‘AI 이루다’ 개인정보 못 걸러냈다...가명정보 사업 안전할까?

서비스 중단을 공지한 '이루다' 공식 홈페이지 화면.

인공지능(AI)챗봇 ‘이루다’에 대한 개인정보 유출 논란이 불거지면서, 개인정보 수집 및 활용에 대해 우려의 목소리가 높아지고 있다.

특히 개발사 스캐터랩은 사용자 카톡 대화를 기반으로 이루다를 학습시키는 가운데, 가명 처리도 제대로 하지않았다는 지적을 받았다.

업계는 개인정보를 비식별(가명, 익명화)처리해 데이터 사업에 활용하는 ‘가명정보’ 사업도 더욱 신중한 접근이 필요하다는 지적이다.

◆ “실명 못 걸러냈다... 타 정보와 결합은 안 해”

스캐터랩은 지난 12일 질의응답 이메일을 통해 이루다 개인정보보호방침 준수 여부 및 서비스 보완 계힉 등을 밝혔다. 회사는 “‘연애의 과학’에서 수집한 연인간 카카오톡 대화를 챗봇(이루다) 개발에 활용한 것은 개인정보취급방침 범위 내에서 이뤄진 활동”이라면서도 “연애의 과학 사용자 분들 AI학습에 데이터가 활용되길 원치 않는 분은 DB삭제와 함께, 앞으로 이루다 DB에 활용되지 않도록 추가 조치를 진행하게다”고 밝혔다.

아울러 이루다에게 대화를 언급하는 과정에서 특정인의 이름, 집주소 등이 노출된 것에 대해서는 “카톡 대화를 재료로 사용하면서 주소, 계좌번호, 전화번호, 실명 등을 삭제하고 개별적인 문장 형태로 만드는데, 이 과정에서 알고리즘을 통한 필터링이 제대로 되지 않아 인물 이름, 주소 등이 남는 부분들이 발생했다”며 세심하게 주의를 기울이지 못해 사과를 드린다고도 설명했다.

다만 회사는 데이터 활용 시 사용자의 닉네임, 이름, 이메일, 전화번호 및 주소 등을 포함한 구체적인 정보는 이미 삭제했으며 데이터에 대한 비식별화 및 익명성 조치를 강화해 특정할 수 있는 개인정보는 유출하지 않았다고 해명했다. 문장 내 이름 등의 노출 정보가 다른 정보와 결합돼 이용되지도 않았다고 덧붙였다.

현재 개인정보보호위원회는 스캐터랩이 이루다 제작과정에서 연애의 과학 사용자 동의 없이 대화를 수집했는지, 비식별화 과정을 제대로 거쳤는지 등 개인정보보호법 위반 여부 파악에 나선 상황이다

데이터 처리 콘셉트 이미지 화면. ⓒ픽사베이

◆ 개인정보 ‘가명처리’만 하면 OK...대기업 ‘군침’

AI 챗봇 이루다가 촉발한 이슈 중 가장 큰 논란은 ‘개인정보유출’이다. 성희롱 발언이나 장애인 차별 발언 등은 AI윤리 도덕성에 기반하지만 개인정보유출은 법적 문제이기 때문이다. 특히 개인의 기존 데이터를 수집해 다른 상품 및 서비스 개발에 이용하는 것은 스캐터랩 뿐만의 문제가 아니다.

지난해 ‘데이터 3법’(개인정보보호법·신용정보법·정보통신망법)이 개정되면서 금융 및 주요 IT기업들은 가명정보 활용 사업에 적극적으로 뛰어들고 있는 상황이다. 법 개정을 통해 개인정보를 누구인지 모르게 하는 안전조치(가명처리)를 거치면, 정보 주체 동의 없이 연구에 활용하거나 제3자에 제공할 수 있게 된 것이다. 예를 들어 서울시 송파구에 거주하는 30대 전업주부 이00씨는 특정 개인 정보이지만 서울 거주 전업주부 이 모씨는 가명정보라 할 수 있다.

