개인정보위, LLM 사업자에 정보처리 개선 권고…”데이터 학습 전 주요 정보 제거해야”

고학수 개인정보보호위원회 위원장이 27일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제6회 개인정보보호위원회 전체회의에 참석했다./개보위 제공

개인정보보호위원회가 대규모 언어 모델(LLM) 관련 6개 사업자에 대해 개인정보 보호의 취약점을 보완하도록 개선권고했다.

28일 개보위는 전날 제6회 전체회의에서 LLM을 개발‧배포하거나 이를 기반으로 인공지능(AI) 서비스를 제공하는 오픈AI·구글·MS·메타·네이버·뤼튼에 대해 이같은 개선권고를 하기로 의결했다고 밝혔다.

개보위는 초거대‧생성형 AI 서비스의 급속 확산으로 프라이버시 침해 우려가 증대됨에 따라 국민 불안의 조기 해소와 안전한 서비스 활성화를 위해 지난해 11월부터 한국인터넷진흥원과 함께 주요 AI 서비스를 대상으로 사전 실태점검을 진행했다.

AI 단계별 개인정보 보호의 취약점 점검 결과 전반적으로 개인정보 처리방침 공개, 데이터 전처리, 정보주체의 통제권 보장 등 보호법상 기본적 요건을 대체로 충족했다. 그러나 세부적으로 공개된 데이터에 포함된 개인정보 처리, 이용자 입력 데이터 등의 처리, 개인정보 침해 예방‧대응 조치 및 투명성 등 관련해 일부 미흡한 사항이 발견됐다.

우선 AI 서비스 제공사업자는 인터넷에 공개된 데이터를 수집해 AI 모델 학습데이터로 사용하는데, 이 과정에서 주민등록번호, 신용카드번호 등 한국 정보주체의 중요한 개인정보가 포함될 수 있는 것으로 밝혀졌다. 지난해 기준 2만999개 페이지에서 주민번호, 여권번호 등 개인정보 노출이 탐지됐다. 개보위는 AI 서비스 제공 단계별 보호조치 강화를 요구하는 한편, 인터넷에 우리 국민의 개인정보가 노출된 것을 탐지한 데이터를 AI 서비스 제공사업자에게 제공할 계획이다.

또한 LLM 기반 AI 서비스 제공사업자는 AI 모델이 정확한 답변을 하도록 다수의 검토 인력을 투입해 이용자 질문과 이에 대한 AI 모델의 답변 내용을 직접 열람·검토해 수정하는 방법으로 데이터셋을 만들고 있으며, 이를 AI 모델 학습 및 프롬프트 등 서비스 개선에 활용하고 있는 것으로 확인됐다.

그러나 이용자 관점에서는 본인이 입력한 데이터를 검토 인력이 투입되는 ‘인적 검토’ 과정 자체를 알기 어렵고, 중요 개인정보와 이메일 등 민감한 내용을 입력하거나 AI 서비스 제공자가 식별자 및 개인정보 제거 등 조치 없이 해당 정보를 DB화할 경우 사생활 침해로 이어질 위험이 있다. 개보위는 AI 모델 등 개선 목적으로 이용자 입력 데이터에 대한 인적 검토과정을 거치는 경우 이용자에게 관련 사실을 명확하게 고지하는 한편, 이용자가 입력 데이터를 손쉽게 제거‧삭제할 수 있도록 해당 기능에 대한 접근성을 제고하도록 권고했다.

AI 서비스는 종전의 서비스와는 처리하는 개인정보의 항목, 처리 방법 및 목적, 보유 및 이용 기간 등에 있어 현격한 차이가 있다. LLM 복제 모델 또는 오픈 소스 형태로 배포되는 경우 LLM에 취약점이 발견돼도 후속 조치가 즉시 개선되기 어려운 사례가 확인됐다. 동일 LLM 기반의 AI 서비스라도 사업자에 따라 개인정보 및 아동‧민감정보에 대한 답변 등 침해 예방 조치의 정도가 다른 것으로 확인됐다.

개보위는 AI 서비스와 관련된 내용을 종합해 개인정보 처리방침 등에 보다 구체적으로 안내하고 부적절한 답변에 대한 신고 기능을 반드시 포함하는 것은 물론, AI 서비스와 LLM의 취약점 발견 시 신속히 조치할 수 있는 프로세스도 갖추도록 개선 권고했다.

변지희 기자(zhee@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>