인공지능(AI) 시대가 확산되면서 생활의 편리함이 커지고 있다. 하지만 AI로 인해 새로운 리스크도 생겼다. 문제는 이런 리스크 발생시 대처할 수 있는 법·제도가 있느냐 여부다. 최근 국회가 나섰다. 국회 과학기술정보방송통신위원회는 '인공지능(AI) 시대의 법제정비 방안'이라는 정책연구용역보고서를 받았다. 향후 법률 제정의 기초가 될 전망이다. 이 보고서 내용을 토대로 AI 시대에 나타날 수 있는 주요 이슈와 고민점을 살펴봤다. [편집자]
개인화된 추천서비스로 성공한 온라인동영상서비스(OTT) 넷플릭스. 넷플릭스가 정교한 추천서비스를 만든 배경에는 인공지능(AI)을 활용한 빅데이터 분석이 한 몫 했다.
2006년 넷플릭스는 상금 100만달러를 걸고 데이터 분석 경진대회를 개최했다. 경진대회 참가자들에게는 48만189명의 고객으로부터 얻은 1만7770개 영화의 평점이 주어졌다.
이를 토대로 경진대회 참가자들이 개발한 평점 예측 알고리즘을 참가자들에게 주어지지 않은 영화의 평점자료를 이용, 예측이 얼마나 정확한지를 평가했다. 이 같은 경진대회는 입소문이 나면서 전세계 150여 개국에서 2만여개 팀이 참여하는 등 성공적이었다.
1차 경진대회의 성과에 고무된 넷플릭스는 2차 경진대회도 준비했다. 이때는 개인식별이 쉬운 사용자들의 연령, 성별, 우편번호, 이전에 본 영화목록 등 정보를 추가로 제공했다.
문제는 여기서 발생했다. 추가 제공된 개인정보로 인해 자신이 성소수자임이 알려진 사용자가 결국 넷플릭스를 상대로 소송을 제기했고, 2차 경진대회는 최소됐다.
미국 한 대형할인매장은 수 년간 고객의 상품 구매패턴을 분석해 타겟 마케팅을 실시했다. 특히 여성의 구매패턴을 분석해 임신여부를 예측하는 알고리즘을 개발, 임신했을 것으로 추정되는 고객에게 기저귀나 분유와 같은 신생아 용품을 집중적으로 광고했다.
하지만 어느 여고생을 임신부로 예측하고 신생아 용품을 광고했다가 학생 부모에게 항의를 받아 사회문제가 된적 있다. 물론 나중에 확인된 사실이지만 그 학생은 실제로 임신을 했었다고 한다.
이처럼 AI를 고도화 시키려면 빅데이터를 분석하는 일이 중요하다. 하지만 빅데이터를 분석하는 과정에서 수 많은 개인정보가 노출될 수 있다.
그렇다고 데이터 분석을 중단시킬 순 없으니, 결국 개인정보를 적절히 보호하면서 어떻게 데이터를 다루느냐가 관건인 셈이다.
◇ AI 빅데이터 분석시 선거조작도 가능
범죄 영화를 보면 자주 등장하는 단어가 있다. 프로파일링(profiling)이다. 자료수집이 원래 의미인데, 수사용어로는 범죄유형분석법을 뜻한다. 즉 범죄 현장을 분석해 범인 습관, 나이, 성격, 직업, 범행 수법을 추론한 뒤 이를 바탕으로 범인을 찾아내는 수사 기법이다.
범죄자는 아니지만 일반인을 대상으로 한 AI 프로파일링도 가능하다.
인터넷 검색회사나 커머스회사가 소비자의 검색이력이나 구매이력을 통해 최근 관심사항, 취미, 기호를 알아내고 타겟 광고를 하는 일은 보편적이다. 신용카드사도 회원의 구매이력이나 속성정보에 기반해 쿠폰을 발송하기도 한다.
최근에는 직원 채용시 SNS 등 인터넷 상의 각종 정보를 모아 평가하는 일까지 시행되고 있다.
지난 2016년 미국 대통령 선거와 EU 탈퇴에 관한 영국의 국민투표 당시 빅데이터 분석기업의 사례가 대표적이다. 이들은 AI를 통해 유권자의 SNS 정보를 모으고 개별 행동양식을 파악했다.
만약 데이터 브로커가 이 정보를 샀다면 어떤 결과를 예측할 수 있을까. 개별 행동양식을 알고리즘으로 분석하면 누구를·어느정당을 지지하는지 알 수 있고, 자신에게 유리한 특정인·정당 지지자들에게만 페이스북 검색시 투표장소·투표를 마친 친구사진·과거 자신의 투표정보 등을 알려주면 투표율을 높일 수 있다.
즉 특정 정당을 지지할 것으로 예측된 사람에게만 이러한 정보를 표시되도록 하면 선거결과 조작도 가능하다는 얘기다.
