검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'⚓양방배팅카지노자판기 매충50%/녹이기성공80%죽장/녹이기실패100%죽장 [양방작업.COM][텔@JP1004] 양방 개인 및 팀단위 환영⚓'통합검색 결과 입니다. (515건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

공공기관 개인정보 유출 51건...반년 만에 역대 최다

행정안전부와 법원 등 올해에만 50여 곳의 공공기관에서 개인 정보 유출 사고가 발생했던 것으로 나타났다. 지난해를 넘어 역대 최대 수치다. 18일 국회 행정안전위원회 소속 양부남 더불어민주당(광주 서구을) 의원은 개인정보보호위원회(이하 개인정보위)로부터 제출 받은 자료를 공개했다. 공개한 자료에 따르면 지난 1월에서 5월까지 개인 정보를 유출했다고 신고한 공공기관은 50곳에 달했다. 41건으로 역대 최고를 기록한 지난해 보다 24% 이상 늘어난 수치다. 해당기간 동안 공공기관에서 유출된 개인정보는 총 18만3천 건에 달하는 것으로 나타났다. 공공 기관의 개인 정보 유출 사고와 유출 기관은 해마다 늘어나고 있는 추세다. 2019년 8개에 불과했던 개인 정보 유출 기관이 2020년 11곳, 2021년 22곳, 2022년 23곳으로 4년 사이에 178% 증가했다. 공공기관의 개인 정보 유출 사고가 증가와 함께 이에 대한 당국의 제재는 민간에 비해 처벌이 약하다는 지적이 나오고 있다. 개인정보위가 출범한 2020년 8월부터 올해 5월까지 공공기관당 평균 과징금은 2천342만 원 수준으로 나타났다. 이는 17억6천321만 원에 달하는 민간 기업의 1.3%에 불과한 수주인다. 이는 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금을 20억 원으로 제한했기 때문이다. 반면, 기업 등 민간의 경우 지난 9월 과징금 상한액을 위법 행위와 관련된 매출액의 3%에서 전체 매출액의 3%로 개정한 바 있다. 다만, 위반 행위와 관련 없는 매출액은 제외한다. 양부남 의원은 사회 취약층의 민감 정보 등을 대량으로 처리하는 공공기관의 정보 보호 역할이 어느 때보다 중요해진 만큼, 이들의 책임을 강화하기 위한 대책이 조속히 마련되야 한다고 지적했다.

2024.06.19 17:48남혁우

개인정보위가 제시한 AI 프라이버시 미래는?

정부가 인공지능(AI) 시대에 필요한 개인정보 투명성 확보 논의를 위한 자리를 마련했다. 개인정보보호위원회는 제3차 '2024 개인정보 미래포럼'을 개최했다고 19일 밝혔다. 이 행사는 개인정보 분야 미래 의제를 선제적으로 논의하고, 산업계과 시민사회 등 현장 의견을 수렴하는 정책 토론의 장이다. 학계를 비롯한 법조계, 사업계, 시민사회 등 관계자 42명이 참석했다. 이번 회의는 AI와 개인정보를 의제로 진행되는 세 번째 포럼이다. 서울대 박상철 법학전문대학원 교수와 한양대 박혜진 법학전문대학원 교수는 각각 'AI 프라이버시 위험도 평가 방안'과 '투명성 확보 방안'을 주제로 발제했다. 개인정보위는 미래포럼에서 제안된 의견을 반영해 ▲공개된 개인정보 처리 안내서 ▲AI 프라이버시 위험도 평가 모델 ▲개인정보 처리 투명성 확보 안내서 등을 마련한다. 개인정보위 관계자는 "이번 포럼을 통한 새로운 정책 마련으로 AI 등 신기술·신산업 성장을 지속적으로 지원할 계획"이라고 말했다.

2024.06.19 16:00김미정

과학 및 기술서비스업 비자발 실업자 증가세 왜?

올해들어 우리나라 비자발적 실업자가 급격히 줄어드는 추세를 나타낸 가운데 전문, 과학 및 기술서비스업 비자발적 실업자는 되레 증가세를 드러냈다. 더불어민주당 황정아 의원실(대전 유성구을)은 올해 우리나라 전체 비자발적 실업자 대비 연구개발업 등이 포함된 전문 과학 및 기술서비스업의 비자발적 실직자 비중이 증가하는 흐름을 나타냈다고 17일 밝혔다. 이같은 통계는 황 의원실이 입법조사처에 의뢰해 분석한 '통계청 고용동향조사 마이크로데이터 분석'결과다. 비자발적 실직자란 '직장의 휴업·폐업', '명예퇴직·조기퇴직·정리해고', '임시적·계절적 일의 완료', '일거리가 없어서 또는 사업 부진' 등 노동 시장적 사유로 직장을 그만둔 사람을 뜻한다. 이 분석결과에 따르면 올해 우리나라 전체 비자발적 실업자는 1월 189만3천771명, 2월 168만9천489명, 3월136만5천413명, 4월 126만7천명, 5월 122만9천433명 등으로 감소세가 뚜렷했다. 그러나 전년 동월과 비교하면 전체 비자발적 실직자는 5월 기준 전년 대비 15만 8천명이나 급증했다. 특히 올해 2월 들어선 비자발적 실직자 증가폭이 급속 확대됐다. 1월 4만 5천명 감소했던 비자발적 실직자는 2월부터 6만9천명으로 확 늘었다. 이어 3월에는 7만 6천명, 4월에는 8만 2천명으로 비자발적 실직자가 증가했다. 전문, 과학 및 기술서비스업 비자발적 실업자 추이는 1월 2만8천673명으로 전체 대비 1.5%, 2월 3만133명으로 1.8%, 3월 3만3천127명으로 2.4%, 4월 3만3천278명, 2.6%로 인원이나 비중이 꾸준히 늘었다. 다만 5월 들어서는 2만9천603명, 2.4%로 숫자나 비중이 소폭 감소했다. 황정아 의원은 "R&D 예산 삭감의 여파가 연구중단으로 이어지는 등 대한민국 미래 먹거리를 만들 과기계가 쑥대밭이 되고 있다는 상징적인 통계”라면서 “현장에서는 하반기부터 예산 삭감의 폐해가 본격화될 것이라는 우려가 나온다"고 말했다.

