이용자 정보 유출 논란을 일으킨 인공지능(AI) 챗봇 서비스 '이루다' 사태가 약 넉달만에 '개인정보보호법 위반' 결정으로 일단락됐습니다.
개인정보보호 정책을 총괄하는 중앙행정기관인 개인정보보호위원회(개인정보위)는 28일 이루다의 개발사 스캐터랩에 총 1억원의 과징금·과태료 '철퇴'를 내렸는데요.
스캐터랩에 대한 조사를 벌인 결과 이 회사가 약 60만명에 달하는 이용자의 카카오톡 대화문장 94억여건을 무단으로 이루다에 학습시킨 것을 확인했기 때문이죠.
개인정보위는 이루다의 개발 및 서비스 과정에서 이용자의 동의 없이 개인정보를 수집했다고 보고 이 같은 결론을 내렸습니다. 다만 형사고발 조치는 하지 않았습니다.
관련 업계에선 이번 사태를 계기로 'AI 시대 올바른 개인정보 수집이란 무엇인가'에 대해 논란이 계속될 것으로 보고 있습니다. 이 과정에서 개인정보를 제대로 보호하면서도 AI 산업을 발전시킬수 있는 방안은 무엇인지에 대한 근본적인 성찰이 필요하다는 목소리가 나옵니다.
피해자에서 가해자로 돌변한 이루다
원래 이루다 논란의 출발은 개인정보 유출건과는 무관했습니다. 몇몇 이용자들이 이루다를 성희롱하면서 문제가 불거졌습니다.
이루다는 사용자와 채팅을 하면서 대화 방법이 고도화하는 AI 챗봇입니다. 이용자가 성희롱 문장을 학습시키면 특정 상황에서 해당 문장을 그대로 따라 하게 됩니다.
이 때문에 AI를 성적 대상화하는 것 아니냐는 지적이 이어졌습니다. 사람이 아닌 소프트웨어 프로그램인 AI라도 성희롱 피해자로 전락하는 것을 막아야 한다는 문제의식에서 비롯됐죠.
하지만 이루다 사태는 전혀 예측하지 못한 방향으로 전개됐습니다. 이루다가 자체 학습 기반인 스캐터랩의 '연애의 과학', '텍스트앳' 앱에서 수집한 연인 간의 민감한 대화 등을 그대로 발설하는 것이 알려진 것이죠.
여러 논란을 거듭하다 스캐터랩은 올 1월 11일 이루다 서비스를 잠정 중단하기로 결정합니다.
이후 개인정보위는 이루다에서 실제 개인정보 유출 사례가 있는지 조사에 착수했습니다. 스캐터랩은 이루다 서비스 근간이 되는 데이터베이스·딥러닝 대화 모델 폐기를 결정했지만, 논란은 쉽게 사그라들지 않았습니다.
개인정보 유출 피해자 254명은 스캐터랩에 총 2억원의 손해배상청구소송을 지난달 말 제기하기도 했으니까요.
첫 AI 기업 정보수집 제재 사례
개인정보위의 조사 결과 이루다의 개인정보 유출 의혹은 사실로 밝혀졌습니다. 개인정보위는 이날 서울 종로구 정부서울청사에서 약 석달간의 조사 결과를 발표했습니다.
특히 스캐터랩이 연애의 과학 등을 통해 수집된 이용자 정보를 아무런 보호 조치 없이 그대로 사용했다고 지적했습니다. 카카오톡으로 오고간 대화 내용 중에 이름이나 휴대전화 번호, 심지어 주소 등의 개인정보를 삭제하거나 암호화하는 조치 없이 활용했다는 것이죠.
개인정보 보호법상 개인정보를 AI 개발 등에 활용하려면 해당 정보 제공자를 특정할 수 없도록 가명정보로 처리하는 절차를 거쳐야 합니다. 스캐터랩은 이같은 의무를 이행하지 않은 것입니다.
개인정보위는 이루다 서비스의 근간인 텍스트앳, 연애의 과학 개인정보처리 과정도 문제로 지적했습니다. 스캐터랩은 두 앱 가입자의 개인정보를 '신규 서비스 개발'에 활용할 수 있다고 개인정보처리방침에 기재했습니다.
