인공지능(AI) 기반 서비스 SK텔레콤 '에이닷'과 네이버 '스노우'가 개인정보보호를 제대로 하지 않고 있다는 조사 결과가 나왔다.
개인정보보호위원회는 지난 12일 제10회 전체회의를 열고, SK텔레콤의 에이닷, 네이버 스노우 등 AI 응용 서비스를 제공하는 4개 사업자를 상대로 개인정보보호 실태점검 결과, 이같이 심의·의결했다고 13일 밝혔다.
개인정보위는 우선 에이닷에 대해 "통화 녹음‧요약 서비스의 경우 이용자의 기기에서 통화 녹음이 이루어지면 음성파일이 SK텔레콤의 서버에서 텍스트로 변환되고, 이를 다시 MS(마이크로소프트)의 클라우드에서 요약해 이용자에게 전달하는 방식으로 진행되고 있었다"고 설명했다.
특히 "그 과정에서 텍스트 파일을 보관하는 시스템 등에 접속기록이 보관되지 않은 사실이 있어, 시스템상 접속기록의 보관‧점검 등 안전조치 의무를 준수토록 시정권고하기로 했다"고 전했다.
개인정보위는 아울러 개인정보보호 원칙 등에 비추어 텍스트 파일의 보관 기간 최소화, 비식별 처리의 강화, 서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련‧시행할 것을 SK텔레콤에 개선 권고키로 했다.
SK텔레콤은 다만 이번 점검 기간 동안 국외이전 관련 고지 구체화, 학습 데이터 보관 기간 단축 등의 조치를 취했다고 개인정보위는 덧붙였다.
네이버 계열 스노우는 생성형 AI 기술을 기반으로 AI 프로필 등 얼굴 사진을 변형한 이미지를 생성해 주는 서비스인데, 사전 학습(pre-training)돼 인터넷에 공개된 AI 모델을 이용함에 따라 별도로 학습 데이터는 수집하지 않는 것으로 나타났다.
또한 서비스 이용 과정에서 생성된 이미지 또한 이용자 편의를 위해 일정기간 서버에 보관할 뿐, 다른 목적으로 이용하지는 않고 있었다.
그러나 스노우는 제공하는 특정 기능과 관련해 이미지를 서버로 전송해 사용‧처리 중이나, 처리 방침에는 이용자가 알기 어려운 형태로 공개하고 있었다.
특히 이미지 필터링 등을 위한 외부 개발도구(Software Development Kit·SDK)의 안전성을 충실히 검토하지 않은 사실이 드러났다.
개인정보위는 이에 따라 개인정보를 서버로 전송해 처리하는 경우 이용자가 이를 쉽게 인지할 수 있도록 하고, 외부 SDK를 사용해 개인정보를 처리할 때는 의도하지 않은 개인정보 처리‧전송 가능성을 점검할 것을 개선권고했다.
이밖에 이번 점검 과정에서 서비스를 개선한 'DeepL'과 AI 학습데이터 수집·처리 관련 보호법 위반 사항이 발견되지 않은 '뷰노'는 개선권고 사항이 없었다고 개인정보위는 설명했다.
개인정보위 관계자는 "이번 점검은 산업·서비스 분야에서 빠르게 AI를 도입하는 가운데 개인정보 처리 과정에서의 취약점을 선제적으로 점검하고 개선을 유도했다는 데 의의가 있다"며 "정보주체가 안심하고 AI 서비스를 활용할 수 있도록 지속적 모니터링을 실시할 것"이라고 말했다.