을 이유로 다수의 집단 소송에 직면해 있다.³⁰

이 문제의 핵심은 ‘공개된 개인정보’를 동의 없이 처리할 수 있는 법적 근거가 무엇인가 하는 점이다. 수십억 개의 웹페이지에 흩어져 있는 정보의 주인에게 일일이 동의를 받는 것은 현실적으로 불가능하기 때문이다.³⁴ 이에 대한 대안으로 GDPR과 한국의 개보법 모두에서 ‘정당한 이익(Legitimate Interest)’이라는 개념이 주목받고 있다.³⁵

‘정당한 이익’은 정보주체의 권리보다 기업(정보처리자)의 이익이 명백하게 더 큰 경우, 동의 없이도 개인정보 처리를 허용하는 예외 조항이다. 한국 개인정보보호위원회가 발표한 가이드라인에 따르면, AI 개발사가 공개 정보를 학습에 사용하기 위해 ‘정당한 이익’을 주장하려면 다음 세 가지 요건을 모두 충족하고 입증해야 한다.³⁴

1. 목적의 정당성: AI 모델 개발이라는 처리 목적이 적법하고 정당해야 한다.
2. 처리 필요성: 해당 목적 달성을 위해 공개된 개인정보를 처리하는 것이 필수적이어야 한다.
3. 이익의 균형: 기업의 정당한 이익이 정보주체의 권리보다 명백히 우선해야 한다.

이러한 ‘이익 균형’을 판단하는 과정에서 기업은 정보주체의 권리를 보호하기 위한 충분한 안전조치를 마련했음을 보여줘야 한다. 가이드라인이 제시하는 안전조치에는 △학습 데이터 출처 확인 및 관리, △주민등록번호, 신용카드번호 등 식별 정보 삭제 또는 가명 처리, △개인정보 유출을 유도하는 프롬프트(명령어) 및 결과물 필터링, △정보주체의 삭제 요구권 보장 등이 포함된다.³⁷

결국 ‘정당한 이익’의 도입은 개인정보 처리의 패러다임을 바꾸고 있다. 과거 ‘동의’라는 형식적 절차만 중시하던 것에서 벗어나, 기업이 데이터 처리의 모든 과정에서 실질적인 위험을 평가하고 그 정당성을 스스로 입증해야 하는 시대로 전환되고 있는 것이다. 이는 기업 내 법무 및 개인정보 보호팀의 역할을 단순한 규제 준수 확인자에서 데이터 활용의 윤리성과 비례성을 판단하는 ‘중재자’로 격상시키는 중요한 변화이다.

혁신을 위한 기업·연구자 환경 조성

엄격한 개인정보 보호 규제는 자칫 기술 혁신의 발목을 잡을 수 있다. 이러한 딜레마를 해결하기 위해, 한국을 포함한 여러 국가는 새로운 기술과 서비스가 안전하게 시장에 진입하고 연구될 수 있도록 ‘규제 샌드박스’와 ‘개인정보 안심구역’ 같은 유연한 정책 도구를 도입하고 있다.

규제 샌드박스: 안전한 놀이터에서의 실험

‘규제 샌드박스(Regulatory Sandbox)’는 아이들이 안전한 모래 놀이터에서 자유롭게 노는 것처럼, 기업이 신기술을 활용한 제품이나 서비스를 제한된 조건(기간, 장소, 규모) 하에서 기존 규제의 적용을 받지 않고 시험해볼 수 있도록 허용하는 제도이다.¹⁸ 이는 법규가 기술 발전 속도를 따라가지 못하는 AI, 핀테크 등 신산업 분야에서 혁신을 촉진하기 위해 고안되었다.⁴⁰

한국은 2019년부터 금융, ICT, 산업 융합 등 다양한 분야에서 규제 샌드박스를 활발하게 운영하고 있다. 예를 들어, 금융위원회(FSC)는 핀테크 샌드박스를 통해 100건이 넘는 혁신 금융 서비스를 승인했으며, 이를 통해 새로운 아이디어를 가진 스타트업들이 규제 장벽 없이 시장에서 사업성을 검증할 기회를 얻었다.⁴³ 개인정보 보호 분야에서도 한 채용 플랫폼이 구직자가 특정 기업에 직접 입사 지원하는 경우, 개인정보 제3자 제공 동의를 매번 다시 받지 않아도 되도록 허용받은 사례가 있다. 이는 획일적인 동의 절차의 비효율성을 개선한 사례로 평가받는다.¹⁸

개인정보 안심구역: 데이터의 자유로운 분석

‘개인정보 안심구역(Personal Information Safe Zone)’은 연구자와 기업이 민감하거나 미개방된 데이터를 외부 유출 걱정 없이 자유롭게 분석할 수 있도록 물리적·기술적으로 안전한 환경을 제공하는 제도이다.⁴⁴

안심구역의 가장 큰 특징은 데이터 활용에 대한 일부 규제를 완화해준다는 점이다. 통상적으로 가명정보는 처리 목적을 달성하면 파기해야 하지만, 안심구역 내에서는 장기간 보관하며 새로운 연구 목적으로 재사용하는 것이 허용된다.⁴⁴ 연구자는 안심구역에 마련된 분석 시스템을 통해서만 데이터에 접근할 수 있으며, 분석이 끝난 후에는 개인을 식별할 수 있는 정보가 모두 제거되었는지 엄격한 심사를 거친 후에야 최종 결과물만 외부로 반출할 수 있다.⁴⁶

한국에서는 교통, 기업 재무, 공간정보 등 다양한 분야의 공공 및 민간 데이터가 안심구역을 통해 제공되고 있으며, 이는 AI 모델 개발 및 데이터 기반 정책 연구에 귀중한 자원으로 활용되고 있다.⁴⁶

규제 샌드박스와 안심구역은 경직된 법규와 빠르게 변화하는 기술 사이의 긴장을 완화하는 ‘압력 조절 밸브’와 같은 역할을 한다. 이 제도들은 규제 당국과 혁신가들이 통제된 환경에서 서로 소통하고 협상할 수 있는 공간을 제공한다. 혁신가들은 현실 세계에서 아이디어를 검증하고, 규제 당국은 이론적 위험이 아닌 실제 데이터를 바탕으로 법규를 개선할 수 있다. 이러한 실용적 접근은 규제의 경직성을 막고, 한국과 같은 국가가 기술 경쟁에서 ‘빠른 추격자’를 넘어 ‘혁신 선도자’로 나아갈 수 있는 중요한 동력이 된다.⁴¹

신뢰 기반 개인정보 보호 구축

기술과 제도가 아무리 발전하더라도 사용자의 신뢰 없이는 AI 생태계가 지속될 수 없다. 신뢰 구축의 핵심은 AI 결정 과정의 투명성을 확보하고, 데이터 처리에 대한 조직의 책임성을 강화하는 데 있다.

자동화된 결정의 투명성 확보: 설명가능 AI(XAI)

딥러닝과 같은 복잡한 AI 모델은 종종 ‘블랙박스(black box)’에 비유된다. 입력과 출력은 알 수 있지만, 그 사이에서 어떤 논리로 결정을 내리는지 인간이 이해하기 어렵기 때문이다.⁵⁰ 이러한 불투명성은 사용자의 불신을 낳고, AI의 결정이 편향되거나 불공정할 경우 이를 바로잡기 어렵게 만든다.

‘설명가능 AI(Explainable AI, XAI)’는 이러한 블랙박스 문제를 해결하기 위해 AI의 판단 근거를 인간이 이해할 수 있는 형태로 제시하는 기술 및 방법론을 총칭한다.⁵⁰ XAI는 사용자 신뢰 구축, 공정성 확보, 그리고 GDPR의 ‘설명요구권’과 같은 규제 요건 충족을 위해 필수적이다.⁵⁰ 대표적인 XAI 기법은 다음과 같다.

