UPDATED. 2024-03-28 11:51 (목)
[기획특집] AI 챗봇 ‘이루다’ 논란, 결국은 ‘개인정보보호’
상태바
[기획특집] AI 챗봇 ‘이루다’ 논란, 결국은 ‘개인정보보호’
  • 전지원 기자
  • 승인 2021.03.12 10:06
  • 댓글 0
이 기사를 공유합니다

서비스 종료한 AI 챗봇 '이루다' 해결 과제 남기다!
DB 폐기 약속한 스캐터랩, 피해자 공동소송으로 대응

[소비라이프/전지원 기자] AI 챗봇 ‘이루다’가 서비스를 종료했다. 출시된 지 약 3주 만의 일이다. 이루다가 논란을 남기기는 했지만, AI를 어떤 시각으로 바라봐야 할지 생각해볼 때이다.

아무것도 이루지 못한 ‘이루다’
작년 12월 23일 인공지능(AI) 챗봇 ‘이루다’가 출시됐다. 이루다는 페이스북 메신저를 통해 일상적인 대화를 할 수 있으며, 사용자들과 대화를 하면서 학습하는 딥러닝 기술을 이용해 만들어졌다.

기존 챗봇보다 더 높은 수준의 맥락 이해도와 자연스러운 문장 구사 능력을 갖춰 똑같은 말을 반복할 경우 입력된 답변이 계속해서 무작위로 나오는 기존 챗봇들과는 달리 “자꾸 똑같은 말만 하면 나 답 안 할 거야”와 같은 현실적인 반응을 보였다.

친근감으로 무장한 이루다는 정식서비스를 시작하자 10, 20대 사이에서 빠르게 퍼져나가 1월 초에는 이용자 32만 명을 돌파하기도 했다. 그런 이루다가 출시 3주 만에 서비스를 중단했다. 성희롱, 혐오 발화, 개인정보 유출 등의 문제들이 발생했기 때문이다. 결국 개발사 스캐터랩 측은 서비스 중단을 선언하며 “AI 윤리에 관한 사회적 합의에 부합할 수 있도록 노력하겠다”라고 사과문을 기재했다.

가장 문제가 된 건 개인정보 유출이다. 이루다가 네티즌과의 대화 과정에서 사람들의 실명과 애칭, 집 주소를 노출한 것이다. ‘○○은행 예금주 김○○’, ‘○○도 ○○시 ○○동’과 같이 상세한 정보가 드러났기에 이용자들 사이에서는 사생활이 침해당했다며 비판의 목소리가 가해졌다. 그러나 업체는 학습에 사용된 모든 데이터는 비식별화가 진행됐다고 주장했다. 이루다 개발사인 ‘스캐터랩’은 자회사인 ‘연애의 과학’을 운영하며 실제 이용자들이 연인과 나눈 카카오톡 대화를 수집했다. 100억 건에 달하는 이 데이터들은 이루다 개발의 재료로 활용됐다. 문제는 이 데이터 수집 과정에서 사용자들로부터 충분한 동의를 얻지 못했고, 심지어는 그 개인정보가 챗봇 이용자에게 노출됐다는 점이다.

해당 앱 이용자들은 자신들의 사적인 대화가 공개적인 AI 서비스 개발에 사용될 줄 몰랐다며 데이터 수집에 대한 사전 정보 고지가 미비했다고 지적했다. 실제로 서비스 가입 시 동의해야 하는 개인정보취급방침에는 ‘수집된 개인정보는 신규 서비스 개발에 활용될 수 있다’는 내용이 있으나, 대화와 같은 데이터 사용에 대한 별도의 공시는 존재하지 않았다. 신규 출시된 이루다가 데이터를 학습했다는 사실 또한 명확히 밝히지 않았다.

이 문제는 청와대 국민청원 게시판에도 등장했다. 해당 청원인은 개인정보 유출에 대해 합당한 책임과 강력한 처벌을 해달라는 내용의 글을 올렸다. 이에 스캐터랩 측은 “이루다를 개발하는 과정에서 본사가 제공하고 있는 서비스 ‘연애의 과학’으로 수집한 메시지를 데이터로 활용한 바 있다”고 인정하는 한편 “사전에 동의가 이루어진 개인정보취급방침의 범위 내에서 활용했고, 데이터 활용 시 사용자의 닉네임과 이름, 이메일 등 구체적인 개인정보는 제거했다”고 해명하기도 했다. 이후 스캐터랩 측은 거세지는 개인정보 유출 의혹에 대해 조사가 종료되는 즉시 이루다 DB와 대화 모델을 폐기할 방침이라고 밝혔다.

피해자 300명 공동소송 진행
그러나 이 약속은 지켜지지 않을 것으로 보인다. 서울동부지법이 법무법인 태림이 제기한 증거보전 신청을 인용했기 때문이다. 앞서 개인정보를 유출당했다는 피해자 300여 명은 공동소송 플랫폼 ‘화난사람들’을 통해 소송을 제기했다. 소송대리인인 법무법인 태림 측은 “우선 신청을 마감하고, 추가 모집 여부는 추후 검토할 예정”이라고 밝혔다.

