[디지털데일리 이종현기자] 개인정보 불법 수집 및 유출로 문제시 됐던 인공지능(AI) 챗봇 서비스 ‘이루다’에 대한 개인정보보호위원회(이하 개인정보위) 처분이 결정됐다. 이루다 개발사 스캐터랩에는 총 1억330만원의 과징금·과태료가 부과됐다.

28일 개인정보위는 스캐터랩의 개인정보보호 법규 위반행위에 대한 시정조치를 발표했다. AI 기술 기업의 무분별한 개인정보 처리를 제재한 국내 첫 사례다.

◆이루다 개발에 쓴 연애의 과학·텍스트앳 데이터··· 개인정보 수집·활용 ‘불법’=스캐터랩은 이루다 개발을 위해 자사의 다른 애플리케이션(앱) ‘연애의 과학’, ‘텍스트앳’ 등에서 수집한 메신저 대화를 이루다 개발 및 서비스 운영에 활용했다. 엑스트앳과 연애의 과학 이용자에게 동의받지 않는 수집 등 법 위반사실이 확인됐다는 것이 개인정보위 측 설명이다.

개인정보위 조사에 따르면 스캐터랩은 스캐터랩은 이루다의 AI 모델 개발을 위한 알고리즘 학습 과정에서 카카오톡 대화에 포함된 이름, 전화번호, 주소 등 개인정보를 삭제하거나 암호화하는 등의 조치를 일절 하지 않고 60만명에 달하는 이용자의 카카오톡 대화문장 94억여건을 이용했다.

스캐터랩 측은 텍스트앳과 연애의 과학 개인정보처리방침에 ‘신규 서비스 개발’을 포함시켰고, 이용자가 로그인을 함으로써 이용자가 개인정보 수집 및 활용에 동의했다고 항변했다. 이루다 학습 및 운영은 동일한 신규 서비스에 포함되기 때문에 목적 외 이용에 해당되지 않는다는 주장이다.

하지만 개인정보위 논의 결과 스캐터랩의 주장은 받아들여지지 않았다. 신규 서비스 개발이라는 기재만으로 이용자가 이루다 개발과 운영에 카카오톡 대화가 이용될 것이라고 예상하기 어려우며 개인정보 자기결정권이 제한되는 등 이용자가 예측할 수 없는 손해를 입을 우려가 있다고 판단했다.

회의에 참여한 백대용 소비자시민모임 회장은 “미국은 스타트업이라고 하더라도 사업과 관련한 분쟁 이슈를 잘 찾아서 한다”며 “비즈니스 모델을 개발하는 과정에서 투자유치 등에 치중하다 보니 선 이용 후 체크가 되는 듯한데. 이번 일을 계기로 AI 스타트업에 종사하는 분들이 마인드 전환을 해야 한다고 생각한다”고 꼬집었다.

◆개인정보 비식별 처리 노력 없었다=가명처리 미흡에 대한 지적도 제기됐다. 스캐터랩은 개발자 커뮤니티 깃허브에 2019년 10월부터 2021년 1월까지 이름 22건, 지명정보 34건, 성별, 대화 상대방의 관계 등이 포함된 카카오톡 대화문장을 AI 모델과 함께 깃허브에 공유했다. 또 이루다의 응답 데이터베이스(DB)에 20대 여성의 카카오톡 대화문장 약 1억건을 활용했는데, 활용하는 데이터의 비식별 조치가 제대로 이뤄지지 않았다는 것이다.

스캐터랩은 AI 학습 DB와 응답 후보 DB 모두 비식별 조치를 했다고 말했다. 특히 응답후보 DB의 경우 익명정보라 할 수 있을 정도로 철저히 가명처리르 했다고 주장했다. 엄격한 개인정보 제거 과정을 거쳐 응답 후보 데이터에 수록한 정보 중 문제된 정보는 극소수에 불과하다고 피력했다.

이에 대해 개인정보위는 “AI 학습에 가명정보를 활용할 수 있지만 스캐터랩의 경우 회원 식별자만 삭제 암호화 조치했을 뿐 대화 내용의 개인정보에 대해서는 아무 처리를 하지 않아 가명화하려는 노력은 없었다”고 진단했다.

또 “응답 DB 자체는 가명정보에 해당한다고 볼 수 있지만 이를 발화자에게 제공하는 행위는 기술적 연구로 볼 수 없어 가명정보 특례 적용도 할 수 없다고 보인다”며 스캐터랩의 주장을 받아들이지 않았다.

◆무분별한 개인정보 수집·활용 경계해야=개인정보위는 조사 과정에서 정보주체가 명확히 인지할 수 있도록 알리지 않거나 동의받지 않는 등 추반 위반사실을 확인, 이루다와 관련한 총 8개 개인정보보호법 위반 사례에 대해 1억330만원의 과징금·과태료를 부과하고 시정조치를 명령했다.

윤종인 개인정보위원장은 “이루다 사건은 전문가들조차 의견이 일치되지 않아 그 어느 때보다 격렬한 논쟁이 있었고 신중한 검토를 거쳐 결정됐다”며 “이번 사건은 기업이 특정 서비스에서 수집한 정보를 다른 서비스에 무분별하게 이용하는 것이 허용되지 않고 개인정보 처리에 대해 정보주체가 명확히 인지할 수 있도록 알리고 동의받아야 한다는 것을 명확히 한 데 의미가 있다”고 말했다.

이어서 그는 “이루다에 대한 처분 결과가 AI 기술 기업이 개인정보를 이용할 때 올바른 개인정보 처리 방향을 제시하는 길잡이가 되고 기업 스스로 관리·감독을 강화해 나가는 계기가 되기를 바란다”고 부연했다.

한편 개인정보위는 AI 기술 기업의 개인정보보호 역량을 강화할 수 있도록 현장에서 활용 가능한 ‘AI 서비스 개인정보보호 자율점검표’를 발표했다. 현장 컨설팅을 지원하는 등 개인정보를 보호하면서 AI·데이터 기반 산업이 발전할 수 있도록 뒷받침한다는 계획이다.

<이종현 기자>bell@ddaily.co.kr