다만 이 같은 문구가 기재된 것만으로 이용자들이 자신들의 카카오톡 대화가 이루다에 쓰일 것으로 예상하기 어렵고, 이들이 예측할 수 없는 손해를 입을 우려가 있다고 개인정보위는 판단한 것입니다.
AI 시대 올바른 정보 수집·처리 방향은
개인정보위의 이번 결정은 AI 기술 기업의 무분별한 개인정보 처리를 제재한 첫 사례라는 의미를 지닙니다.
그동안 온라인 플랫폼이나 SNS 등에 개인정보를 무단 수집해 유출한 사례가 종종 있었지만, AI 기술 기업이 개인정보 보호법으로 처벌받은 것은 이번이 처음이죠.
구글 '알파고'의 학습수단으로 유명한 딥러닝(deep learning)이 부상하며 AI와 개인정보보호 두가지 문제는 뗄래야 뗄 수 없는 관계가 됐습니다.
챗봇을 예로 들면, 여러 상황에 적합한 대화 문장을 내놓기 위해 AI가 방대한 데이터를 학습해야 하는데요. 이 과정에서 정보기술(IT) 기업이 개인정보를 제대로 가명 처리하지 않고 수집할 수 있다는 우려가 꾸준히 제기됐습니다.
이 때문에 4차 산업혁명이 촉발한 이른바 '초연결 시대'에 개인들의 개인정보 보호는 더 어려워질 수밖에 없는 상황이 됐습니다.
매일 품고 다니는 스마트폰 속에 개인의 모든 정보가 담긴 상황에서, 스마트폰이 다시 냉장고·자동차·TV 등 사실상 모든 영역에 연결되는 세상입니다. 개인정보가 쉽게 외부에 노출되고, 이를 AI가 포착하면 개인의 신상정보는 자칫하면 '개인정보'가 아닌 '공공재'로 전락할 위험성이 커졌습니다.
또 AI를 만드는 IT 기업이 개인 동의하에 개인정보를 수집해 활용하더라도, 가명정보 처리가 필수적이게 됐습니다. 개인정보보호가 중요해진 만큼, 개인정보위는 더 엄격한 개인정보처리 잣대를 들이대고 있습니다.
이루다 조사 결과 발표를 앞두고 진행된 전체회의에서 최영진 개인정보위 부위원장은 "수집된 개인정보 처리시 사물인터넷(IOT) 서비스, 빅데이터 서비스 개발이라든지 이용자가 개인정보가 어떻게 처리될지 알 수 있도록 구체성을 띠는 부분으로 개인정보처리 방침이 표기돼야 한다"고 지적했습니다.
다만 이같은 엄격한 개인정보 처리 과정에서 AI 산업 발전이 더뎌질 것을 우려하는 목소리도 있습니다.
김종윤 스캐터랩 대표는 연초 한 언론과 인터뷰에서 "중국 벤처기업이 온갖 데이터를 쉽게 구해 끌어쓰고 대규모 투자를 유치하는 과정을 보면 부럽기도 하다"며 "한국 벤처 기업은 세계 시장에서 경쟁하기가 쉽지 않다"고 토로하기도 했습니다.
산업 발전과 별개로 개인정보 그 자체를 보호해야 하는 대원칙을 유지해야 한다는 목소리도 만만찮습니다.
지성우 개인정보위 위원(성균관대 로스쿨 교수)은 이날 전체회의에서 "기술이 발전한 미국과 같은 국가에서 AI 챗봇 서비스를 허가하지 않고 있는 것은 기술력의 문제가 아니다"며 개인정보 보호의 중요성을 강조했습니다.
이루다 사태를 거쳐 개인정보를 보호하면서도 미래 산업인 AI 산업을 육성하는 방안에 대한 각계의 고민이 깊어지고 있습니다.
윤종인 개인정보위 위원장이 이날 이루다 조사 결과를 발표하며 "이루다 건에 대한 처분 결과가 AI 기술 기업이 개인정보를 이용할 때에 올바른 개인정보 처리 방향을 제시하는 길잡이가 되고, 기업이 스스로 관리·감독을 강화해 나가는 계기가 되기를 바란다"고 언급한 것도 이 때문입니다.
이같은 고민은 AI 시대를 맞아 기업뿐만 아니라 우리 모두에게 던져지는 질문입니다.
총 1개의 댓글이 있습니다.( 댓글 보기 )