AI 시대, 데이터의 자유로운 활용·강력한 보안 원칙의 규제 필요
[데이터넷] 생성형AI로 인해 개인정보 보호가 새로운 국면을 맞게 됐다. 통제 일변도의 개인정보 보호 규제가 ‘자유로운 활용·강력한 보안’이라는 새로운 원칙을 적용받게 됐다. 세부 사항 하나하나 지정했던 기존의 개인정보 보호 규제는 빠르게 변하는 AI시대에 맞지 않으며, 자유로운 활용 문제 또한 고려해야 하는 시대가 됐다.<편집자>
챗GPT를 통해 개인정보와 민감정보가 줄줄 샌다는 보도가 줄을 잇자 여러 기업과 정부가 챗GPT 사용을 중단시키고 데이터 보호 방안 마련에 나서고 있다. 유럽 국가들은 챗GPT 개발사인 오픈AI가 GDPR을 준수했는지 조사하면서 막대한 규모의 벌금이 부과될 수 있다고 경고하고 있다.
우리나라 국가정보원은 전 부처 공무원에게 챗GPT 이용 시 민감정보를 제외하고 공개된 정보만 활용해야 한다는 내용을 담은 ‘챗GPT 등 언어모델 AI 활용 시 보안 유의사항 안내’ 공문을 전달했다. 한국인터넷진흥원(KISA)은 개인정보보호위원회와 AI 시대에 대비한 개인정보 보호 방안을 상반기 발표할 계획이다.
AI 통한 개인정보 공개 방지 서비스 공개
오픈AI는 GPT가 어떤 데이터를 학습했는지 정확하게 밝히지 않고 있다. 챗GPT의 개인·민감정보 노출과 편향성이 문제가 되자 오픈AI는 ‘유료 고객의 정보는 학습하지 않겠다’고 밝혀 그동안 오픈AI가 민감한 정보까지 학습 데이터로 사용했을 가능성이 있으며, 무료 고객의 데이터는 앞으로도 사용한다는 뜻으로 읽혀 논란이 더 커지고 있다.
오픈AI는 챗GPT와 대화한 내용을 기록하지 않도록 하면서 사용자가 원하지 않는 데이터 학습은 방지하며, 사용자의 데이터를 안전하게 보호할 수 있는 새로운 서비스도 공개하겠다는 계획을 밝히고 있지만, 데이터 보호 문제를 해결하기 쉽지 않을 것으로 보인다.
그래서 챗GPT로 인한 데이터 유출 문제를 막기 위한 솔루션이 등장하고 있다. 지란지교데이터가 챗GPT 모니터링 기능을 포함한 데이터 보호 솔루션 ‘AI 필터’를 출시했으며, 캐나다의 프라이빗AI라는 회사는 챗GPT에 입력되는 내용 중 개인정보·민감정보를 지우는 서비스를 공개했다.
원칙 중심 규제로 AI 시대 데이터 보호
챗GPT 사용을 금지하거나 챗GPT에 공유되는 정보를 제한하는 것만으로 AI 시대 데이터 보호 대책이 완성됐다고 할 수 없다. AI는 지속적으로 다양한 종류의 데이터를 이용해 더 나은 정보를 얻으려고 한다. 특히 개인정보와 민감정보를 더 많이 수집할수록 의사결정에 도움이 되는 고급 정보를 확보할 수 있으며, 이것이 재편되는 디지털 경제 시대의 성장 원천이 된다고 믿고 있다.
더 많은 데이터를 수집, 분석해 부가가치가 높은 서비스를 만들어야 한다는 비즈니스의 요구와 개인정보·중요정보를 보호해야 한다는 요구가 부딪히고 있는데, 이를 해결한다면서 강력한 통제 위주의 규제를 만드는 것은 성장의 발목은 잡는 결과를 낳게 된다. 복잡하고 방대한 AI는 세세한 규제가 아니라, 원칙 중심의 규제가 필요하다. 모든 환경에서 데이터를 자유롭게 활용하면서 안전하게 보호할 수 있어야 한다.