• 특성 중요도 (Feature Importance): AI가 결정을 내릴 때 어떤 입력 데이터가 가장 큰 영향을 미쳤는지 알려주는 기법이다. LIME, SHAP과 같은 기술이 여기에 해당한다. 예를 들어, “당신의 대출 신청이 거절된 주된 이유는 낮은 신용점수(60% 영향)와 짧은 신용 거래 기간(30% 영향) 때문입니다”와 같이 설명할 수 있다.⁵⁰
• 반사실적 설명 (Counterfactual Explanation): 다른 결과를 얻기 위해 어떤 조건이 바뀌어야 하는지를 보여주는 방식이다. 예를 들어, “만약 당신의 신용점수가 50점 더 높았다면, 대출이 승인되었을 것입니다”와 같이 설명하여 사용자가 다음 행동을 계획하는 데 도움을 준다.⁵⁰

공공기관 보호수준 평가 및 전문 CPO 제도

신뢰는 조직의 책임 있는 거버넌스에서 출발한다. 한국은 공공 부문의 신뢰를 확보하기 위해 매년 중앙행정기관, 지방자치단체, 공기업 등을 대상으로 ‘개인정보 보호수준 평가’를 시행하고 있다. 이 평가는 법적 의무 준수 여부(정량평가)와 개인정보 관리 노력 및 성과(정성평가)를 종합적으로 점검하여 공공기관의 책임성을 강화하고 개선을 유도한다.⁵⁵

민간 부문에서는 ‘개인정보 보호책임자(Chief Privacy Officer, CPO)’의 역할과 전문성을 법적으로 강화했다. 개정 개보법은 일정 규모 이상의 기업에 대해 개인정보 보호 분야에서 총 6년 이상의 경력을 갖춘 전문가를 CPO로 의무적으로 지정하도록 규정하고 있다.⁵⁷ 또한, CPO가 독립적으로 업무를 수행할 수 있도록 대표이사나 이사회에 직접 보고할 수 있는 체계를 마련하고, 다른 업무에 의해 불이익을 받지 않도록 보장해야 한다.⁵⁷

이러한 CPO 제도의 강화는 중요한 패러다임 전환을 의미한다. 과거 개인정보 보호가 IT 부서나 법무팀의 부수적인 실무로 여겨졌다면, 이제는 최고경영진 수준에서 다루어져야 할 핵심적인 전략 과제로 격상된 것이다. 독립성과 전문성을 갖춘 CPO는 새로운 AI 서비스나 제품 개발 초기 단계부터 참여하여 잠재적인 개인정보 침해 위험을 사전에 검토하고 예방하는 ‘설계 기반 개인정보 보호(Privacy by Design)’ 원칙을 조직 문화에 내재화하는 역할을 수행한다.⁶⁰ 이는 문제가 발생한 후 대응하는 사후약방문식 접근보다 AI 시대의 복잡하고 시스템적인 리스크를 관리하는 데 훨씬 효과적이다.

향후 과제 및 시사점

AI 시대의 개인정보 보호는 단일한 해법으로 해결할 수 없는 복합적인 과제이다. 정부, 기업, 그리고 사회 전체가 지속적으로 협력하며 새로운 균형점을 찾아 나가야 한다.

정부의 정책적 과제

정부는 기술 발전과 사회 변화에 발맞춰 법과 제도를 유연하게 개선해 나가야 한다. 규제 샌드박스나 안심구역 운영을 통해 얻은 실증 데이터를 바탕으로 불필요한 규제는 과감히 철폐하고, 새로운 위험에 대해서는 신속하게 대응하는 ‘증거 기반 규제’ 체계를 확립해야 한다.⁴⁰ 또한, 데이터가 국경 없이 이동하는 AI 시대에 국내 기업이 글로벌 시장에서 불이익을 받지 않도록 GDPR 적정성 결정 추진 등 국제 공조를 강화하고 규제의 상호운용성을 높여야 한다.³⁴ 국민들이 자신의 데이터 권리를 명확히 인지하고 AI가 가져올 수 있는 위험에 대해 비판적으로 사고할 수 있도록 디지털 리터러시 교육을 강화하는 것 역시 중요한 정책 과제이다.⁶²

기업의 대응 전략

기업은 개인정보 보호를 더 이상 비용이나 규제 준수의 대상으로만 여겨서는 안 된다. 소비자의 신뢰를 얻는 것이 곧 경쟁력이라는 ‘프라이버시 경쟁우위’ 관점으로 전환해야 한다.⁶⁰ 이를 위해 법적 요건을 충족하는 전문성과 독립성을 갖춘 CPO를 임명하고, 개인정보 보호 전담팀에 충분한 자원과 권한을 부여해야 한다.⁵⁷ 또한, 프라이버시 강화 기술(PET)과 설명가능 AI(XAI)를 단순히 규제 대응 수단이 아닌, 더 안전하고 신뢰도 높은 제품을 만드는 핵심 기술로 인식하고 과감하게 투자해야 한다.⁵³ 특히 인터넷 공개 정보 활용과 같이 법적·윤리적 논란이 있는 영역에서는 명확한 내부 거버넌스와 위험 평가 체계를 수립하여 선제적으로 리스크를 관리해야 한다.³⁵

궁극적으로 AI 시대의 경쟁력은 최고의 알고리즘을 가진 기업이 아니라, 가장 신뢰받는 데이터 거버넌스 모델을 구축한 기업에서 나올 것이다. 개인정보 보호 규제가 강화되고 소비자의 프라이버시 인식이 높아질수록, 합법적이고 윤리적으로 고품질의 데이터에 접근할 수 있는 능력 자체가 핵심적인 전략 자산이 되기 때문이다. 법규 준수, 기술적 안전장치, 윤리적 책임의 삼박자를 갖춘 기업만이 AI 시대의 진정한 승자가 될 수 있다.

[특별 심층 분석] 프라이버시 강화 기술(PET) 활용

AI의 데이터 수요와 개인정보 보호라는 상충하는 가치를 조화시키기 위한 기술적 해결책으로 ‘프라이버시 강화 기술(Privacy Enhancing Technologies, PETs)’이 주목받고 있다. PETs는 데이터의 유용성은 유지하면서도 개인정보 노출 위험을 최소화하는 다양한 기술을 총칭한다. 이 중 AI 시대에 특히 중요한 5가지 핵심 기술을 원리와 사례를 통해 심층 분석한다.

동형암호 (Homomorphic Encryption – HE)

동형암호는 데이터를 암호화된 상태 그대로 분석하고 처리할 수 있게 하는 ‘꿈의 암호 기술’로 불린다. 이를 비유하자면, 투명한 ‘마법 글러브 박스’와 같다.⁶⁴ 데이터(원재료)를 잠긴 상자 안에 넣은 채로, 제3자(클라우드 서버 등)가 상자에 달린 장갑을 이용해 내용물을 보지 않고도 조립(연산) 작업을 할 수 있다. 완성된 결과물은 열쇠를 가진 주인만이 상자를 열어 확인할 수 있다.