가명정보는 다른 기관에서 수집한 또 다른 가명정보와 결합해서도 사용할 수 있다. 물론 결합 후 재식별 가능성이 있다면 사용할 수 없다. 이를 위해 개인정보보호위원회에서는 가명정보 결합전문기관을 지정해 결합가명정보의 식별 가능성을 검증받게 했다. 가명정보 결합전문기관에는 삼성SDS, SK(주) C&C, 더존비즈온 등 12개 기업이 지정됐다. 기업들은 결합전문기관을 통해 비식별화를 검증받은 고객의 개인정보를 활용해 사업을 할 수 있는 것이다.

네이버의 경우 ‘온라인 쇼핑 데이터’와 ‘지역 비즈니스 데이터’를 금융데이터거래소에 등록했다. 2019년 동안 네이버 회원들이 검색한 쇼핑, 지역관련 검색어 정보를 익명처리한 정보로 기업이나 개인이 구매할 수 있게 했다. SK텔레콤, KT, LG유플러스 등의 이동통신사들도 금융데이터거래소에 등록하고, 금융사와 함께 신규 서비스를 준비중이다. KT는 지난해부터 15개 제휴사에서 생산된 데이터를 개인과 기업이 거래할 수 있는 ‘통신 빅데이터 플랫폼’을 운영해왔다.

은행, 보험회사, 카드회사 등의 개인신용정보를 통합해 새로운 서비스를 제공하는 ‘마이데이터’ 사업에는 네이버와 카카오 등 60개의 회사가 예비허가 사전 신청을 하며 이목을 끌었다.

'금융데이터 거래소' 홈페이지에 등록된 기업들의 정보

◆ 유출 위험 여전...시민단체 “활용보다 보호 먼저”

기업은 데이터 활용을 통해 소비자 편의성이 증대되고 신사업이 더욱 발전할 것으로 기대하고 있다. 정부 역시 법 개정으로 데이터 활용 사업을 적극 장려하는 입장이다. 그러나 가명정보 사업에 따르는 개인정보유출이나 침해 걱정은 여전하다.

가명정보는 그 특성상 결합할수록 개인을 식별할 가능성이 커지는 만큼 고도화된 비식별 처리 기술력은 필수다. 이루다를 개발한 스캐터랩도 AI기술력을 자신했으나, 부족한 필터링 기술로 특정 개인정보가 유출되는 상황에 직면했다. 타 정보와 결합되지 않아서 제2의 개인정보침해 문제는 없을것이라는 해명으로는 이용자의 불안을 잠재우기 역부족이다. 가명정보의 처리 및 보관도 매우 중요하다. 가명정보라 하더라도 해킹을 통해 고객 데이터가 유출되는데 따른 파생 문제는 사회에 매우 큰 파장을 불러일으킬 수 있다.

현행 개인정보보호법에 따르면 비식별 가명정보가 잘못됐을 때 조치는 사후적 규제뿐이다. 법은 가명처리된 정보를 재식별할 경우 5년 이하의 징역 또는 5000만원 이하의 벌금, 전체 매출액의 3%이내의 과징금을 부과하도록 하고 있다.

한 시민단체는 “AI이루다 챗봇 논란은 개인정보 데이터 수집 및 활용에 있어서 예견하던 문제가 수면 밖으로 나온 것이라고 생각한다”며 “기업들의 데이터 사업이 정보 활용에만 초점이 맞춰진 것 같아 착잡하다”고 밝혔다.

이어 “이같은 업체들의 서비스 및 상품은 개인정보 수집 동의를 하지 않으면 사용할 수 없게 구성돼있는 것도 정보 보호 주체 권리에 소홀한 부분”이라며 “정부 법 개정에 따른 개인정보 관련 가이드라인이 잘 준수되는지, 개인정보위에도 시민단체 의견을 최대한 개진하는 등 관련 노력을 아끼지 않을 것”이라고 말했다.