[파이낸셜뉴스] 개인정보보호위원회가 시스템상 접속기록을 보관·점검하지 않아 개인정보보호법을 위반한 SK텔레콤의 인공지능(AI) 개인비서 '에이닷'에 '안전조치 의무 준수' 시정권고를 내렸다.
개인정보위는 12일 전체회의를 열고 에이닷 등 AI 응용서비스를 젲공하는 4곳에 대한 사전 실태점검 결과를 심의·의결했다고 13일 밝혔다.
이번 점검 대상은 SKT의 에이닷, 스노우, 딥엘, 뷰노 등 4곳이다.
개인정보위는 지난해 11월부터 국내·외 주요 AI 서비스를 거대언어모델(LLM) 관련 사업자와 응용서비스 제공사업자로 나눠 점검했고, 지난 3월 LLM 관련 사업자에 대해 우선 점검 결과를 발표한 바 있다.
이번 심의·의결 과정에서는 에이닷, 스노우 등 AI를 활용한 응용서비스의 개인정보 처리 과정을 중점적으로 살폈다.
개인정보위에 따르면 에이닷의 통화 녹음·요약 서비스의 경우 이용자 기기에서 통화 녹음이 이뤄지면 음성파일이 SKT 서버에서 텍스트로 변환되고, 이를 다시 마이크로소프트의 클라우드 시스템에서 챗GPT 모델로 요약해 이용자에게 전달하는 방식으로 진행되고 있었다. 이 과정에서 텍스트 파일을 보관하는 시스템 등에 접속기록이 보관되지 않은 사실이 확인됐다.
개인정보보호법 위반이 확임됨에 따라 개인정보위는 시스템상 접속기록의 보관·점검 등 안전조치 의무를 준수토록 시정권고하기로 했다. 아울러 텍스트 파일의 보관 기간 최소화, 비식별 처리의 강화, 서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련·시행할 것을 개선 권고했다. 이에 따라 SKT는 열흘 이내 수용 여부를 밝히고, 만약 개인정보위 조치를 거부할 경우 실태점검이 아닌 일반 조사로 전환돼 제재 처분이 내려진다. 시행권고를 수용하고 시정명령으로 전환된 이후, 이행하지 않을 경우 과태료 3000만원이 부과된다.
생성형AI 기술 기반으로 AI 프로필 등 사진을 변형한 이미지를 생성해 주는 스노우의 경우, 사전 학습이 되어 인터넷에 공개된 AI 모델을 이용함에 따라 별도 학습데이터는 수집하지 않고, 서비스 이용 과정에서 생성된 이미지 또한 이용자 편의를 위해 일정기간 서버에 보관할 뿐 다른 목적으로 이용하지 않은 것으로 확인됐다.
다만 스노우가 개인정보 처리방침을 이용자가 알기 어려운 형태로 공개하고 있고, 이미지 필터링 등을 위한 외부 개발도구 안전성을 충실히 검토하지 않은 사실이 확인돼 개선을 권고했다.
AI 기술로 전 세계 31개 언어를 번역해 주는 딥엘은 이용자가 무료 서비스에 입력한 정보에 대해 AI 학습과 인적 검토를 하면서도 이를 명확히 공개하지 않은 사실이 확인됐지만, 점검 과정에서 이를 개선한 만큼 별도의 개선권고는 하지 않았다. AI 기반의 의료영상(X-RAY, CT, MRI 등)과 심전도 등 생체신호 판독·진단을 보조하고 질환을 예측하는 프로그램인 뷰노의 경우, 특별한 위반 사항은 발견되지 않았다.
개인정보위는 "이번 사전 실태점검은 각 산업·서비스 분야에서 빠르게 AI를 도입하는 가운데 개인정보 처리 과정에서의 취약점을 선제적으로 점검하고 개선을 유도했다는 데 의의가 있다"며 "앞으로도 정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI를 도입하는 응용서비스에 대한 지속적인 모니터링을 실시하고, AI 시대의 개인정보 보호 대책 및 안전한 개인정보 활용 방안을 마련해 나갈 계획"이라고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지