이 기술의 핵심은 데이터가 저장, 전송되는 과정은 물론 ‘처리되는 중’에도 암호화 상태를 유지하여 기밀성을 완벽하게 보장한다는 점이다.⁶⁶ 가장 대표적인 활용 사례는 클라우드 컴퓨팅이다. 병원이나 금융기관이 민감한 환자 기록이나 고객 금융 데이터를 클라우드 서버에서 분석하고 싶을 때, 데이터를 복호화하지 않고 동형암호가 적용된 상태로 연산을 맡길 수 있다. 이렇게 하면 클라우드 제공업체는 원본 데이터에 전혀 접근할 수 없으므로 데이터 유출 위험을 원천적으로 차단할 수 있다.⁶⁵ 하지만 연산 과정이 매우 복잡하여 기존 방식보다 수천 배 이상 느려질 수 있다는 높은 연산 비용이 상용화의 가장 큰 걸림돌로 남아있다.⁶⁶

차분 프라이버시 (Differential Privacy – DP)

차분 프라이버시는 개별 데이터가 아닌 데이터 그룹 전체의 통계적 패턴을 분석할 때, 특정 개인이 그 그룹에 포함되었는지 여부를 알 수 없도록 만드는 수학적 프레임워크이다. 이는 통계 결과값에 의도적으로 미세한 ‘노이즈(noise)’를 추가하는 방식으로 작동한다. 비유하자면, 수많은 인파가 찍힌 사진을 약간 흐리게 처리하여 군중 전체의 움직임은 파악할 수 있지만, 특정 개인의 얼굴은 식별할 수 없게 만드는 것과 같다.⁶⁸ 차분 프라이버시의 핵심 보장 원칙은 ‘어떤 분석 결과든 특정 한 명의 데이터가 포함되거나 제외되어도 거의 동일하게 나타나야 한다’는 것이다.⁶⁹

가장 유명한 사례는 Apple의 사용자 경험 개선이다. Apple은 사용자들이 새롭게 많이 사용하는 단어나 인기 있는 이모티콘이 무엇인지 파악하기 위해 차분 프라이버시를 활용한다. 각 사용자의 기기에서 데이터가 Apple 서버로 전송되기 전에 ‘로컬 차분 프라이버시’ 기술이 적용되어 노이즈가 추가된다. 개별 데이터는 왜곡되어 의미가 없지만, 수백만 명의 데이터가 모이면 통계적으로 노이즈가 상쇄되고 의미 있는 트렌드만 남게 된다. 이 과정을 통해 Apple은 사용자 개개인의 타이핑 내용을 전혀 보지 않고도 전체 사용자의 언어 사용 경향을 학습할 수 있다.⁷⁰ 이 기술은 효과를 발휘하기 위해 대규모 데이터셋이 필요하다는 특징이 있다.⁷³

다자간 보안컴퓨팅 (Secure Multi-Party Computation – SMPC)

다자간 보안컴퓨팅은 서로 신뢰하지 않는 여러 참여자가 각자 보유한 비밀 정보를 노출하지 않으면서, 그 정보들을 모두 활용한 함수 값을 함께 계산할 수 있도록 하는 암호 프로토콜이다. 고전적인 비유는 ‘백만장자의 문제’이다. 두 명의 백만장자가 서로에게 자신의 재산을 공개하지 않고 누가 더 부자인지 알고 싶을 때 SMPC를 사용할 수 있다.⁷⁴

SMPC는 ‘비밀 공유(secret sharing)’와 같은 기법을 사용한다. 각 참여자는 자신의 비밀 정보를 여러 조각으로 나누어 다른 참여자들에게 분배한다. 어떤 참여자도 혼자서는 다른 사람의 비밀 정보를 복원할 수 없지만, 프로토콜에 따라 각자 가진 조각들로 연산을 수행하면 최종 결과값은 도출할 수 있다.⁷⁶ 실제 활용 사례로는 여러 은행이 각자의 고객 거래 데이터를 공유하지 않으면서도, 데이터들을 종합적으로 분석하여 자금 세탁이나 사기 거래 패턴을 함께 탐지하는 시스템을 구축하는 것을 들 수 있다.⁷⁷ 이를 통해 개별 기관의 데이터만으로는 발견하기 어려운 정교한 금융 범죄에 공동으로 대응할 수 있다.

연합학습 (Federated Learning – FL)

연합학습은 ‘데이터를 중앙 서버로 가져오는 대신, 머신러닝 모델을 데이터가 있는 곳으로 보낸다’는 역발상의 접근법이다. 중앙 서버가 모든 학생의 숙제(데이터)를 걷어서 채점하는 대신, 선생님(중앙 서버)이 학생들(개별 기기)에게 쪽지시험(모델)을 보낸다고 비유할 수 있다. 학생들은 각자 자신의 노트(로컬 데이터)를 참고해 시험을 풀고, 그 결과 향상된 실력(모델 업데이트)만 선생님에게 제출한다. 선생님은 모든 학생의 실력 향상분을 종합하여 더 좋은 마스터 시험지를 만들어 다음 시험에 활용한다.⁷⁹

가장 대표적인 사례는 Google의 스마트폰 키보드 앱인 Gboard이다.⁸¹ Gboard는 사용자가 실제로 입력하는 단어와 문장 패턴을 각자의 스마트폰 기기 내에서 학습하여 다음 단어 추천 모델을 개선한다. 이 과정에서 사용자가 입력한 민감한 텍스트는 절대 기기 밖으로 나가지 않는다. 오직 모델을 개선시킨 학습 결과(가중치 업데이트)만이 암호화된 상태로 Google 서버에 전송된다. 서버는 수많은 사용자로부터 온 업데이트들을 종합하여 더욱 향상된 공통 모델을 만들고, 이를 다시 사용자들에게 배포한다.⁸⁰ 이 모든 학습 과정은 사용자가 스마트폰을 사용하지 않고, 충전 중이며, Wi-Fi에 연결된 상태에서만 이루어져 사용자 경험에 영향을 주지 않는다.⁸⁰

영지식증명 (Zero-Knowledge Proof – ZKP)

영지식증명은 상대방에게 특정 정보(비밀)를 공개하지 않으면서, 자신이 그 정보를 알고 있다는 사실을 증명하는 암호학적 방법이다. ‘월리를 찾아라’ 그림책으로 비유할 수 있다. 내가 그림 속 월리의 위치를 안다는 것을 증명하고 싶지만, 그 위치를 알려주고 싶지는 않다. 이때 월리 크기의 구멍만 뚫린 아주 큰 판지로 그림책 전체를 가리고, 구멍을 통해 월리만 보여준다. 상대방은 월리를 직접 확인함으로써 내가 위치를 안다는 사실을 믿게 되지만, 그림의 다른 부분은 보지 못했으므로 월리의 정확한 위치에 대한 추가 정보(knowledge)는 전혀(zero) 얻지 못한다.⁸⁴

ZKP는 데이터 자체에 대한 연산보다는 ‘사실의 증명’에 초점을 맞춘다. 따라서 활용 사례도 주로 인증이나 검증 분야에 집중된다. 예를 들어, 온라인 서비스에 가입할 때 자신의 정확한 생년월일을 제출하지 않고도 ‘나는 18세 이상이다’라는 사실만을 암호학적으로 증명할 수 있다. 블록체인 기술에서는 거래 당사자의 계좌 잔고를 공개하지 않으면서도 거래에 필요한 충분한 자금을 보유하고 있음을 증명하는 데 활용되어 프라이버시를 강화한다.⁷⁴

결론

AI 시대의 개인정보 보호는 혁신과 규제 사이의 제로섬 게임이 아니다. 오히려, 신뢰라는 사회적 자본을 기반으로 기술 혁신과 개인의 권리가 함께 성장할 수 있는 새로운 생태계를 구축하는 과정이다. 본 보고서에서 살펴본 바와 같이, 이 길은 세 가지 핵심 기둥 위에 세워져야 한다.

첫째, 적응력 있는 법적 프레임워크이다. GDPR, 개정 개보법 등 국내외 법제는 정보주체에게 데이터에 대한 실질적인 통제권을 부여하는 방향으로 진화하고 있다. 앞으로도 규제 샌드박스와 같은 유연한 제도를 통해 기술 발전에 뒤처지지 않고, 현실에 기반한 합리적인 규율 체계를 지속적으로 모색해야 한다.

둘째, 책임감 있는 기업 거버넌스이다. 기업은 개인정보 보호를 단순한 규제 준수 의무를 넘어, 소비자의 신뢰를 얻기 위한 핵심 경쟁력으로 인식해야 한다. 독립성과 전문성을 갖춘 CPO를 중심으로 설계 단계부터 프라이버시를 고려하는 문화를 정착시키고, AI의 결정 과정을 투명하게 공개하려는 노력이 필요하다.