이 원칙에 따른 AI 모델 개발과 보안 정책 중 하나로 금융위원회의 ‘금융분야 AI 보안 가이드라인’을 들 수 있다. 이 가이드라인에서는 학습 데이터를 수집해 오염 데이터를 학습하지 않도록 신뢰성 높은 출처로부터 학습 데이터를 수집하며, 데이터 출처·시점을 파악할 수 있는 데이터 관리체계를 구축하도록 안내한다.
수집한 데이터를 학습에 적합한 형태로 가공해 AI 모델의 품질과 보안성을 높이며, 공격자가 AI 모델에 대한 정보를 쉽게 유추할 수 없도록 설계하며, AI 모델을 세부 변형하는 보안기법을 적용한다. 학습 완료한 AI 모델이 공격당할 가능성이 있는지 검증·평가하며, AI 모델의 입출력 횟수를 제한해 공격자가 AI 모델에 대한 정보를 수집하기 어렵게 한다. 또한 챗봇을 위한 체크리스트도 별도로 마련해 현장 실무자가 쉽게 활용할 수 있도록 하며, 설명가능한 AI(XAI) 관련 연구용역을 진행, 2분기 중 안내서를 발간할 예정이다.
AI 생태계 맞는 보호 방안 마련해야
개인정보보호위원회는 ‘AI 생태계에 맞는 원칙 중심의 데이터 보호·활용방안’을 마련하겠다고 밝히면서, 데이터 수집, AI 학습, 응용 서비스 설계·제공 시 개인정보 처리 기준과 보호 원칙을 제안했다.
데이터 수집 단계에서는 AI 학습을 위해 공개된 개인정보의 합리적인 수집·활용 기준을 만들고, AI 학습 단계에서는 AI 연구 개발 시 필요한 데이터 유형·상황별 적절한 가명처리 수준과 방법 등 기준을 제시하며, 재현데이터를 통해 양질의 AI 학습 데이터셋을 제공한다. 9월 시행되는 개정 개인정보보호법에서는 SNS를 비롯한 여러 서비스에서 과도하게 민감정보를 수집, 활용하는 관행을 바로잡기 위해 정보주체에게 민감정보를 수집할 때 공개 혹은 비공개를 선택할 수 있도록 하는 방안도 마련했다.
AI 서비스 단계에서는 정보주체의 권리와 의무에 중대한 영향을 미치는 AI 기반 자동화된 결정에 대한 거부권과 설명 요구권을 보장하도록 했다.
신용평가, 인사채용 등 AI를 이용한 자동화된 결정으로 인해 특정인에 대한 편견이나 감시 문제가 생길 수 있으며, 개인 의사에 반한 결정으로 인해 기본권과 정보주체의 대응권 보장이 안된다는 문제도 제기된다. 개인정보보호법에서는 자동화된 결정이 정보주체의 생명이나, 신체, 정신, 재산에 중대한 영향을 미치는 경우, 해당 의사결정을 거부하고 이의제기와 설명을 요구하는 권리를 보장하고 있다.
개인정보위원회는 생체정보 정의와 처리기준 마련, 고위험 AI로부터 정보주체의 권리 보호 방안을 반영한 생체정보 종합 규율체계 마련, 실시간 영상정보 비식별 처리, 재현 데이터 등의 R&D 지원 노력도 전개할 방침이다.
이와 함께 개인정보위는 공공부문 개인정보 유출 방지대책의 일환으로, 집중관리 시스템 개인정보 안전조치 강화 계획도 공개했다. 대규모 개인정보를 취급하거나 주민등록 연계 등 중요 시스템에 대해 ▲시스템 관리 체계 ▲접근권한 부여·관리 ▲접속기록 점검 ▲담당인력 및 시스템 확충 등을 이행하도록 했다.
