• 페이스북
  • 트위터
  • 유튜브

SKT '에이닷' 시스템 안전조치 일부 미흡…개인정보위, 시정권고

등록 2024.06.13 12:00:00수정 2024.06.13 16:13:11

  • 이메일 보내기
  • 프린터
  • PDF

개인정보위, 에이닷·스노우·딥엘·뷰노 등에 대한 사전 실태점검 결과 공개

에이닷, 텍스트 파일 보관하는 시스템 등에 접속기록이 보관되지 않은 사실 발견

개보위 "시스템 안전조치 의무 준수하고 텍스트파일 보관 기관 최소화 해라" 권고



[서울=뉴시스] 홍효식 기자 = 유영상 SK텔레콤 대표이사 사장이 16일 서울 강남구 코엑스에서 열린 'SK 테크 서밋 2023' 전시장에서 AI 개인비서 서비스 '에이닷'을 살펴보고 있다. (공동취재사진) 2023.11.16. yesphoto@newsis.com

[서울=뉴시스] 홍효식 기자 = 유영상 SK텔레콤 대표이사 사장이 16일 서울 강남구 코엑스에서 열린 'SK 테크 서밋 2023' 전시장에서 AI 개인비서 서비스 '에이닷'을 살펴보고 있다. (공동취재사진) 2023.11.16. [email protected]

[서울=뉴시스]송혜리 기자 = SK텔레콤의 인공지능(AI) 기반 통화 녹음·요약 서비스 '에이닷'이 개인정보 침해 소지가 있다는 논란과 관련해 개인정보보호위원회 실태조사 결과, 이용자 통화 텍스트 파일을 보관하는 시스템에 대한 접속기록이 보관되지 않는 등 일부 미흡한 부분이 있다며 이에 대한 시정 권고하기로 했다.

개인정보보호위원회는 지난 12일 전체회의를 열고 SK텔레콤 에이닷 등 AI 응용서비스를 제공하는 4개 사업자에 대한 사전 실태점검 결과를 심의·의결했다고 13일 밝혔다.

개인정보위는 지난해 11월부터 국내·외 주요 AI 서비스를 거대언어모델(LLM) 관련 사업자와 응용서비스 제공사업자로 나눠 점검을 진행했다. 지난 3월에 LLM 관련 사업자에 대해 우선 점검 결과를 발표했으며, 이번에는 에이닷, 스노우 등 AI를 활용한 응용서비스의 개인정보 처리 과정을 중점적으로 살펴봤다.

에이닷, 텍스트 파일 보관하는 시스템 접속기록 보관 미흡

SK텔레콤 에이닷은 통화녹음·요약 및 실시간 통역 등을 제공하는 서비스다. 에이닷 서비스 중 단말기가 아닌 외부 서버로 통화 녹음파일이 전송되고, 통화 상대방의 동의 없이 민감한 전화 내용을 축출해 서비스로 이용되는 등 개인정보보호법·통신비밀보호법 등 현행법 위반 소지가 있다는 논란이 제기돼왔다.

개인정보위 실태 조사결과, 이 서비스는 이용자의 기기에서 통화 녹음이 이뤄지면 음성파일이 SK텔레콤의 서버에서 텍스트로 변환되고, 이를 다시 마이크로소프트(MS)의 클라우드에서 요약해 이용자에게 전달하는 방식으로 진행되고 있다.

이 과정에서 텍스트 파일을 보관하는 시스템 등에 접속기록이 보관되지 않은 사실이 있어, 개인정보위는 시스템상 접속기록의 보관·점검 등 안전조치 의무를 준수토록 시정권고하기로 했다. 아울러 텍스트 파일의 보관 기간 최소화, 비식별 처리 강화, 서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련·시행할 것을 개선 권고키로 했다.

개인정보위에 따르면 SK텔레콤은 점검 기간 동안 국외이전 관련 고지 구체화, 학습데이터 보관 기간 단축 등의 조치를 취했다.

스노우, 특정 기능 관련 이미지 서버로 전송하나 이용자가 알기 어려워…개선권고


네이버의 스노우 서비스도 실태조사 대상이다. 이 서비스는 생성형 AI 기술을 기반으로 AI 프로필 등 얼굴 사진을 변형한 이미지를 생성해 주는 서비스다.

개인정보위 조사결과, 사전 학습(pre-training)돼 인터넷에 공개된 AI 모델을 이용함에 따라 별도로 학습데이터는 수집하지 않으며, 서비스 이용 과정에서 생성된 이미지 또한 이용자 편의(재다운로드 등)를 위해 일정기간 서버에 보관할 뿐, 다른 목적으로 이용하지 않았다.

다만, 스노우가 제공하는 특정 기능 관련해 이미지를 서버로 전송해 사용·처리 중이나, 처리 방침에는 이용자가 알기 어려운 형태로 공개하고 있고, 이미지 필터링 등을 위한 외부 개발도구(SDK)의 안전성을 충실히 검토하지 않은 사실이 있었다.

이에 개인정보위는 개인정보를 서버로 전송해 처리하는 경우, 이용자가 이를 쉽게 인지할 수 있도록 하고, 외부 SDK를 사용해 개인정보를 처리하는 경우 의도하지 않은 개인정보 처리·전송 가능성을 점검할 것을 개선 권고했다.

딥엘·뷰노 등도 대상…"취약점 선제적으로 점검하고 개선 유도"

딥엘은 AI 기반 전 세계 31개 언어를 번역해 주는 서비스다. 공개된 데이터와 이용자가 무료 서비스에 입력한 텍스트를 AI 학습데이터로 활용하고 있다.

개인정보위는 딥엘이 이용자가 무료 서비스에 입력한 정보에 대해 AI 학습·인적 검토를 진행하면서 이를 명확하게 공개하지 않은 사실을 확인했다.

다만, 점검 과정에서 개인정보를 입력하지 않도록 입력 화면에 안내하고, 인적 검토 사실을 처리방침에 반영함으로써 별도의 개선권고는 하지 않기로 했다.

뷰노는 AI 기반 의료영상(X-RAY, CT, MRI 등)·생체신호(심전도 등) 판독·진단을 보조하고 질환(심정지)을 예측하는 프로그램이다.

뷰노는 AI 학습에 병원의 기관생명윤리위원회 및 기관데이터심의위원회를 통과한 데이터만 사용하고, 의료기관에서 프로그램에 입력한 의료영상 등의 데이터는 사용하지 않는 것으로 확인돼 AI 학습데이터 수집'처리 관련 보호법 위반 사항은 발견되지 않았다.

개인정보위는 "이번 사전 실태점검은 각 산업·서비스 분야에서 빠르게 AI를 도입하는 가운데 개인정보 처리 과정에서의 취약점을 선제적으로 점검하고 개선을 유도했다는 데 의의가 있다"고 설명했다.

아울러 "앞으로도 정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI를 도입하는 응용서비스에 대한 지속적인 모니터링을 실시하고, AI 시대의 개인정보 보호 대책 및 안전한 개인정보 활용 방안을 마련해 나갈 계획"이라고 밝혔다.


◎공감언론 뉴시스 [email protected]

많이 본 기사