셋째, 혁신적인 기술적 안전장치이다. 동형암호, 차분 프라이버시, 연합학습과 같은 프라이버시 강화 기술(PETs)은 더 이상 학문적 개념에 머무르지 않는다. 이 기술들은 데이터의 가치를 활용하면서도 개인의 프라이버시를 보호할 수 있는 구체적인 해법을 제시하며, 신뢰 기반 AI 시스템의 필수불가결한 요소로 자리 잡고 있다.

결국 AI 시대의 미래는 우리가 기술과 데이터, 그리고 인간의 존엄성 사이의 관계를 어떻게 설정하느냐에 달려 있다. 혁신과 프라이버시의 조화로운 공존을 추구하는 것은 이 시대 우리에게 주어진 가장 중요한 과제이자 가장 위대한 기회일 것이다.

자주 묻는 질문 (FAQ)

• Q1: AI 학습에 제 개인정보가 사용되었는지 어떻게 알 수 있나요?
  • A: 현행법상 AI 기업은 개인정보 처리방침을 통해 데이터 수집 목적, 항목, 출처 등을 투명하게 공개해야 할 의무가 있습니다. 개정된 개인정보 보호법은 ‘자동화된 결정에 대한 설명요구권’을 보장하므로, AI의 결정이 자신에게 중대한 영향을 미쳤다고 판단될 경우, 어떤 정보가 어떻게 사용되었는지 설명을 요구할 수 있습니다. 또한, 기업들은 정보주체의 삭제 요구권을 보장하기 위한 절차를 마련해야 합니다.
• Q2: ‘가명정보’는 ‘익명정보’와 어떻게 다른가요?
  • A: 가장 큰 차이점은 ‘재식별 가능성’입니다. ‘가명정보’는 이름, 연락처 등 직접 식별자를 대체하거나 삭제하여 그 자체만으로는 개인을 알아볼 수 없지만, 별도로 보관된 추가 정보(키 파일 등)와 결합하면 다시 개인을 식별할 수 있습니다. 반면, ‘익명정보’는 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없도록 처리된 정보로, 한번 익명화되면 복원이 불가능합니다. 따라서 익명정보는 개인정보 보호법의 적용을 받지 않습니다.
• Q3: 마이데이터 서비스는 안전한가요?
  • A: 마이데이터 사업자는 금융당국의 엄격한 심사를 거쳐 허가를 받아야 하며, 높은 수준의 보안 및 정보보호 체계를 갖추어야 합니다. 데이터 전송은 표준화된 API(응용 프로그래밍 인터페이스) 방식을 통해 안전하게 이루어지며, 정보주체의 명확한 동의 없이는 데이터를 수집하거나 활용할 수 없습니다. 또한, 개인정보 보호법에 따라 강력한 규제와 감독을 받으므로 제도적으로 안전장치가 마련되어 있다고 할 수 있습니다.

참고문헌

¹ cookie-script.com, “AI and Data Protection”

² iapp.org, “Consumer perspectives of privacy and AI”

⁴ osano.com, “AI and Data Privacy”

⁸⁶ hai.stanford.edu, “Privacy in an AI Era: How Do We Protect Our Personal Information?”

⁷ dataguard.com, “The growing data privacy concerns with AI: What you need to know”

⁸⁷ ironmountain.com, “AI privacy: Safeguarding personal data in the era of artificial intelligence”

³⁰ copyrightalliance.org, “AI & Copyright in the Courts”

³¹ bakerlaw.com, “Case Tracker: Artificial Intelligence, Copyrights and Class Actions”

⁸⁸ patentpc.com, “The Biggest & Latest AI Patent Lawsuits: Key Cases & What the Stats Say”

³² mckoolsmith.com, “AI Litigation Tracker”

⁸⁹ prompt.security, “8 Real World Incidents Related to the Use of AI”

³³ thefashionlaw.com, “From ChatGPT to Getty v. Stability AI: A Running List of Key AI Lawsuits”

³ techgdpr.com, “AI and the GDPR: Understanding the foundations of compliance”

⁹⁰ exabeam.com, “The Intersection of GDPR and AI and 6 Compliance Best Practices”

⁹¹ crescendo.ai, “AI and GDPR: A Practical Guide to Compliance”

⁸ ico.org.uk, “Explaining decisions made with AI – Part 1: The basics of explaining AI”

⁹² europarl.europa.eu, “The impact of the General Data Protection Regulation (GDPR) on artificial intelligence”

⁹ visier.com, “What the GDPR Shows Us About the Future of AI Regulation”

⁹³ transcend.io, “CPRA vs CCPA: What’s the Difference?”

¹⁰ trustarc.com, “CCPA Guide: California Consumer Privacy Act”

¹¹ cookieyes.com, “CCPA vs CPRA: A Detailed Guide for 2024”

¹³ termly.io, “CCPA vs. CPRA: What’s the Difference?”

⁹⁴ en.wikipedia.org, “California Privacy Rights Act”

¹² oag.ca.gov, “California Consumer Privacy Act (CCPA)”

⁵ department.va.gov, “Fair Information Practice Principles (FIPPs)”

⁹⁵ en.wikipedia.org, “FTC fair information practice”

⁶ it.nc.gov, “The Importance of Fair Information Practice Principles (FIPPs)”

⁹⁶ tech-adv.com, “AI Cyber Attack Statistics for 2024”

⁹⁷ brightdefense.com, “Cybersecurity Statistics 2024”

⁹⁸ embroker.com, “Cyber Attack Statistics 2024”

⁹⁹ ibm.com, “2024 roundup: Top data breach stories and industry trends”

¹⁰⁰ itgovernanceusa.com, “Data Breaches and Cyber Attacks in 2024 in the USA”

¹⁰¹ varonis.com, “150+ Data Breach Statistics You Need to Know in 2024”

¹⁰² hinckleyallen.com, “The 2024 Year in Review: Cybersecurity, AI, and Privacy Developments”

¹⁰³ orca.security, “2024 State of AI Security Report”

⁶² autoriteitpersoonsgegevens.nl, “AI Risk Report Summer 2024: turbulent rise of AI calls for vigilance by everyone”

¹⁰⁴ mckinsey.com, “The state of AI in early 2024: Gen AI adoption spikes and starts to generate value”

¹⁰⁵ nist.gov, “AI Risk Management Framework”

¹⁰⁶ hai.stanford.edu, “Artificial Intelligence Index Report 2024”

²⁵ pipc.go.kr, “개인정보 보호법 전부개정안 국회 본회의 통과”

¹⁴ blog.pages.kr, “2024년 11월 개정된 개인정보 보호법 주요내용”

¹⁵ kimchang.com, “개인정보 보호법 시행령 개정안 입법예고”

¹⁷ skshieldus.com, “개인정보 보호법 시행령 3차 개정안”

¹⁶ thomsonreuters.co.kr, “2023 개인정보 보호법 전면개정 주요 내용 및 동향”

¹⁹ dailysecu.com, “개인정보 보호법 개정 주요내용(2023.9.15.시행)”

²⁰ kiri.or.kr, “금융분야 마이데이터 산업의 현황과 과제”

²² mydatacenter.or.kr, “마이데이터 서비스 적용사례”

¹⁰⁷ eiec.kdi.re.kr, “마이데이터 서비스의 국내 현황”

²¹ rd.kdb.co.kr, “마이데이터 서비스의 국내 현황 및 시사점”

²³ mydatacenter.or.kr, “마이데이터 종합포털”

²⁴ fsc.go.kr, “금융위, 마이데이터 2.0 추진 방안 발표”

³⁹ veatlaw.kr, “글로벌 AI 규제샌드박스 동향 보고”

¹⁸ samsungsds.com, “AI 시대의 개인정보 보호, 어디까지 왔을까?”

