카카오가 준비중인 인공지능(AI) 비서 서비스 '카나나'가 개인정보보호위원회의 '사전적정성 검토제'를 조건부로 통과하면서 서비스 출시에 속도를 낼 수 있게 됐다. 개인정보위는 카나나의 출시가 임박했다고도 설명했다. 출시되지 않은 신규 서비스를 정부에 '언박싱'(개봉)해야 하는 이 제도를 이용할 경우 영업비밀이 유출될 우려가 있으나, 세계각국에서 차단 조치를 받은 '딥시크' 사례에서 알 수 있듯 법적 불확실성을 제거하는 것이 안정적 서비스의 첫걸음이란 판단이 크게 작용했다는 분석이다.
개인정보보호위원회는 13일 정부서울청사에서 브리핑을 열고 카나나에 대한 사전적정성 검토 결과를 심의·의결했다고 밝혔다. 사전적정성 검토제는 사업자가 AI와 같은 새로운 기술·서비스를 기획·개발하는 단계에서 개인정보위와 협력해 적합한 법 적용방안을 찾고, 이것이 준수되는 조건부로 사후에 불이익 행정처분을 받지 않는 제도다.
개인정보위에 따르면 카카오는 지난해 12월 사전적정성 검토를 신청했다. 최근 전세계를 강타한 중국판 챗GPT 딥시크가 개인정보보호 및 보안에 대한 우려로 주요국에서 차단 조치를 당하는 사례에서 알 수 있듯 AI 서비스의 프라이버시 친화적 설계·운영은 필수적이란 판단에서다. 정신아 카카오 대표는 지난달 컨퍼런스콜에서 "딥시크는 여러 가지 안전성에 대해 해결해야 할 부분이 많아 아직 광범위하게 사용되기에는 어려워 보인다"고 지적하기도 했다.
개인정보위가 사전적정성 검토제를 통과한 서비스에 대해 별도 브리핑까지 한 것도 이번이 처음이다. 카카오는 한국인 대부분이 사용하는 모바일메신저 카카오톡을 운영하는 빅테크이고, AI 서비스 자체에 대해서도 국민적 관심이 높은 만큼 양측이 어떤 협의를 거쳤는지 알려야 안심하고 쓸 수 있을 것이란 판단이 작용한 것으로 파악된다.
카카오는 이번에 개인정보위에 "안전장치 역할의 인공지능 모델이 탑재돼 악의적인 이용자가 타인의 개인정보를 캐내기 위해 유도 질문을 하면 차단하거나, 언어모델이 생성하는 답변을 통해 타인의 개인정보가 노출되는 일이 없도록 자동 검수할 계획이라고 설명한 것으로 전해졌다.
다만 개인정보위는 사전적정성 검토 과정을 통해 카나나를 파악한 결과 서비스 특성상 추가적인 안전조치 방안이 필요하다고 봤다. 개인정보위에 따르면 카나나는 대화의 맥락을 파악해 답변을 제시하는 서비스로 기획했다. 특히 여러 이용자가 참여하는 단체방 대화를 기반으로 이용자 질문에 답하는 '카나', 이용자와 단둘이 주고받았던 대화를 기반으로 이용자 질문에 대답하는 '나나'로 구성됐으며, 이는 카카오 자체개발 언어모델뿐 아니라 미국 오픈AI의 GPT 모델도 보완적으로 활용한다.
이에 따라 카나와 나나는 하나의 대화방에서 알게 된 참여자의 개인정보를 다른 대화방에서 타인에게 발설하지 않도록 기술적 안전장치를 강화하기로 했다. 대화방 데이터는 카카오 내 별도 데이터베이스에 보관되며 오픈AI에는 저장되지 않도록 했다. 대화 데이터 중 고유식별정보나 계좌·카드번호 등 식별성 강한 개인정보가 포함된 경우, 카카오의 자사 언어모델에서만 처리하도록 했다. 외부 모델을 활용할 경우 오픈AI가 알아볼 수 없도록 해당 부분을 암호화 처리하기로 했다.
이같이 조치하는 이유는 카나나는 대화방별 맞춤형 답변이 가능하다는 점에서다. 예를 들어 단체채팅방 이용자들이 오프라인 모임을 준비하면서 카나한테 '모임 회비는 어떻게 내지?'라고 질문을 하면, 카나는 이 대화방에서 이야기된 회비와 총무의 계좌번호 등을 답변할 수 있다는 것이다. 따라서 해당 채팅방에선 이같은 답변이 가능하되, 다른 대화방에선 계좌번호가 답변되지 않도록 한다는 얘기다.
아울러 오픈AI와의 계약에 데이터를 카카오가 맡긴 업무를 위해서만 활용해야 하고 오픈AI의 사업목적으로 쓰이지 않도록 해야 한다는 조건을 명시하는 한편, GPT의 응답 후 오픈AI에 별도로 저장되지 않도록 하는 기술적 제약도 두기로 했다.
이와 함께 이용자 대화 데이터를 카카오 언어모델의 학습데이터로 활용하려면 카나나 이용자로부터 반드시 별도의 동의를 받도록 했다. 이때 이를 원하지 않는 이용자는 동의하지 않을 수 있다. 또한 이용자의 대화 속 개인정보가 그대로 암기돼 향후 노출될 위험에 대응하기 위해 자동 필터링, 인적 검토절차 마련·공개, 피드백 프로세스 구축 등의 방안을 마련하기로 했다.
카카오는 또 개인정보 보호책임자(CPO)가 상시 리스크 관리체계를 구축·운영하며 중대한 리스크 관리계획 및 실행내역을 정기적으로 이사회에 보고하기로 했다.
개인정보위는 사전적정성 검토제를 거친 만큼 카나나의 출시가 임박했다고 설명했다. 또한 카나나가 출시되기 전 협의 사항들이 모두 구현된 상태인지 확인하고, 출시 이후에도 카카오가 실제 이행하고 있는지 점검할 예정이다. 그러나 개인정보보호법 면책은 협의된 사항에 한하며, 해킹이나 비즈니스 모델 오작동에 따른 사고에는 적용되지 않는다.
전승재 개인정보위 조사3팀장은 "사전적정성 검토제를 더욱 활성화해 데이터 경제 시대에 급변하는 현장과 긴밀히 소통할 것"이라며 "AI를 비롯한 신기술·신서비스의 법적 불확실성이 해소될 수 있도록 정보주체의 권익이 보호될 수 있도록 계속 노력할 계획"이라고 말했다.
