오픈AI·구글·마이크로소프트(MS)·메타·네이버·뤼튼 등 대규모 언어 모델(LLM)을 개발하거나 이를 기반으로 인공지능(AI) 서비스를 제공하는 국내외 사업자들의 개인정보보호 조치에 취약점이 있다는 조사 결과가 나왔다.
개인정보보호위원회는 지난 27일 제6회 전체회의를 열고, 오픈AI·구글·MS·메타·네이버·뤼튼 등 6개 사업자에 대해 개인정보 보호의 취약점을 보완하도록 개선 권고를 의결했다고 28일 밝혔다.
개인정보위는 초거대‧생성형 AI 서비스의 급속 확산으로 프라이버시 침해 우려가 증대됨에 따라 지난해 11월부터 한국인터넷진흥원과 함께 주요 AI 서비스를 대상으로 사전 실태점검을 진행한 바 있다.
AI 단계별로 개인정보보호의 취약점을 점검한 결과 △공개된 데이터에 포함된 개인정보처리 △이용자 입력 데이터 등의 처리 △개인정보 침해 예방‧대응 조치 및 투명성 등 관련해 일부 미흡한 사항이 발견됐다고 개인정보위는 지적했다.
특히 AI 서비스 제공 사업자는 인터넷에 공개된 데이터를 수집해 AI 모델 학습 데이터로 사용하는데, 이 과정에서 주민등록번호, 신용카드번호 등 정보주체의 중요한 개인정보가 포함될 수 있는 것으로 밝혀졌다.
예를 들어 오픈AI와 구글, 메타는 학습 데이터에서 주민등록번호 등 주요 식별정보를 사전 제거하는 조치가 충분하지 않은 것으로 확인됐다. 개인정보위는 이에 대해 AI 서비스 제공 단계별 보호조치 강화를 요구했다.
LLM 기반 AI 서비스 제공 사업자가 다수의 검토 인력을 투입해 이용자의 질문 및 이에 대한 AI 모델의 답변 내용을 직접 열람‧검토해 수정하는 방법으로 데이터셋을 만드는 과정에도 허점이 있는 것으로 나타났다.
이용자 관점에서는 '인적 검토' 등의 과정 자체를 알기 어렵고, AI 서비스 제공자가 식별자·개인정보 제거 등 조치 없이 DB(데이터베이스)화할 경우, 사생활 침해로 이어질 위험이 있다는 설명이다.
개인정보위는 이런 경우 이용자에게 관련 사실을 명확하게 고지하는 한편, 이용자가 입력 데이터를 손쉽게 제거‧삭제할 수 있도록 해당 기능에 대한 접근성을 제고하도록 권고했다.
이와 함께 AI 서비스는 종전의 서비스와는 처리하는 개인정보의 항목, 처리 방법·목적, 보유·이용 기간 등에 차이가 존재하고, LLM 복제 모델 또는 오픈소스 형태로 배포되는 경우 취약점이 발견돼도 즉시 개선되기 어려운 사례도 있었다.
아울러 동일 LLM 기반의 AI 서비스라도 사업자에 따라 개인정보, 아동‧민감정보에 대한 답변 등 침해 예방 조치의 정도가 다른 것으로 확인됐다.
개인정보위는 개인정보 처리방침 등에 대해 구체적으로 안내하고 부적절한 답변에 대한 신고 기능을 반드시 포함하고, 취약점이 발견되면 신속히 조치할 수 있는 프로세스도 갖추도록 권고했다.
개인정보위 관계자는 "이번 AI 점검은 개인정보보호 취약점을 선제적으로 해소하기 위해 도입된 사전 실태점검 제도를 민간 부분에 첫 적용한 사례"라며 "개인정보를 안전하게 보호할 수 있도록 지속적인 모니터링과 함께 후속조치도 차질 없이 추진할 것"이라고 말했다.