⁴⁴ pipc.go.kr, “개인정보 안심구역 제도 도입”

⁴⁵ lx.or.kr, “공간정보 안심구역”

⁴⁷ datalink.ex.co.kr, “개인정보 안심구역”

⁴⁶ kbig.kr, “데이터 안심구역”

⁴⁸ lx.or.kr, “공간정보 안심구역”

¹⁰⁸ ssis.or.kr, “개인정보 이노베이션 존”

¹⁰⁹ cloud.google.com, “Pseudonymization”

²⁸ imperva.com, “What is Pseudonymization?”

²⁹ onderzoektips.ugent.be, “Pseudonymisation of personal data”

²⁶ ico.org.uk, “Introduction to anonymisation”

²⁷ hhs.gov, “Guidance Regarding Methods for De-identification of Protected Health Information”

³⁵ ppc.land, “South Korea establishes AI privacy framework with new guidelines”

³⁶ paulweiss.com, “European Regulators Provide Guidance on the Use of Personal Data in Artificial Intelligence”

³⁸ taylorwessing.com, “Scraping and processing AI training data”

³⁷ kimchang.com, “PIPC Publishes Guideline on Processing Publicly Available Data for AI”

³⁴ pipc.go.kr, “PIPC Publishes a Guideline for Processing Publicly Available Personal Data”

¹¹⁰ edpb.europa.eu, “EDPB Opinion on AI models: GDPR principles support responsible AI”

⁵⁰ library.fiveable.me, “Explainable AI (XAI) Techniques and Frameworks”

⁵¹ en.wikipedia.org, “Explainable artificial intelligence”

⁵⁴ medium.com, “Explainable AI (XAI) Techniques: A Global and Local Perspective”

⁵³ ibm.com, “What is explainable AI (XAI)?”

⁵² edps.europa.eu, “EDPS TechDispatch on Explainable Artificial Intelligence”

¹¹¹ spotintelligence.com, “Explainable AI (XAI): Making AI Decisions Transparent”

⁶³ thedataprivacygroup.com, “The Role of a Chief Privacy Officer (CPO): A Strategic Overview”

⁶⁰ vision.protiviti.com, “CPO or No? Protiviti’s Tom Moore on the Evolution of the Privacy Role and its Uncertain Future”

⁵⁷ kimchang.com, “Proposed Amendment to the Enforcement Decree of the PIPA”

⁵⁸ dlapiperdataprotection.com, “South Korea – DLA Piper Global Data Protection”

¹¹² iapp.org, “Chief Privacy Officer Sample Job Description”

⁵⁹ pandectes.io, “An Overview of South Korea’s Personal Information Protection Act (PIPA)”

⁴⁰ thedatasphere.org, “Sandboxes for AI: A new report from the Datasphere Initiative”

⁴¹ itif.org, “From Fast Follower to Innovation Leader: Restructuring South Korea’s Technology Regulation”

⁶¹ youtube.com, “P-Talk: AI Regulatory Sandbox”

⁴⁹ ecipe.org, “Korea’s New AI Law: Not a Progeny of Brussels”

⁴³ fsc.go.kr, “FSC Promotes Fintech and Innovation in Financial Services”

⁴² documents1.worldbank.org, “Global Experiences from Regulatory Sandboxes”

¹¹³ dataguidance.com, “South Korea – DataGuidance”

¹¹⁴ kimchang.com, “PIPC’s 2023 Work Plan”

¹¹⁵ jsis.washington.edu, “South Korean Data Localization Shaped by Conflict”

¹¹⁶ pmc.ncbi.nlm.nih.gov, “Personal Information and Public Security: The Case of South Korea’s Response to the COVID-19 Pandemic”

⁵⁵ catchsecu.com, “2024년 공공기관 개인정보 보호수준 평가 결과”

⁵⁶ m.ddaily.co.kr, “공공기관 개인정보 보호수준 평가 시행”

⁶⁴ raconteur.net, “Homomorphic encryption: the holy grail of data security?”

⁶⁵ priv.gc.ca, “Homomorphic Encryption”

¹¹⁷ freecodecamp.org, “What is Homomorphic Encryption? Explained in Plain English”

⁶⁶ entrust.com, “Homomorphic Encryption Explained”

¹¹⁸ cs.toronto.edu, “Homomorphic Encryption”

⁶⁷ phoenixnap.com, “Homomorphic Encryption: Definition, Types, Use Cases”

⁷⁰ apple.com, “Apple Differential Privacy Overview”

⁶⁸ digitalprivacy.ieee.org, “What Is Differential Privacy?”

⁶⁹ en.wikipedia.org, “Differential privacy”

⁷³ youtube.com, “Differential Privacy, Simply Explained”

⁷¹ blog.seas.upenn.edu, “‘Differential Privacy,’ or How Apple Finds the Most Popular Emojis Without Reading Your Texts”

⁷² machinelearning.apple.com, “Understanding Aggregate Trends for Apple Intelligence Using Differential Privacy”

⁷⁸ statcan.gc.ca, “Secure Multiparty Computation”

⁷⁴ cointelegraph.com, “What is secure multi-party computation (SMPC)?”

⁷⁶ geeksforgeeks.org, “What is Secure Multiparty Computation?”

⁷⁷ dualitytech.com, “What is Multiparty Computation (MPC)?”

⁸⁵ hardenedvault.net, “Secure Multiparty Computation (SMPC)”

⁷⁵ en.wikipedia.org, “Secure multi-party computation”

⁸¹ support.google.com, “Learn how Gboard gets better”

⁸² arxiv.org, “Federated Learning: A Comprehensive Review of Methods and Applications”

⁷⁹ federated.withgoogle.com, “Federated Learning”

¹¹⁹ research.google, “Federated Learning for Mobile Keyboard Prediction”

⁸⁰ research.google, “Federated Learning: Collaborative Machine Learning without Centralized Training Data”

⁸³ reddit.com, “Questions regarding the practical implementation of Federated Learning (Google’s GBoard)”

⁸⁴ en.wikipedia.org, “Zero-knowledge proof”

¹²⁰ sandbox.or.kr, “ICT 규제 샌드박스 승인사례”

