[종합] 60만명 개인정보 처벌 1억 원...‘이루다’가 남긴 숙제

입력 2021-04-28 16:25수정 2021-04-28 16:40

  • 작게보기

  • 기본크기

  • 크게보기

▲송상훈 개인정보보호위원회 조사조정국 국장이 4월 28일 오후 서울 종로구 정부서울청사 3층 합동브리핑룸에서 제7회 전체회의 관련 브리핑을 하고 있다. (사진제공=개인정보보호위원회)

개인정보를 무단으로 활용한 AI 기술 기업에 대한 첫 제재 결과가 나왔다. 다만 AI 학습을 위해 활용되는 가명정보 처리와 관련, 여전히 활용과 보호 두 마리 토끼를 잡기 어려워 보인다.

◇ 개인정보위, 1억330만 원 과징금ㆍ과태료…추가 위반사항 밝혀내기도

개인정보보호위원회는 28일 제7차 전체회의를 개최하고 챗봇 ‘이루다’ 개발사 ㈜스캐터랩에 1억330만 원의 과징금ㆍ과태료를 부과했다.

㈜스캐터랩은 자사의 챗봇 ‘이루다’ AI 모델 개발을 위한 알고리즘 학습 과정에서 개인정보 보호법을 위반했다. 자사의 앱 서비스인 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 카카오톡 대화를 명시적인 동의를 받지 않고 ‘이루다’의 개발과 운영에 이용한 것이다.

더불어 이용자의 카카오톡 대화에 포함된 이름ㆍ휴대전화번호ㆍ주소 등의 개인정보를 삭제하거나 암호화하는 등의 조치를 전혀 하지 않았다. 이 과정에서 약 60만 명에 달하는 이용자의 카카오톡 대화문장 94억여 건이 이용됐다. 특히 이루다 서비스를 위해 20대 여성의 카카오톡 대화 문장 약 1억 건을 응답 DB(데이터베이스)로 구축, 이루다가 문장을 선택해 송출할 수 있도록 운영했다.

배상호 개인정보위 조사2과장은 “과태료ㆍ과징금 산정은 ‘텍스트앳’과 ‘연애의 과학’ 평균 매출액 10억8000만 원에서 산정한 것”이라며 “챗봇 ‘이루다’에서는 직접적인 매출액이 없었지만 텍스트앳과 연애의 과학 서비스 관리ㆍ운영 인력이 같아 같은 매출액이라 판정해 과징금ㆍ과태료를 부과했다”라고 설명했다.

직접적인 매출이 발생하지 않는 서비스에서 개인정보 위반 사항이 발생해도 개인정보를 무단 활용하거나 이관받은 서비스의 매출액과 연동해 과징금ㆍ과태료를 부과할 수 있는 것이다.

더불어 개인정보위는 조사 과정에서 ㈜스캐터랩의 추가 위반 사항을 적발했다고 밝혔다.

㈜스캐터랩이 ‘연애의 과학’ 운영 중 ‘내 대화 상대방의 섹스판타지는?’이라는 서비스를 제공한 바 있다. 해당 서비스에서 성생활 등에 관한 정보를 처리하면서 별도의 동의를 받지 않은 것이다. 개인정보위는 이에 대해 과징금 1950만 원을 부과했다.

(사진제공-개인정보보호위원회)

◇ 가명정보 처리 ‘못’한 경우는 처벌 불가능?

개인정보위는 3개월간의 조사 과정에서 위와 같은 추가 사항을 적발해내기도 했지만, 여전히 가명정보 처리에 대한 모호한 입장을 취하고 있다.

개인정보위의 ‘이루다’ 조사는 AI 기술기업의 무분별한 개인정보 처리를 제재한 첫 사례로 이목을 모았다. AI 고도화를 위해 수많은 빅데이터를 수집하고 학습해야 한다. 해당 빅데이터에 대해 적절한 비식별화 조치로 개인정보 유출이 이뤄지지 않게 하는 것이 업계의 난제로 꼽혀왔다.

28일 오전 진행된 개인정보위 제7차 전체회의에서는 개인정보위와 ㈜스캐터랩의 입장차가 고스란히 드러났다. 이날 의견진술을 위해 스캐터랩 김종윤 대표는 변호사를 대동하고 전체회의에 참석했다.

