글.
오용석 KISA 연구위원·아주대학교
유비쿼터스 컨버전스 특별연구원
지금 세상의 모든 시선은 인공지능을 향한 듯하다. 인공지능 시대로 나아가고 있는 이때, 한 가지 간과하지 말아야 할 것이 바로 ‘개인정보’다. 최근 챗GPT의 등장과 전 세계적으로 인공지능이 활성화되면서 개인보호에 대한 안전성에 관심이 많아지는 요즘, 개인정보를 더 안전하게 활용할 수 있는 방법들에 대해 알아본다.
최근 대형언어모델을 기반으로 출시된 생성형 인공지능 서비스 챗GPT의 물결이 거세다. 대부분의 제품에 인공지능 탑재는 옵션이 아니라 기본(default)이 되는 시대로 나아가고
있다. 이러한 인공지능 시대에 인공지능의 양분이 되는 데이터의 중요성은 두말하면 잔소리가 될 정도. 그런데 이 데이터의 약 2/3 이상이 개인과 관련된 데이터라는 사실을 아는
사람들은 얼마나 될까?
인공지능에 활용되는 전체 데이터 중 상당 부분이 개인과 관련된 개인정보이다. ‘개인정보’란 개인을 알아볼 수 있는 정보로, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른
정보와 쉽게 결합하여 알아볼 수 있는 정보를 말한다. 이렇듯 다른 정보와 결합해 특정 개인을 식별하게 되는 정보도 개인정보인 만큼 개인정보의 범주는 꽤 넓다.
데이터는 다른 데이터와의 결합을 통해 기존에 없었던 신규 아이디어나 신규 비즈니스 모델을 창출하게 되고, 이를 통해 개인을 특정할 가능성이 커지게 된다. 개인정보를 활용하려는
기업과 자신의 정보를 보호하고자 하는 개인과의 이해가 상충할 수 있는 여지가 커지게 되는 지점이다. 이로 인해 지금까지 발표된 많은 인공지능 서비스에서 사생활침해, 불공정, 저작권
등의 이슈가 발생하고 있으며, 챗GPT 역시 우리나라뿐만 아니라 EU와 미국에서도 개인정보 침해 이슈가 제기되고 있는 중이다.
개인정보는 IT기술의 발전과 그 궤를 같이한다. 1890년대 사진기 기술의 발달이 개인의 사적영역을 침해하며 ‘홀로 있을 권리’로서의 사생활권이 등장한 이후, 컴퓨터와 인터넷으로 정보화가 진전됨에 따라 사적 영역에서의 프라이버시가 사적 정보의 보호로 영역이 확장됐다. 이에 1970년대 독일, 미국 등에서 개인정보보호법이 제정됐고, 1980년대 PC와 인터넷이 대중에게 확산하면서 OECD에서 개인정보보호 8대 원칙을 제정했다. 우리나라도 1994년 ‘공공기관의 개인정보보호에 관한 법률’이 제정된 후, 2011년 사회 전반의 개인정보 보호에 대한 필요성이 요구되면서 개인정보에 관한 일반법 지위를 가진 ‘개인정보보호법’이 제정되었다.
2011년 제정 이래 개인정보보호법은 시대적 흐름에 따라 여러 번 개정되었다. 그중 2014년 카드 회사에서 일어난 약 1억 건의 개인정보 유출사고는 개인 동의가 있더라도 법률 및 시행령을 통해 개인정보를 수집할 수 있도록 개정하면서 개인정보에 대한 중요성을 일깨웠다. 2020년에는 4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 위해 가명정보의 이용 근거를 마련했고, 올해에는 이동형 영상정보처리기기 기준 마련, 정보통신서비스 제공자 등의 개인정보 처리 특례 조항의 일반조항으로의 정비 등 여러 사항이 제·개정되었다. 이 중 인공지능과 관련된 것은 개인정보 전송요구권과 자동화된 결정에 대한 정보 주체의 권리의 신설이 있으며, 이 조항은 준비기간을 거쳐 내년 3월 이후 시행 예정이다.
잊을 만하면 일어나는 개인정보 유출 사고 중 2020년 인공지능 챗봇 ‘이루다’ 사건은 인공지능 시대에 개인정보가 얼마나 중요한지에 대해 다시 한 번 인식하는 계기가 됐다. 바로
이루다 인공지능 모델의 알고리즘 학습 과정에서 타 서비스(텍스트앳, 연애의 과학)의 카카오톡 대화 데이터를 사용하면서 이용자에게 적법한 동의를 받지 않은 점, 개발자 협업사이트인
Github에 무단으로 개인정보가 포함된 카카오톡 대화 문장을 게시한 점 등 총 8가지를 위반한 것이 밝혀진 것. 이로 인해 기관·기업이 인공지능에서의 올바른 개인정보 처리를 위한
반면교사의 사례가 될 수 있었다.
최근 사회적으로 큰 파장을 일으킨 챗GPT 역시 개인정보 유출에서 자유롭지 않다. 다른 사용자의 대화기록이 보인다거나, 내부 임직원이 챗GPT에 내부 회의내용 및 소스코드를
입력하여 내부 기밀자료가 유출된 사례도 적지 않게 이어지고 있기 때문이다.
그럼 오늘날의 인공지능 시대에 개인정보를 어떻게 안전하게 처리해 인공지능의 혜택과 개인정보 보호의 균형을 찾을 수 있을까? 인공지능 서비스의 처리단계별 개인정보를 안전하게 처리하는
방안은 다음과 같다.
▲데이터 수집 단계에서는 수집하는 개인정보가 적법하게 수집되었는지에 대해 검토해야 한다. 이용자가 확실하게 인식할 수 있도록 동의 받았는지, 공개된 데이터를 사용하면 공개된 범위에
맞게 처리하는지 등을 살펴봐야 할 것이다. ▲알고리즘 학습 단계에서는 수집된 개인정보를 가능한 가명 또는 익명처리를 통해 개인식별성을 감소시키거나 없애는 노력을 기울여야 한다.
개인정보를 수집한 이후부터는 수집한 개인정보를 암호화, 접근통제, 접속기록 등의 안전조치를 통해 안전하게 보관 및 관리하여야 한다. ▲응용서비스 제공단계에서는 해당 인공지능 서비스
뿐만 아니라 이용자를 함께 고려해야 한다. 해당 서비스에 대해 이용자에게 알기 쉽고, 투명하게 수집되는 개인정보에 대한 처리사항(수집목적, 보관기간, 수집범위 등)을 알려야 한다.
이용자의 권리(열람, 수정, 중지, 파기 등) 요구에 대한 보장방안도 마련해야 한다.
자동차, 기차, 비행기도 처음 개발되었을 때 현재의 인공지능과 같이 ‘과연 저것이 안전해? 믿을만해?’라는 의구심이 있었다. 지속적으로 안전성과 효율성을 개선한 결과 기업과 제품에
대한 고객의 신뢰가 형성되고 지금과 같이 편안히 사용하게 되었다. 개인정보의 안전한 활용에 대한 신뢰도가 인공지능의 고도화 및 확산에 초석을 제공할 것이다.