참고 자료

1. Artificial Intelligence (AI) and Data Protection – Cookie Script, 9월 5, 2025에 액세스, https://cookie-script.com/blog/ai-and-data-protection
2. Consumer Perspectives of Privacy and Artificial Intelligence – IAPP, 9월 5, 2025에 액세스, https://iapp.org/resources/article/consumer-perspectives-of-privacy-and-ai/
3. AI and the GDPR: Understanding the Foundations of Compliance – TechGDPR, 9월 5, 2025에 액세스, https://techgdpr.com/blog/ai-and-the-gdpr-understanding-the-foundations-of-compliance/
4. AI and Data Privacy: Exploring the Privacy Risks in the Era of Artificial Intelligence – Osano, 9월 5, 2025에 액세스, https://www.osano.com/articles/ai-and-data-privacy
5. Fair Information Practice Principles (FIPPs) – Privacy – U.S. Department of Veterans Affairs, 9월 5, 2025에 액세스, https://department.va.gov/privacy/fact-sheet/fair-information-practice-principles-fipps/
6. The Importance of Fair Information Practice Principles (FIPPs) | NCDIT – NC.gov, 9월 5, 2025에 액세스, https://it.nc.gov/blog/2025/01/23/importance-fair-information-practice-principles-fipps
7. The growing data privacy concerns with AI: What you need to know – DataGuard, 9월 5, 2025에 액세스, https://www.dataguard.com/blog/growing-data-privacy-concerns-ai/
8. The principles to follow | ICO, 9월 5, 2025에 액세스, https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/explaining-decisions-made-with-artificial-intelligence/part-1-the-basics-of-explaining-ai/the-principles-to-follow/
9. What the GDPR Shows Us About the Future of AI Regulation – Visier, 9월 5, 2025에 액세스, https://www.visier.com/blog/what-the-gdpr-shows-us-about-the-future-of-ai-regulation/
10. Your Guide to CCPA: California Consumer Privacy Act – TrustArc, 9월 5, 2025에 액세스, https://trustarc.com/resource/ccpa-guide/
11. CCPA vs CPRA: Key Differences and What They Mean for Your Business – CookieYes, 9월 5, 2025에 액세스, https://www.cookieyes.com/blog/ccpa-vs-cpra-guide/
12. California Consumer Privacy Act (CCPA) | State of California – Department of Justice – Office of the Attorney General, 9월 5, 2025에 액세스, https://oag.ca.gov/privacy/ccpa
13. CCPA vs. CPRA: What’s Different and What’s the Same? – Termly, 9월 5, 2025에 액세스, https://termly.io/resources/articles/ccpa-vs-cpra/
14. 2024년 11월 개인정보보호법 개정 주요내용 및 안전성 확보조치 기준, 9월 5, 2025에 액세스, https://blog.pages.kr/3187
15. 개인정보 보호법 시행령 개정안 입법예고 – Kim & Chang | 김·장 법률사무소, 9월 5, 2025에 액세스, https://www.kimchang.com/ko/insights/detail.kc?sch_section=4&idx=27380
16. 2023 개인정보 보호법 전면개정 주요 내용 및 동향, 9월 5, 2025에 액세스, https://www.thomsonreuters.co.kr/content/dam/ewp-m/documents/korea/ko/pdf/other/lawnb-report-jun-2023.pdf?utm_source=IHCF_newsletter
17. 2025 개인정보 보호법 3차 개정안 핵심 포인트 8가지 | SK쉴더스, 9월 5, 2025에 액세스, https://www.skshieldus.com/blog-security/security-trend-idx-48
18. AI 시대의 개인정보 보호 방향성에 대한 고찰 및 시사점 | 인사이트리포트 | 삼성SDS, 9월 5, 2025에 액세스, https://www.samsungsds.com/kr/insights/privacy-in-the-ai-era.html
19. 개인정보 보호법 개정 주요내용, 9월 5, 2025에 액세스, https://www.dailysecu.com/form/html/g-privacy/image/2025/isdp_2025_KEYNOTE-1.pdf
20. Ⅳ 국내 마이데이터 정책과 사업 추진 현황 – 보험연구원, 9월 5, 2025에 액세스, https://www.kiri.or.kr/pdf/%EC%97%B0%EA%B5%AC%EC%9E%90%EB%A3%8C/%EC%97%B0%EA%B5%AC%EB%B3%B4%EA%B3%A0%EC%84%9C/nre2021-04_4.pdf
21. 마이데이터 국내외 현황 및 주요 해외 사례, 9월 5, 2025에 액세스, https://rd.kdb.co.kr/fileView?groupId=EF14DBCA-422F-F945-B01B-466DD0BB0606&fileId=3BCE2829-FADF-41FF-725B-BD4583A58AC9
22. 서비스 적용사례 – 마이데이터 종합포털, 9월 5, 2025에 액세스, https://www.mydatacenter.or.kr:3441/myd/mydsvc/sub2.do
23. 마이데이터 종합포털, 9월 5, 2025에 액세스, https://www.mydatacenter.or.kr:3441/
24. [보도자료] 국민의 자산관리에 실질적 도움이 될 수 있는 마이데이터 2.0을 추진하겠습니다. – 금융위원회, 9월 5, 2025에 액세스, https://www.fsc.go.kr/no010101/82061
25. 「개인정보 보호법」 개정 – 보도자료 상세 페이지 | 개인정보보호위원회, 9월 5, 2025에 액세스, https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9145
26. About this guidance | ICO, 9월 5, 2025에 액세스, https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/anonymisation/about-this-guidance/
27. Methods for De-identification of PHI – HHS.gov, 9월 5, 2025에 액세스, https://www.hhs.gov/hipaa/for-professionals/special-topics/de-identification/index.html
28. What is Pseudonymization | Safeguarding Data with Fictional IDs – Imperva, 9월 5, 2025에 액세스, https://www.imperva.com/learn/data-security/pseudonymization/
29. GDPR: Pseudonymisation of personal data | (re)search tips – (onder)zoektips, 9월 5, 2025에 액세스, https://onderzoektips.ugent.be/en/tips/00002103/
30. AI and Copyright in 2023: In the Courts, 9월 5, 2025에 액세스, https://copyrightalliance.org/ai-copyright-courts/
31. Case Tracker: Artificial Intelligence, Copyrights and Class Actions | BakerHostetler, 9월 5, 2025에 액세스, https://www.bakerlaw.com/services/artificial-intelligence-ai/case-tracker-artificial-intelligence-copyrights-and-class-actions/
32. AI Infringement Case Updates: April 7, 2025 – McKool Smith, 9월 5, 2025에 액세스, https://www.mckoolsmith.com/newsroom-ailitigation-17
33. From ChatGPT to Getty v. Stability AI: A Running List of Key AI Lawsuits – The Fashion Law, 9월 5, 2025에 액세스, https://www.thefashionlaw.com/from-chatgpt-to-deepfake-creating-apps-a-running-list-of-key-ai-lawsuits/
34. Personal Information Protection Commission – PIPC, Korea, GPA, 2025 GPA, GPA Seoul, 2025 GPA Seoul, AI, Data, Privacy, GPA 서울, Global Privacy Assembly, 9월 5, 2025에 액세스, https://www.pipc.go.kr/eng/user/ltn/new/noticeDetail.do?bbsId=BBSMSTR_000000000001&nttId=2591
35. South Korea establishes AI privacy framework with new guidelines – PPC Land, 9월 5, 2025에 액세스, https://ppc.land/south-korea-establishes-ai-privacy-framework-with-new-guidelines/
36. European Regulators Provide Guidance on the Use of Personal Data in Artificial Intelligence, 9월 5, 2025에 액세스, https://www.paulweiss.com/insights/client-memos/european-regulators-provide-guidance-on-the-use-of-personal-data-in-artificial-intelligence
37. The PIPC Releases its “Guideline on Processing Publicly Available Data for AI Development and Services” – Kim & Chang – 김·장 법률사무소, 9월 5, 2025에 액세스, https://www.kimchang.com/en/insights/detail.kc?sch_section=4&idx=30018
38. Scraping and processing AI training data – key legal challenges under data protection laws, 9월 5, 2025에 액세스, https://www.taylorwessing.com/en/insights-and-events/insights/2025/02/scraping-and-processing-ai-training-data
39. 글로벌 AI 규제샌드박스 동향 및 시사점 – 법무법인 비트, 9월 5, 2025에 액세스, https://www.veatlaw.kr/uploads/V.A.R%202025%EB%85%84%205%EC%9B%94%20-%20%EA%B8%80%EB%A1%9C%EB%B2%8C%20AI%20%EA%B7%9C%EC%A0%9C%EC%83%8C%EB%93%9C%EB%B0%95%EC%8A%A4%20%EB%8F%99%ED%96%A5%20%EB%B3%B4%EA%B3%A0.pdf
