한국 IT 규제 업데이트 2025

왜 개발자가 규제를 알아야 하냐면

"규제는 법무팀이 알아서 하는 거 아닌가?" 나도 그렇게 생각했다. 근데 올해 초에 개인정보 처리 방식을 바꾸라는 요청이 갑자기 내려왔다. 법이 바뀌어서. 이미 배포된 서비스의 데이터 수집 로직을 2주 안에 수정해야 했다. (급하게 하다가 프로덕션 장애를 낸 건 비밀이다.)

그때부터 IT 규제를 주시하기 시작했다. 미리 알았으면 여유 있게 대응했을 텐데.

개인정보보호법 개정: 자동화된 의사결정에 대한 설명 의무

올해 가장 큰 변화. AI나 알고리즘으로 자동화된 의사결정을 할 때, 그 결정에 대해 사용자에게 설명해야 한다. "왜 이 광고가 나에게 표시되었는지", "왜 이 대출이 거절되었는지" 같은 것.

개발자 입장에서 이게 뭘 의미하냐면, 추천 시스템이나 자동 심사 시스템에 "설명 기능"을 넣어야 한다. 블랙박스 모델은 안 된다. 설명 가능한 AI(XAI)가 법적 요구사항이 된 셈이다.

우리 팀에서는 상품 추천에 간단한 협업 필터링을 쓰고 있는데, "이 상품을 추천한 이유" 텍스트를 생성하는 기능을 추가해야 했다. 예상 공수 2주. 실제로는 3주 반 걸렸다. (예상 공수는 항상 1.5배를 곱해야 한다.)

플랫폼 공정화법: 인앱 결제 강제 금지

앱스토어에서 자체 결제 시스템 사용을 허용해야 한다는 법. 구글과 애플이 30% 수수료를 부과하던 것에 대한 규제다.

개발자 입장에서는 결제 시스템이 복잡해진다. 기존에는 인앱 결제 하나만 구현하면 됐는데, 이제 자체 결제를 선택지로 제공해야 할 수도 있다. PG 연동, 정산 시스템, 환불 처리를 직접 구현해야 한다. 자유가 늘었지만 일도 늘었다.

사실 대부분의 작은 앱들은 그냥 인앱 결제를 계속 쓸 거다. 자체 결제 시스템을 구축하는 비용이 수수료 절감보다 클 수 있으니까. 이 법의 혜택은 주로 대형 앱에 집중될 것 같다.

AI 기본법: 고위험 AI에 대한 규제 프레임워크

올해 국회를 통과한 AI 기본법. 고위험 AI(의료, 금융, 채용 등에 사용되는 AI)에 대해 사전 영향 평가, 투명성 보고, 사후 모니터링을 의무화한다.

근데 세부 시행령이 아직 안 나왔다. "고위험"의 정확한 기준이 뭔지, "투명성 보고"를 어떤 형식으로 해야 하는지. 법은 있는데 구체적인 가이드라인이 없는 상태. 기업들이 혼란스러워하고 있다.

내가 만드는 서비스에 AI 추천이 포함되어 있는데, 이게 "고위험"에 해당하는지 안 하는지 아직 모르겠다. 법무팀도 모르겠다고 한다. (법이 있는데 아무도 정확히 모르는 상황이 제일 곤란하다.)

클라우드 보안 인증: 공공기관 필수 요건

공공기관에 클라우드 서비스를 제공하려면 CSAP(클라우드 보안 인증 프로그램) 인증이 필수가 됐다. 이건 개발자한테 직접 영향이 크다. 보안 로깅, 접근 제어, 데이터 암호화 요건이 꽤 구체적이다.

우리 회사가 공공기관 프로젝트를 따내려고 하는데, CSAP 요건을 맞추는 데 개발 리소스가 2인월 이상 필요하다는 추산이 나왔다. 기능 개발이 아니라 보안 요건 맞추기에 2인월. 좀 아깝지만 어쩔 수 없다.

규제가 좋고 나쁘고를 떠나서

개발자로서 느끼는 건, 규제가 기술 결정에 점점 더 큰 영향을 미친다는 것. 아키텍처를 설계할 때 "성능, 확장성, 유지보수성" 외에 "규제 대응 용이성"을 고려해야 하는 시대가 됐다.

내년에도 규제는 계속 늘어날 거다. 미리미리 체크하는 수밖에 없다. 2주 안에 급하게 고치는 것보다 6개월 전에 미리 준비하는 게 100배 낫다는 걸 올해 뼈저리게 느꼈다.