 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
28일 개인정보보호위원회(이하 개인정보위)는 작년 11월부터 시행해 온 주요 AI 서비스에 대한 사전 실태점검 결과를 발표했다. 조사 대상은 오픈AI와 구글, 마이크로소프트(MS), 메타, 네이버, 뤼튼테크놀로지스 등 대규모언어모델(LLM)을 개발·배포하거나 이를 기반으로 AI 서비스를 제공하는 6개 사업자다.
조사 결과 6개 기업은 전반적으로 개인정보 처리 방침 공개, 데이터 전처리, 정보주체의 통제권 보장 등 개인정보보호법상 기본적 요건은 대체로 충족했다는 것이 개인정보위의 설명이다. 다만 일부 미흡한 사항에 대해서는 개선을 권고했다고 전했다.
하지만 AI 서비스 실태점검이라는 개인정보위의 발표와 달리 이날 실태점검은 AI 서비스가 아니라 AI 서비스를 위한 데이터 처리 프로세스 및 처리방침 등 일부 영역에 국한됐다. 그마저도 개인정보위가 기업들에게 제출을 요구한 자료를 바탕으로 조사된 것으로, 실제 AI 서비스에 개인정보가 위법적으로 활용됐는지 등을 살피는 것과는 거리가 멀다.
강대현 개인정보위 조사1과장은 “사전 실태점검은 기업의 개인정보 처리 전체를 들여다 보는 것이 목적이 아니다. 그걸 하려면 1년을 해도 못한다. 개인정보 처리 과정에서 주민등록번호 등 식별정보를 어떻게 처리하고 있는지에 초점을 뒀다”고 말했다.
해당 발표로 인해 해당 서비스들의 안전성을 개인정보위가 보증해준 것처럼 비춰질 수 있다는 지적에 강 과장은 “핀포인트로 조사를 한 것이기에 그 외의 사항에 대해 문제가 없다는 식의 면죄부를 준 것도 아니다”라고 강조했다. AI 서비스 전체에 대한 점검이 아니라는 것이다.
또 그는 “실태점검의 실무적인 프로세스는 일반적인 조사 과정과 큰 차이는 없다. 해외 기업에게는 서면으로 프로세스에 대한 내용을 증거로 받고, 국내 기업의 경우 데이터를 프로세스하는 과정이나 처리내역 등을 조사관이 가서 확인하고 내용을 분석했다”고 부연했다.
한편 개인정보위는 이날 브리핑을 통해 기업들의 AI 서비스에 대한 문제점도 일부 지적했다. 공개된 데이터에 주민등록번호 등 주요 식별정보가 포함돼 있을 때 이를 사전 제거하는 조치가 충분하지 않다는 것 등이다.
이와 함께 AI 기업들이 모델의 정확도를 높이기 위해 데이터 검토 인력을 투입해 이용자 질문과 이에 대한 AI 모델의 답변을 직접 열람·검토한다는 점도 꼬집었다. 가령 보다 정확한 여행 정보에 대한 답을 얻기 생성형 AI에 개인정보를 입력한다면 사람이 그 질문을 볼 수도 있다는 것이다.
강 과장은 “특정 업체의 일주일치 데이터만 뽑아봤더니 약 850건의 이용자 입력 개인정보가 나왔다. 강대현이라는 사람이 입력한다고 하면, 강대현이라는 누가 입력했는지 알아볼 수 있는 식별정보를 지우고 사람이 분석·리뷰하는 것”이라며 “식별정보를 지우지만 다 지울 수는 없기 때문에 비정형화된 정보 등은 분석 과정에서 리뷰되는 과정이 남아있다”고 밝혔다.
개인정보위는 생성형 AI 서비스 이용자들 상당수는 사람의 개입을 인식하지 못하고 있는 만큼, 기업들이 이용자들에게 사람의 검토 과정을 거친다는 사실을 고지하고 이용자가 입력 데이터를 쉽게 삭제할 수 있도록 해당 기능에 대한 접근성 제고를 권고했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