소송을 제기하기 전 피해자들 측은 서울동부지법에 스캐터랩을 상대로 한 증거 보전 신청서도 제출했다. 이들은 이루다 제작에 사용된 카카오톡 대화에서 전화번호나 주소가 등장하는 등 스캐터랩이 개인정보를 제대로 관리하지 못했다는 의혹을 제기했다. 피해자 측은 100억 건의 원본 카카오톡 DB와 1억 건의 이루다 DB를 모두 증거로 보전해야 한다고 신청했다. 스캐터랩이 이루다 DB를 훼손·파기할 경우 이후 피해 입증이 어려울 수 있다는 판단에서다.

법원은 스캐터랩 측에 카카오톡 대화 내용 전체 DB와 이를 가공 조치한 별도 DB, 이루다 학습 및 서비스에 사용된 대화 내용 등을 모두 법원에 제출하라고 명령했다.

하정림 법무법인 태림 변호사는 “사건 피신청인(스캐터랩)은 실명 등을 불완전 삭제하고 성적 대화, 사상, 신념, 영업 비밀 등이 담긴 대화를 그대로 (이루다) DB 학습 용도로 사용했고 이루다를 통해 다수에게 공개했다”고 지적했다. 그는 “피해를 확인하고 후속 조처를 하기 위해서는 DB 내용을 확인해야 하기에 증거 보전을 신청했다”고 설명했다. 또한 법무법인 태림은 조만간 손해 배상 청구 소송 본안 소송을 제기할 계획이다. 신상민 법무법인 태림 변호사는 “확보한 DB로 스캐터랩의 위법 행위를 밝히고 본안 소송을 진행할 계획”이라며 “조만간 소장을 제출할 것”이라고 말했다.

개인정보보호법 개정안 시행
최근 카카오의 지도앱 ‘카카오맵’도 이용자들의 개인정보가 줄줄이 새고 있다고 지적받았다. 정보기술(IT) 업계에 따르면 카카오맵 이용자들이 이름, 가족, 직장 등 자신의 신상정보를 즐겨찾기로 설정해놓고 이를 전체 공개로 해둔 것이 다른 이용자들에게 노출된 것으로 확인됐다. 자녀의 학교와 직장, 개인 성생활 기록, 자녀 사진 공개 심지어 군부대 이름과 훈련위치를 그대로 올려둔 사례도 있었다.

카카오 측은 “즐겨찾는 장소는 개인정보가 아니다”라는 입장이지만, 정보공개 기본 설정을 ‘공개’로 해둔 것만으로도 문제가 있다는 비판이 제기됐다. 개인정보위원회는 “현재까지 카카오는 카카오맵 즐겨찾기 폴더 생성 시 기본 설정을 ‘공개’에서 ‘비공개’로 조치한 바 있으나, 이는 카카오맵 이용자가 즐겨찾기 폴더를 신규 생성하는 경우에만 적용된다”라며 “기존에 생성된 즐겨찾기 폴더의 내용은 여전히 공개되어 개인정보가 침해되는 문제가 있다”고 했다. 이어 “카카오는 개인정보위의 요청을 수용해 금일부터 기존에 생성된 즐겨찾기 폴더의 내용도 비공개로 전환하기로 했다”라며 “아울러 개인정보위는 본 건에 대해 사실관계 확인 후 위법사항이 발견될 경우 검사할 계획”이라고 했다.

이런 일이 연이어 벌어지자 더불어민주당 김병욱 의원은 ‘개인정보보호법 개정안(카카오맵·이루다 개인정보유출 방지법)’을 대표 발의했다. 민감정보를 포함한 대량의 개인정보가 일상적으로 처리되고 있음에도 사생활 침해의 위험성 등에 대한 충분한 고지가 이뤄지지 않았기 때문이다.

이번 개정안에는 기업이나 정부 등에 의해 공개되는 정보에 민감정보가 포함돼 사생활 침해의 위험성이 있다고 판단 시, 재화·서비스 제공 전에 민감 정보의 공개 가능성 및 비공개 선택 방법을 알기 쉽게 고지할 의무를 부과했다. 특히 현행법상 ‘강요된 필수동의’ 관행으로 피해를 입은 소비자를 구제하는 조항이 미비하다는 지적이 있었는데, 가명 정보를 공익연구 목적으로 활용한다고 이용 동의를 받은 뒤 목적 외로 사용할 경우 현행법의 미비로 처벌이 어려운 측면이 있다는 것이었다.

이와 함께 개인정보 처리 방침의 적정성을 심사할 수 있는 조항 역시 부재하다. 이로 인해 최근 사회적 물의를 일으킨 카카오맵과 이루다의 개인정보 유출의 경우도 현행법상 처벌이 어렵다는 지적이 나오고 있는 상황이다.

