보안

"개인정보 보호 중요성 커진다" AI 프라이버시 리스크 관리 모델 첫 공개

김보민 기자

고학수 개인정보보호위원회 위원장이 19일 서울 서초구 엘타워에서 열린 '인공지능(AI) 시대 개인정보 정책 종합설명회'에서 인사말을 하고 있다. [ⓒ개인정보보호위원회]

[디지털데일리 김보민기자] 정부가 인공지능(AI) 위험 요인을 관리할 수 있는 모델을 첫 공개했다. 신기술 개발 속도가 빨라지면서 개인정보 보호 요건이 까다로워진 가운데, 현장에서 발생할 수 있는 혼란을 완화하도록 돕는다는 취지다.

고학수 개인정보보호위원회(이하 개인정보위) 위원장은 19일 서울 서초구 엘타워에서 열린 'AI 시대 개인정보 정책 종합설명회'를 통해 "AI로 대표되는 새 기술 혁신은 우리 삶을 풍요롭고 편리하게 만들지만, 동시에 개인정보 보호에 대한 요구와 중요성 또한 커지고 있다"고 진단했다.

이러한 흐름에 맞서 개인정보위가 가이드라인과 정책 수립에 힘을 집중했다고도 밝혔다. 고 위원장은 "지난해 개인정보 보호법 전면 개정과 'AI 시대 안전한 개인정보 활용 정책 방향'을 토대로 AI와 데이터 처리 원칙 및 기준을 구체화하는 안내서를 마련했다"며 "공개된 개인정보 처리, 이동형 영상기기 촬영정보 활용 안내서, 그리고 첫 공개하는 AI 프라이버시 리스크 관리 모델과 합성데이터 생성 및 활용 안내서도 같은 맥락에서 준비된 결과물"이라고 소개했다.

이날 개인정보위가 발표한 'AI 프라이버시 리스크 관리 모델'은 AI 모델과 시스템을 개발하고 제공할 때 위험 요인을 관리하는 데 도움이 되고자 마련됐다. 리스크 관리 절차로는 ▲AI 유형 및 용례 파악 ▲리스크 식별 ▲리스크 측정 ▲리스크 경감 방안 검토 및 도입 등이 제안됐다.

AI 프라이버시 리스크 관리 절차 [ⓒ개인정보보호위원회]

이러한 리스크 관리는 위험 요인을 조기에 발견하고 완화하는 데 도움이 될 전망이다. 개인정보위는 프라이버시 맥락에서 AI 리스크 유형을 예시로 제시했다. 유형은 단계별로 ▲기획 및 개발 ▲서비스 제공 등 두 가지로 나뉘는데, 특히 서비스 제공 영역에서는 생성 AI, 판별 AI(사람 평가 및 분류·추천 시스템·사실 인지) 등이 포함됐다.

세부적인 프라이버시 리스크 유형으로는 적법하지 않은 학습 데이터를 수집 혹은 이용, AI 학습데이터에 대한 부적절한 보관과 관리, 학습데이터 암기 및 개인정보 유출 및 노출, 악의적 AI 합성콘텐츠로 인한 정보주체 권리 침해, 자동화된 결정으로 인한 정보주체 권리 약화, 대중 감시 및 민감정보 추론 위협이 꼽혔다.

리스크를 줄이기 위한 관리 및 기술적 안전 조치도 포함됐다. 관리적 조치에는 ▲학습데이터 출처 및 이력 관리 ▲허용되는 이용 방침 마련 ▲AI 프라이버시 레드팀을 통한 개인정보 침해 유형 테스트 및 조치 ▲정보주체 신고 방안 마련 등이 포함됐다. 기술적 조치에는 ▲AI 학습데이터 전처리 ▲AI 모델 미세조정을 통한 안전장치 추가 ▲입력 및 출력 필터링 적용 ▲차분 프라이버시 기법 적용 등이 담겼다.

리스크 관리 체계를 마련해야 한다는 점도 포함됐다. 개인정보위는 특히 개인정보보호책임자(CPO)의 주도적인 역할과 책임감이 중시되고, 담당조직과 리스크 관리 정책을 마련해야 한다고 부연했다.

고 위원장은 "현장에서 필요로 하는 데이터 처리 기준과 모범 사례를 안내서에 구체적으로 담기 위해 노력했다"며 "책상에 방치된 안내서가 아닌, 책상에 꽂아두고 수시로 찾게 되는 안내서가 되도록 심혈을 기울였다"고 강조했다.

이외에도 개인정보위는 이날 '합성데이터 생성·활용 안내서'를 발간했다. 안내서는 사용자가 개인정보 식별 가능성에 대응할 수 있도록 합성데이터 생성 및 활용 단계를 ▲사전 준비 ▲합성데이터 생성 ▲안전성 및 유용성 검증 ▲심의위원회 평가 ▲활용 및 안전한 관리 등으로 나눴다. 산업 현장이나 연구소에서 합성데이터 관련 절차, 서식, 방법론, 법령 준수사항을 참고해야 할 때 안내서가 활용될 전망이다.

개인정보보호위원회가 19일 서울 서초구 엘타워에서 'AI 시대 개인정보 정책 설명회'를 개최했다. 고학수 개인정보보호위원회 위원장(왼쪽 두번째)이 개인정보보호중심설계(PbD) 수상자들과 기념사진을 촬영하는 모습.

한편 개인정보위는 개인정보보호중심설계(PbD) 관점에서 보호 전략을 재편해야 한다는 점도 강조했다. PbD는 제품 또는 서비스의 기획, 제조, 폐기 등 전 단계에 걸쳐 개인정보 보호 요소를 고려해 침해 사고를 사전에 예방하는 설계 개념을 뜻한다. 글로벌 보안 시장에서 '시큐리티 바이 디자인' 혹은 '시큐어 바이 디자인'이라는 개념이 두드러지고 있는 가운데, 국내에서도 유사한 흐름이 대두되는 모습이다.

이날 현장에서는 PbD 인증 수여식도 개최됐다. 인증을 취득한 3개 제품은 삼성전자의 로봇 청소기 '비스포크 AI 스팀', 앤트랩의 개인영상정보 비식별화 시스템 '프라이버시 프로(Privacy Pro)', 블록오디세이의 스마트 경로당 키오스크 '실버 키오스크(Silver Kiosk)' 등 3개다.

고 위원장은 "PbD 인증을 통해 일상생활 밀접 제품이 개인정보 보호와 소비자 선택권이 강화될 수 있도록 많은 관심 부탁드린다"고 밝혔다. 그러면서 "개인정보 보호는 단순 규제(컴플라이언스)의 문제가 아닌 국민과 소비자 신뢰를 확보하고 지속 가능한 혁신을 가능하게 하는 초석"이라며 "각 기관과 기업 내 개인정보 업무 담당자로서 현장 최일선에서 노력하고 있는 이들의 역할이 무엇보다 중요하다"고 말했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널