40. Sandboxes for AI: Tools for a new frontier – The Datasphere Initiative, 9월 5, 2025에 액세스, https://www.thedatasphere.org/wp-content/uploads/2025/02/Report-Sandboxes-for-AI-2025.pdf
41. From Fast Follower to Innovation Leader: Restructuring South Korea’s Technology Regulation | ITIF, 9월 5, 2025에 액세스, https://itif.org/publications/2025/03/03/from-fast-follower-to-innovation-leader-restructuring-south-koreas-technology-regulation/
42. Global Experiences from Regulatory Sandboxes – World Bank Documents and Reports, 9월 5, 2025에 액세스, https://documents1.worldbank.org/curated/en/912001605241080935/pdf/Global-Experiences-from-Regulatory-Sandboxes.pdf
43. Innovation – Press Releases – Financial Services Commission, 9월 5, 2025에 액세스, https://www.fsc.go.kr/eng/pr010101?srchCtgry=2
44. 보도자료 상세 페이지 | 개인정보보호위원회, 9월 5, 2025에 액세스, https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10394
45. lx.or.kr, 9월 5, 2025에 액세스, https://lx.or.kr/spaceSecurity/sub_03.html#:~:text=%EC%95%88%EC%8B%AC%EA%B5%AC%EC%97%AD%EC%9D%B4%EB%9E%80%20%EB%8D%B0%EC%9D%B4%ED%84%B0%EC%9D%98,%EC%9E%88%EB%8A%94%20%EB%8D%B0%EC%9D%B4%ED%84%B0%20%EB%B6%84%EC%84%9D%20%EA%B5%AC%EC%97%AD%EC%9E%85%EB%8B%88%EB%8B%A4.&text=%EB%8D%B0%EC%9D%B4%ED%84%B0%20%EC%A0%9C%EA%B3%B5%EA%B8%B0%EA%B4%80%20%EB%8B%B4%EB%8B%B9%EC%9E%90%EC%99%80,%EB%B0%8F%20%EB%B0%98%EC%B6%9C%EC%9D%B4%20%EA%B0%80%EB%8A%A5%ED%95%A9%EB%8B%88%EB%8B%A4.
46. 데이터안심구역 소개 – K-ICT 빅데이터 센터, 9월 5, 2025에 액세스, https://kbig.kr/portal/kbig/safezone.page
47. 개인정보 안심구역 소개 – 가명정보 결합 시스템 – 한국도로공사, 9월 5, 2025에 액세스, https://datalink.ex.co.kr/howto/private_zone
48. 공간정보 안심구역 – LX 한국국토정보공사, 9월 5, 2025에 액세스, https://lx.or.kr/spaceSecurity/sub_03.html
49. Korea’s New AI Law: Not a Progeny of Brussels |, 9월 5, 2025에 액세스, https://ecipe.org/blog/koreas-new-ai-law-not-brussels-progeny/
50. Explainable AI (XAI) techniques and frameworks | AI Ethics Class Notes – Fiveable, 9월 5, 2025에 액세스, https://library.fiveable.me/artificial-intelligence-and-ethics/unit-5/explainable-ai-xai-techniques-frameworks/study-guide/uEcT09uGwA2QQlLR
51. Explainable artificial intelligence – Wikipedia, 9월 5, 2025에 액세스, https://en.wikipedia.org/wiki/Explainable_artificial_intelligence
52. EXPLAINABLE ARTIFICIAL INTELLIGENCE – European Data Protection Supervisor, 9월 5, 2025에 액세스, https://www.edps.europa.eu/system/files/2023-11/23-11-16_techdispatch_xai_en.pdf
53. What is Explainable AI (XAI)? – IBM, 9월 5, 2025에 액세스, https://www.ibm.com/think/topics/explainable-ai
54. Explainable AI (XAI) Techniques: A Global and Local Perspective – Medium, 9월 5, 2025에 액세스, https://medium.com/@nlphci.phd/explainable-ai-xai-techniques-a-global-and-local-perspective-4fbe93051e6a
55. 2024년 공공기관 개인정보 보호수준 평가…일부 기관 낙제점? – 캐치시큐, 9월 5, 2025에 액세스, https://www.catchsecu.com/archives/23690
56. `공공기관 개인정보 보호수준 평가 계획` 공개 – 디지털데일리, 9월 5, 2025에 액세스, https://m.ddaily.co.kr/page/view/2025060411043888685
57. [Legislative Notice] Second Amendment to Personal Information Protection Act Enforcement Decree – Kim & Chang, 9월 5, 2025에 액세스, https://www.kimchang.com/en/insights/detail.kc?sch_section=4&idx=28414
58. Data protection laws in South Korea, 9월 5, 2025에 액세스, https://www.dlapiperdataprotection.com/index.html?t=law&c=KR
59. An Overview of South Korea’s Personal Information Protection Act PIPA – Pandectes, 9월 5, 2025에 액세스, https://pandectes.io/blog/an-overview-of-south-koreas-personal-information-protection-act-pipa/
60. CPO or no? Protiviti’s Tom Moore on the evolution of the privacy role and its uncertain future, 9월 5, 2025에 액세스, https://vision.protiviti.com/insight/cpo-or-no-protivitis-tom-moore-evolution-privacy-role-and-its-uncertain-future
61. AI Regulatory Sandboxes – YouTube, 9월 5, 2025에 액세스, https://www.youtube.com/watch?v=zJm2Mk11pZk
62. AI Risk Report Summer 2024: turbulent rise of AI calls for vigilance by everyone, 9월 5, 2025에 액세스, https://www.autoriteitpersoonsgegevens.nl/en/current/ai-risk-report-summer-2024-turbulent-rise-of-ai-calls-for-vigilance-by-everyone
63. The Role of a Chief Privacy Officer (CPO): A Strategic Overview, 9월 5, 2025에 액세스, https://thedataprivacygroup.com/blog/the-role-of-a-chief-privacy-officer-cpo-a-strategic-overview/
64. Is homomorphic encryption the Holy Grail of data security? – Raconteur, 9월 5, 2025에 액세스, https://www.raconteur.net/risk-regulation/homomorphic-encryption-data-security
65. Privacy Tech-Know blog: Computing while blindfolded – Lifting the veil on homomorphic encryption, 9월 5, 2025에 액세스, https://www.priv.gc.ca/en/blog/20231024/
66. What Is Homomorphic Encryption? Definition – Entrust, 9월 5, 2025에 액세스, https://www.entrust.com/resources/learn/homomorphic-encryption-explained
67. Homomorphic Encryption: Definition, Types, Use Cases – phoenixNAP, 9월 5, 2025에 액세스, https://phoenixnap.com/kb/homomorphic-encryption
68. What Is Differential Privacy?, 9월 5, 2025에 액세스, https://digitalprivacy.ieee.org/publications/topics/what-is-differential-privacy/
69. Differential privacy – Wikipedia, 9월 5, 2025에 액세스, https://en.wikipedia.org/wiki/Differential_privacy
70. Differential Privacy – Apple, 9월 5, 2025에 액세스, https://www.apple.com/privacy/docs/Differential_Privacy_Overview.pdf
71. ‘Differential Privacy,’ or How Apple Finds the Most Popular Emojis Without Reading Your Texts – Penn Engineering Blog, 9월 5, 2025에 액세스, https://blog.seas.upenn.edu/differential-privacy-or-how-apple-finds-the-most-popular-emojis-without-reading-your-texts-7e9aad8a3ece/
72. Understanding Aggregate Trends for Apple Intelligence Using Differential Privacy, 9월 5, 2025에 액세스, https://machinelearning.apple.com/research/differential-privacy-aggregate-trends
73. Differential Privacy – Simply Explained – YouTube, 9월 5, 2025에 액세스, https://www.youtube.com/watch?v=gI0wk1CXlsQ
74. What is secure multi-party computation (SMPC)? – Cointelegraph, 9월 5, 2025에 액세스, https://cointelegraph.com/learn/articles/secure-multi-party-computation-smpc
75. Secure multi-party computation – Wikipedia, 9월 5, 2025에 액세스, https://en.wikipedia.org/wiki/Secure_multi-party_computation
76. What is Secure Multiparty Computation? – GeeksforGeeks, 9월 5, 2025에 액세스, https://www.geeksforgeeks.org/blogs/what-is-secure-multiparty-computation/
77. Secure Multiparty Computation | MPC Cryptography – Duality Technologies, 9월 5, 2025에 액세스, https://dualitytech.com/glossary/multiparty-computation/
78. Introduction to Privacy Enhancing Cryptographic Techniques: Secure Multiparty Computation, 9월 5, 2025에 액세스, https://www.statcan.gc.ca/en/data-science/network/multiparty-computation
79. Federated Learning – Google, 9월 5, 2025에 액세스, https://federated.withgoogle.com/