이번 개정안에는 기업이나 정부 등에 의해 공개되는 정보에 민감정보가 포함돼 사생활 침해의 위험성이 있다고 판단 시, 재화·서비스 제공 전에 민감 정보의 공개 가능성 및 비공개 선택 방법을 알기 쉽게 고지할 의무를 부과했다. 계약 체결 시 불가피한 형식적 동의와 필수동의 관행을 없앴다는 특징도 있다.

또한 개인정보 침해에 대한 책임을 개인에 대한 형벌 중심에서, EU 등 해외 주요국의 입법례를 참고해 실질적 책임이 있는 기업에 대한 경제 제재 중심으로 전환했다. 이어서 정보처리 책임자 개인의 형벌 규정은 하향해 데이터 활용의 심리적 압력을 낮추는 한편 데이터 개발 관련 투자는 촉진하고, 기업의 반복적 법 위반행위에 대해서는 엄격한 경제적 책임을 부가하도록 하는 방향이다.

당정은 데이터 생산과 거래를 활발하게 하는 데이터 기본법과 더불어 이번 개인정보보호법 개정안을 신속 처리할 계획이다. 김병욱 의원은 “법안이 통과되면 민감정보 공개 위험성에 대한 고지 의무를 강화해 이용자의 데이터 주권을 지키고, 법 적용의 일관성과 예측 가능성을 높여 기업 활동에 도움이 될 예정”이라고 밝혔다. 그는 “4차 산업혁명 시대 미래 먹거리인 데이터를 기업이 활용할 때, 모호했던 부분을 명확히 규정해 세세하게 동의를 받게 했다”며, “데이터 3법 통과로 미래 먹거리를 챙기려는 노력에는 ‘안전성 담보’가 필수인데, 안전성이 담보돼야 우리나라 IT기업들도 개인정보보호 허들이 높은 글로벌 시장에서 서비스를 할 수 있다”고 강조했다.

개인정보보호, 사전 동의·사후 통제 동시에
국회입법조사처는 ‘이루다를 통해 살펴본 AI 활용의 쟁점과 과제’ 보고서를 발간하고 이루다 사건을 계기로 AI를 안정적으로 활용할 수 있는 기반을 다져야 한다고 보고, 앞으로 해결해야 할 과제를 짚었다.

이번 보고서에서는 개인정보 보호 법제 개선, AI 윤리기준 구체화, 학습데이터 확보 등이 주요 해결 과제로 꼽혔다. 향후 개인정보보호를 위한 다각도의 정책적 제언이 실려 주목된다.

법제 부문에서는 개인정보 처리 시 사전동의 절차의 실효성을 높이는 것이 중요하다고 봤다. 개발사 측이 이루다를 학습시키기 위해 연인들의 대화를 수집할 때 ‘형식적인’ 사전동의만 거친 것이 문제가 될 수 있다는 지적이다. 동의서에 너무 많은 설명과 조건이 쓰여 있어 사용자가 구체적인 내용을 파악하기 어려웠다는 설명이다.

또 개인정보 처리에 있어서 사후통제 역시 강화해야 한다는 주장이다. 개인정보보호위원회가 입법예고한 ‘개인정보 보호법 일부개정법률안’을 통해 가능할 수 있을지 검토가 필요하다. 해당 개정안은 기관의 직권 또는 민간단체의 청구에 의해 개인정보 처리방침이 법률을 위반하는지를 심사할 수 있도록 하고 있다. 대화 및 영상 등 비정형 데이터를 충분히 가명처리하기 위한 목적으로 가이드라인 개선 등 관련 기준을 강화하는 것도 권고됐다.

전문가들은 이런 문제가 반복되지 않도록 사전동의 제도의 실효성을 높이고 사후통제를 강화해 사전 사후 조치의 조화를 이룰 필요가 있다고 조언했다. 아울러 개인정보 가명처리의 기준을 명확히 하고 특히 비정형 개인정보의 가명처리와 재식별 방지에 관한 방안을 마련할 필요가 있다.

또한 인공지능 윤리기준을 구체화할 필요가 있다. 인공지능은 사람들의 생각에 영향을 미치고 동시에 사람들의 반응을 지속적으로 학습해 알고리즘을 수정하기 때문에 인공지능 개발자와 이용자 모두 인공지능 윤리를 준수하는 것이 중요하다. 따라서 많은 사람들이 인공지능 윤리를 일상적으로 실천할 수 있도록 정부의 인공지능 윤리기준을 구체화하고 발전시킬 필요가 있다.

적정 수준의 인공지능 학습데이터를 확보하는 것도 중요하다. 인공지능의 경쟁력은 데이터에 있지만 국내 데이터 시장은 태동 단계이고 특히 중소기업 스타트업의 학습데이터 확보 여건이 좋지 못하다. 따라서 필요한 분야에 적정 수준의 인공지능 학습데이터가 제공될 수 있도록 단기적으로 정부의 노력을 강화할 필요가 있다. 
 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.