이날 스캐터랩 측은 “이루다 AI 고도화를 위해 학습 DB와 응답 DB 모두를 가명화하고, 특히 응답DB는 익명 정보라 할 수 있을 정도로 가명화를 철저히 처리했다”라며 “실제 문제 소지가 있을만한 대화가 700만 건 중 3~4건에 불과하다”라고 주장했다.

개인정보위의 의견은 이와 정반대였다.

송상훈 개인정보위 조사조정국장은 이날 전체회의에서 “회원 식별자에 한해서만 삭제ㆍ암호화 조치를 했을 뿐 대화 내용 중 포함된 개인정보에 대해서는 아무 처리를 하지 않아 가명화하려는 노력이 없었던 것으로 보인다”라고 말했다.

배상호 개인정보위 조사2과장은 브리핑을 통해 “다만 획일적으로 어떻게 하면 가명 처리를 다 한 것이라고 말하기는 굉장히 어렵다는 걸 이번 심의를 진행하면서 느꼈다”라며 “가명 처리에 있어서는 각각, 처한 개별 상황들을 판단해서 볼 수밖에 없다”라고 설명했다.

실제 이번 ㈜스캐터랩 처분에 가명정보 처리 미진에 대해 다루지 못했다. 현행 개인정보 보호법 제28조의6(가명정보 처리에 대한 과징금 부과 등)와 제71조(벌칙) 4의2, 4의3에서는 영리 또는 부정한 목적으로 가명정보를 제공받거나 특정 개인을 알아보기 위한 목적으로 가명정보를 처리한 자에 대해 과징금ㆍ벌금을 부과한다고 규정하고 있다.

부정한 목적으로 가명정보를 활용할 경우에만 징벌 규정이 존재하고, 가명정보를 제대로 처리하지 못한 경우에 대해서는 제재할 수 있는 규정이 존재하지 않기 때문이다.

(연합뉴스)

◇위법행위 증거 DB…당장 폐기 vs 보전해야

㈜스캐터랩이 구축한 개인정보DB에 대한 요구도 엇갈리고 있다.

이용자들의 카카오톡 대화로 구축한 DB를 이번 사건의 증거로 보전해야 한다는 주장과, 개인정보가 유출됐으니 즉각 폐기해야 한다는 주장이 있다.

실제 피해자들은 ㈜스캐터랩을 상대로 증거 보전을 신청, 법원이 이를 인용하기도 했다.

피해자들의 집단소송을 대리하고 있는 법무법인 태림 김상현 변호사는 “우선 스캐터랩이 구축한 전체 DB에 대해 증거 보전을 신청했지만, 현재 소송에 참여한 이들에 한해 증거가 보전된 상황”이라며 “이렇게 분리하는 것이 기술적으로 가능한지는 지켜봐야 알 것 같다”라고 설명했다.

향후 스캐터랩을 상대로 한 소송에 추가 참여할 이들이 등장할 수 있다는 것. 반면 개인정보위는 1년 이상 휴면한 회원의 개인정보는 폐기하겠다는 입장이다.

이날 브리핑에 참석한 개인정보위 실무진은 “소송에 참여하거나 소송에 참여할 예정인 사람들의 개인정보가 보존될 필요가 있다는 주장이 있어 검토는 했지만, 원칙적으로 개인정보 보호법 규정에 따라 파기되는 것이 맞다는 판단을 하고 있다”라며 “다만 시정조치를 할 때 여러 사정을 고려해서 개인정보보호위원회와 협의해서 파기 조치를 이행하도록 하는 절차를 마련했기 때문에 그런 모든 사정들을 협의하에 진행하려고 한다”라고 설명했다.

한편 향후에도 관련 비즈니스를 계속해서 이어갈 것이냐는 질문에 김종윤 스캐터랩 대표는 “논란도 많았지만 ‘이루다’를 좋아해주는 모습을 보며 의미 있고 긍정적인 영향을 미칠 수 있겠다는 확신을 얻었다”라며 “향후 가장 높은 수준의 컴플라이언스와 가명화 수준을 가져갈 수 있도록 내부적 노력을 많이 하고 있다”라고 답했다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소