80. Federated Learning: Collaborative Machine Learning without Centralized Training Data, 9월 5, 2025에 액세스, https://research.google/blog/federated-learning-collaborative-machine-learning-without-centralized-training-data/
81. Learn how Gboard gets better – Google Help, 9월 5, 2025에 액세스, https://support.google.com/gboard/answer/12373137?hl=en
82. Principles and Components of Federated Learning Architectures – arXiv, 9월 5, 2025에 액세스, https://arxiv.org/html/2502.05273v2
83. Questions regarding the practical implementation of federated learning – example Google keyboard : r/MLQuestions – Reddit, 9월 5, 2025에 액세스, https://www.reddit.com/r/MLQuestions/comments/m0e1iv/questions_regarding_the_practical_implementation/
84. Zero-knowledge proof – Wikipedia, 9월 5, 2025에 액세스, https://en.wikipedia.org/wiki/Zero-knowledge_proof
85. Demystifiying SMPC (Secure multi-party computation) and its threat model – HardenedVault, 9월 5, 2025에 액세스, https://hardenedvault.net/blog/2023-02-02-smpc/
86. Privacy in an AI Era: How Do We Protect Our Personal Information? | Stanford HAI, 9월 5, 2025에 액세스, https://hai.stanford.edu/news/privacy-ai-era-how-do-we-protect-our-personal-information
87. AI privacy: Safeguarding personal data in the era of artificial intelligence – Iron Mountain, 9월 5, 2025에 액세스, https://www.ironmountain.com/resources/blogs-and-articles/a/ai-privacy-safeguarding-personal-data-in-the-era-of-artificial-intelligence
88. The Biggest Latest AI Patent Lawsuits: Key Cases & What the Stats Say | PatentPC, 9월 5, 2025에 액세스, https://patentpc.com/blog/the-biggest-latest-ai-patent-lawsuits-key-cases-what-the-stats-say
89. 8 Real World Incidents Related to AI – Prompt Security, 9월 5, 2025에 액세스, https://www.prompt.security/blog/8-real-world-incidents-related-to-ai
90. The Intersection of GDPR and AI and 6 Compliance Best Practices | Exabeam, 9월 5, 2025에 액세스, https://www.exabeam.com/explainers/gdpr-compliance/the-intersection-of-gdpr-and-ai-and-6-compliance-best-practices/
91. AI and GDPR: GDPR Rules for Companies To Implement AI – Crescendo.ai, 9월 5, 2025에 액세스, https://www.crescendo.ai/blog/ai-and-gdpr
92. The impact of the General Data Protection Regulation (GDPR) on artificial intelligence – European Parliament, 9월 5, 2025에 액세스, https://www.europarl.europa.eu/RegData/etudes/STUD/2020/641530/EPRS_STU(2020)641530_EN.pdf
93. CPRA vs CCPA: Unpacking the Differences [Updated 2025], 9월 5, 2025에 액세스, https://transcend.io/blog/cpra-vs-ccpa
94. California Privacy Rights Act – Wikipedia, 9월 5, 2025에 액세스, https://en.wikipedia.org/wiki/California_Privacy_Rights_Act
95. FTC fair information practice – Wikipedia, 9월 5, 2025에 액세스, https://en.wikipedia.org/wiki/FTC_fair_information_practice
96. AI Cyber Attack Statistics 2025: Phishing, Deepfakes & Cybercrime Trends – Tech Advisors, 9월 5, 2025에 액세스, https://tech-adv.com/blog/ai-cyber-attack-statistics/
97. 195 Cybersecurity Statistics (Updated June-2025) – Bright Defense, 9월 5, 2025에 액세스, https://www.brightdefense.com/resources/cybersecurity-statistics/
98. Cyberattack statistics 2025 – Embroker, 9월 5, 2025에 액세스, https://www.embroker.com/blog/cyber-attack-statistics/
99. 2024 roundup: Top data breach stories and industry trends – IBM, 9월 5, 2025에 액세스, https://www.ibm.com/think/insights/2024-roundup-top-data-breach-stories-and-industry-trends
100. Data Breaches and Cyber Attacks – USA Report 2024 – IT Governance USA Blog, 9월 5, 2025에 액세스, https://www.itgovernanceusa.com/blog/data-breaches-and-cyber-attacks-in-2024-in-the-usa
101. 82 Must-Know Data Breach Statistics [updated 2024] – Varonis, 9월 5, 2025에 액세스, https://www.varonis.com/blog/data-breach-statistics
102. The 2024 Year in Review: Cybersecurity, AI, and Privacy Developments – Hinckley Allen, 9월 5, 2025에 액세스, https://www.hinckleyallen.com/publications/the-2024-year-in-review-cybersecurity-ai-and-privacy-developments/
103. 2024 State of AI Security Report, 9월 5, 2025에 액세스, https://orca.security/lp/2024-state-of-ai-security-report/
104. The state of AI: How organizations are rewiring to capture value – McKinsey, 9월 5, 2025에 액세스, https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai
105. AI Risk Management Framework | NIST, 9월 5, 2025에 액세스, https://www.nist.gov/itl/ai-risk-management-framework
106. The 2025 AI Index Report | Stanford HAI, 9월 5, 2025에 액세스, https://hai.stanford.edu/ai-index/2025-ai-index-report
107. 마이데이터 서비스의 국내 현황 | 국내연구자료 | KDI 경제교육·정보센터, 9월 5, 2025에 액세스, https://eiec.kdi.re.kr/policy/domesticView.do?ac=0000165256
108. 개인정보 이노베이션 존 소개 – 한국사회보장정보원, 9월 5, 2025에 액세스, https://www.ssis.or.kr/lay1/S1T747C1972/sublink.do
109. Pseudonymization | Sensitive Data Protection Documentation – Google Cloud, 9월 5, 2025에 액세스, https://cloud.google.com/sensitive-data-protection/docs/pseudonymization
110. EDPB opinion on AI models: GDPR principles support responsible AI – European Union, 9월 5, 2025에 액세스, https://www.edpb.europa.eu/news/news/2024/edpb-opinion-ai-models-gdpr-principles-support-responsible-ai_en
111. Explainable AI Made Simple: Techniques, Tools & How To Tutorials – Spot Intelligence, 9월 5, 2025에 액세스, https://spotintelligence.com/2024/01/15/explainable-ai/
112. Chief Privacy Officer: Sample Job Description – IAPP, 9월 5, 2025에 액세스, https://iapp.org/resources/article/chief-privacy-officer-sample-job-description/
113. South Korea | Jurisdictions – DataGuidance, 9월 5, 2025에 액세스, https://www.dataguidance.com/jurisdictions/south-korea
114. Personal Information Protection Commission Announces its Plans for 2023 – Kim & Chang, 9월 5, 2025에 액세스, https://www.kimchang.com/en/insights/detail.kc?sch_section=4&idx=26646
115. South Korean Data Localization: Shaped by Conflict, 9월 5, 2025에 액세스, https://jsis.washington.edu/news/south-korean-data-localization-shaped-conflict/
116. Balancing Personal Privacy and Public Safety During COVID-19: The Case of South Korea, 9월 5, 2025에 액세스, https://pmc.ncbi.nlm.nih.gov/articles/PMC8545276/
117. How Homomorphic Encryption Works – Explained in Plain English – freeCodeCamp, 9월 5, 2025에 액세스, https://www.freecodecamp.org/news/homomorphic-encryption-in-plain-english/
118. Homomorphic Encryption – What it is and why you should care – Department of Computer Science, 9월 5, 2025에 액세스, http://www.cs.toronto.edu/~arnold/427/19s/427_19S/indepth/homomorphicEncryption/he_presentation.pdf
119. Federated Learning for Mobile Keyboard Prediction – Google Research, 9월 5, 2025에 액세스, https://research.google/pubs/federated-learning-for-mobile-keyboard-prediction-2/
120. ICT 규제샌드박스, 9월 5, 2025에 액세스, https://www.sandbox.or.kr/