개보위, 오픈AI·구글·네이버 등 AI 사업자에 '개인정보보호 강화' 개선 권고

등록 2024.03.28 12:00:00수정 2024.03.28 14:47:28

개인정보위, 주요 AI서비스 사전 실태점검 결과 발표

AI 질의 답변 과정에서 인적 검토 사실 명확 고지 권고

4월 말 SKT 에이닷 등 서비스 실태점검 내용 발표

(사진=유토이미지) *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = 오픈AI, 구글, 마이크로소프트(MS), 메타, 네이버, 뤼튼 등 인공지능(AI) 서비스 사업자들이 이용자 질문과 AI의 답변 내용을 사람을 투입해 직접 열람·검토하고 있는 것으로 나타났다. 서비스 고도화 등의 명목인데, 이용자 관점에선 이 과정 자체를 알기 어렵고 만약 개인정보를 입력했을 경우라면 사생활 침해로 이어질 수 있다.

정부는 이들 기업에 이 과정을 이용자에게 명확하게 고지하도록 하는 등 개선을 권고했다.

개보위, 6개 AI사업자에 개선권고…개인정보 처리 등 미흡한 부분 발견

개인정보보호위원는 28일 대규모 언어 모델(Large Language Model, 이하 LLM)을 개발·배포하거나 이를 기반으로 AI 서비스를 제공하는 6개 사업자에 개인정보 보호의 취약점을 보완하도록 개선 권고했다. 오픈AI, 구글, MS, 메타, 네이버, 뤼튼 등이 그 대상이다.

개인정보위는 챗GPT 등 생성형AI가 확산하면서 프라이버시 침해 우려도 증대됨에 따라 국민 불안 해소와 안전한 서비스 활성화를 위해 지난해 11월부터 한국인터넷진흥원(KISA)과 실태조사를 실시했다.

AI 단계별 개인정보 보호의 취약점 점검 결과, 전반적으로 개인정보 처리방침 공개, 데이터 전처리, 정보주체의 통제권 보장 등 관련 법상 기본적 요건을 대체로 충족하고 있었다.

그러나 세부적으로 ▲공개된 데이터에 포함된 개인정보 처리 ▲이용자 입력 데이터 등의 처리 ▲개인정보 침해 예방·대응 조치 및 투명성 등 관련해 일부 미흡한 사항이 발견됐다.

인력 투입해 질문과 답 검토…서비스 개선에 활용

AI 서비스 제공사업자는 인터넷에 공개된 데이터를 수집해 AI 모델 학습데이터로 사용하는데, 이 과정에서 주민등록번호·신용카드번호 등 국민들의 중요한 개인정보가 포함될 수 있는 것으로 밝혀졌다.

조사 대상 가운데 오픈AI, 구글, 메타는 개인정보가 드러날 수 있는 웹사이트를 AI 모델 학습에서 배제하고 또 AI 모델이 개인정보를 답변하지 않도록 하는 조치는 적용하고 있었다. 그러나 학습 데이터에서 주민등록번호 등 개인의 신분이 드러날 수 있는 정보를 사전 제거하는 조치가 충분하지 않은 것으로 확인됐다.

개인정보위는 이들 업체에 AI 서비스 제공 단계별 보호조치 강화를 요구하는 한편, 최소한 사전 학습단계에서 주요 개인정보 등이 제거될 수 있도록 개선 권고했다.

LLM 기반 AI 서비스 제공사업자는 AI 모델이 정확한 답변을 하도록 다수의 검토 인력을 투입해 이용자 질문과 이에 대한 AI 모델의 답변 내용을 직접 열람·검토한 뒤, 수정하는 방법으로 데이터셋을 만들고 있었다. 아울러 이를 AI 모델 학습·프롬프트 등 서비스 개선에 활용하고 있는 것으로 확인됐다.

강대현 개인정보위 조사1과장은 "인적 검토 전 개인의 신분을 알아볼 수 있는 식별정보는 일차적으로 지우고 분석 과정을 진행하고 있었다"고 부연했다.

그러나 이용자 관점에서는 이런 '인적 검토' 과정 자체를 알기 어렵다. 또 중요 개인정보·이메일 등 민감한 내용을 입력했는데 AI 서비스 제공자가 개인정보 제거 등 조치 없이 해당 정보를 데이터베이스(DB)화할 경우, 사생활 침해로 이어질 위험이 있다.

개인정보위는 AI 모델 등 개선 목적으로 이용자 입력 데이터에 대한 인적 검토과정을 거치는 경우, 이용자에게 관련 사실을 명확하게 고지하는 한편 이용자가 입력 데이터를 손쉽게 제거·삭제할 수 있도록 해당 기능에 대한 접근성을 제고하도록 권고했다.

같은 LLM인데도 민감 정보 답변조치 달라…만 14세 미만 확인 절차도 없어

이밖에 LLM이 복제모델 또는 오픈소스 형태로 배포되는 경우, LLM에 취약점이 발견돼도 후속 조치가 즉시 개선되기 어려운 사례가 확인됐다.

또 동일 LLM 기반의 AI 서비스라도 사업자에 따라 개인정보, 아동·민감정보에대한 답변 등 침해 예방 조치의 정도가 다른 것으로 확인됐다. 특히 AI 서비스를 만 14세 미만 연령 확인절차 없이 운영하는 사례도 발견됐다.

개인정보위는 AI 서비스와 관련된 내용을 종합해 개인정보 처리방침 등에 보다 구체적으로 안내하고 부적절한 답변에 대한 신고 기능을 반드시 포함하는 것은 물론, AI 서비스·LLM의 취약점 발견 시 신속히 조치할 수 있는 프로세스도 갖추도록 개선권고했다.

강대현 개인정보위 과장은 "개선 권고 문안을 정식으로 업체들에 통보하게 되면 60일 내에 이행 계획을 만들어서 제출하게 된다"면서 "실태점검 과정에서 의견 교환 등의 진행했기 때문에 충분히 개선 권고 사항들은 충실히 이행할 수 있을 것이라고 기대하고 있다"고 말했다.

한편, 개인정보위는 SK텔레콤의 에이닷 등 소비자용·기업용 AI서비스 실태점검 결과도 4월 말 발표할 예정이다.

◎공감언론 뉴시스 [email protected]