◇ 공개된 SNS 글 이라도 프로파일링 땐 동의 받아야
정책연구용역보고서 '인공지능(AI) 시대의 법제정비 방안'에서는 "AI가 인터넷상에서 개인정보를 수집해 프로파일링 할 때 플랫폼이나 신용카드사로부터 검색·구매이력 등 정보를 취득하는 경우는 물론이고 SNS 등에 공개된 정보를 취득하는 때에도 개인정보에 해당하면 원칙적으로 이용목적을 통지하거나 공개해야 한다"고 강조했다.
특정한 개인을 식별할 수 있는 정보라면 일반적으로 타인에게 알려져 있지 않은 민감한 정보인지 여부와 상관없이 개인정보보호법상의 개인정보에 해당되기 때문이다.
또 취득한 개인정보가 데이터베이스화되어 개인데이터가 되면 안전관리조치를 취해야할 의무가 생기며, 원칙적으로 개인의 동의 없이 제3자에게 제공할 수도 없다.
개인정보보호법에서는 AI가 프로파일링을 위해 인터넷에서 개인정보를 수집하는 경우라도 본인 동의없이 민감정보를 취득하는 것은 금지하고 있다. 여기서 민감정보란 사상·신념, 노동조합ㆍ정당 가입 및 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보뿐만 아니라 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 총칭한다.
즉 SNS 등에 공개된 정보라 하더라도 개인정보를 취득하는 경우에는 그 이용목적을 통지하거나 공개할 필요가 있다.
이와함께 AI가 직접적으로 민감정보를 취득하지 않더라도 인터넷에서 수집한 정보에서 민감정보를 추론하거나 생성하는 것도 문제될 수 있다.
예를 들어 종교 관련 서적을 구입한 이력이나 약품을 구입한 이력 등에서 신념이나 건강에 관한 정보를 추론할 수 있기 때문이다.
◇ 개인특성 파악해 한쪽 측면만 보여주는 것도 위험
한 선거운동본부가 개인의 SNS나 블로그 등의 발언·행동을 분석, 선거에서의 투표행동을 추측하고 선거결과를 예측할 수 있게 되거나 그것을 기반으로 유권자에 대한 효과적인 선거운동을 한다고 가정하자.
또는 우울증이 있는 여성이 화장품을 쉽게 구입한다는 데이터를 통해 일부러 우울증 증상이 있는 여성고객에게 화장품 광고를 노출시킨다고 가정하다.
이는 자신과 다른 견해를 가진 사람과의 접촉을 줄이게 만들어 상호 다른 의견들이 부딪히면서 유지되는 민주주의 시스템을 교란시킬 수 있다. 또 유약한 정신상태를 기회로 상품구입을 강력하게 유도하는 것은 일종의 범죄다.
정책연구용역보고서 '인공지능(AI) 시대의 법제정비 방안'에서는 이 같은 범주를 프라이버시권(사생활의 보호권) 침해로 보고 있다.
자신에 관한 정보를 통제할 수 있는 권리, 즉 자신에 관한 정보를 부당하게 취득·수집 당하지 않을 측면과 자기에 관한 정보를 열람·정정·삭제 청구할 수 있는 권리 침해라는 얘기다.
◇ 정부 운영 '데이터거래소' 만들자
AI 활성화를 위한 빅데이터 분석이 필요하지만 개인정보보호 역시 필요한 만큼 정부가 컨트롤하는 '데이터거래소'(가칭)를 만들자는 주장이 제기되고 있다.
데이터거래소는 여러 기관의 데이터 통합 시 개인정보보호를 위한 기술적 지원 및 인증을 수행한다. 즉 이곳에서 승인된 통합 데이터를 분석하는 경우 개인정보유출로 인한 법적 위험을 일부 감면해주자는 아이디어다.
한편에선 정부가 모든 데이터를 컨트롤 할수 없는 만큼 민간영역의 데이터 거래를 활성화 시켜야 한다는 주장도 나온다.
외국처럼 다양한 데이터 거래 전문기업(DUN & BRADSTREET, INFORMCHIMPS, AZURE MARKETPLACE, BRILIG, KAGGLE, DATAMARKET.COM 등)이나 개인으로부터 데이터를 구매 가공해 이를 판매하는 데이터브로커 회사(엑시옴, 에퀴팩스, 렉시스넥시스)를 육성하자는 얘기다. 물론 민간 중심의 데이터 거래를 활성화하기 위한 법적 책임 장치도 만들어야 한다.
정책연구용역보고서 '인공지능(AI) 시대의 법제정비 방안'에서는 "당장 시급하게 해야 할 일은 AI의 개발·이용 단계에서 개발자·이용자가 믿고 기댈 수 있는 가이드라인을 작성하는 것"이라면서 "이를 위해서는 먼저 AI 문제를 바라보는 윤리규칙에 대한 사회적 합의를 형성하는 작업이다"고 밝혔다. [시리즈 끝]