2024.06.17 22:47박희범

정부 "올해부터 개인정보 처리 투명성 더 자세히 점검"

정부가 개인정보 처리 투명성과 책임성을 강화하기 위한 정책을 실시한다. 개인정보보호위원회는 제10회 전체회의를 열고 '2024년도 개인정보 처리방침(처리방침)' 평가계획을 확정했다고 13일 밝혔다. 올해 평가 분야는 국민생활과 밀접한 ▲빅테크 ▲온라인 쇼핑 ▲온라인 플랫폼(주문·배달, 숙박·여행) ▲병·의료원 ▲온라인 동영상 서비스(OTT) ▲엔터테인먼트(게임, 웹툰) ▲인공지능(AI) 채용이다. 대상기업·기관은 개인정보 보호법 시행령(제31조의2) 및 '개인정보 처리방침 평가에 관한 고시'의 평가 대상 선정 기준을 고려해 고정된 주요 개인정보처리자 49개 기업·기관이다. 평가 기준은 개인정보 보호법(제30조의2)에 따라 ▲처리방침에 포함 사항을 적정하게 정하고 있는지(적정성) ▲처리방침을 알기 쉽게 작성하였는지(가독성) ▲처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등으로 이뤄졌다. 총 26개 항목 42개 지표를 활용해 법적 의무사항 이행 여부, 개인정보처리자의 노력 등을 평가한다. 평가는 외부 전문가로 구성된 평가위원회에서 공개된 자료를 기반으로 한 기초 평가와 평가 대상기관이 제출한 의견 토대로 이뤄지는 심층 평가 방식이다. 해당 서비스 실제 이용자 관점에서 가독성, 접근성 등을 평가하는 이용자 평가도 진행된다. 평가 결과 처리방침이 우수한 개인정보처리자에 대해서는 개인정보 보호법에 따른 과징금·과태료 부과 시 감경 등 인센티브를 제공한다. 개인정보처리자의 자율적인 개선을 유도하고, 개선이 필요한 사항에 대해서는 개선권고 등의 조치를 할 계획이다. 개인정보 처리방침 평가계획은 개인정보 수집·이용, 제공, 위탁 등 개인정보 처리와 관련된 기준과 안전조치에 관한 사항에 대해 개인정보처리자가 스스로 정한 문서다. 개인정보처리자가 어떤 개인정보를 어떠한 목적으로 어떻게 처리하는지 확인할 수 있게 하는 시스템이다. 정보주체의 권리를 보장하는 가장 기본적인 수단이라고 볼 수 있다. 지난해 법 개정을 통해 개인정보 처리의 투명성, 책임성을 강화하고 정보주체의 알권리 등 실질적인 통제권을 보장할 수 있도록 개인정보 처리방침 평가제도를 도입했다. 올해 본격적으로 첫 평가를 실시한다. 양청삼 개인정보정책국장은 "개인정보 처리방침 평가제가 올해 처음으로 시행되는 제도인 만큼, 개인정보처리자에게 부담을 주는 방향으로 운영하기 보다는 우수한 사례를 발굴, 공유하는 데 중점을 둘 것"이라며 "법 위반 우려 등이 있는 경우에는 개선을 유도하는 방향으로 추진할 계획"이라고 말했다.

2024.06.13 17:19김미정

개인정보위 "재정 상황 어려운 사업자, 과징금 면제"

사업자가 개인정보보호법을 위반했지만, 재정 상황이 어려울 경우 과징금 면제를 받을 수 있게 됐다. 개인정보보호위원회는 제10회 전체회의에서 개인정보보호 법규를 위반한 조이젠에 대해 과징금 부과는 면죄하되, 360만원 과태료 부과와 시정명령, 저분 결과를 공표하기로 의결했다고 13일 밝혔다. 개인정보위 조사 결과, 조립PC 판매 사이트를 운영하는 조이젠은 '개인정보 보호법' 제29조인 안전조치 의무를 소홀히했다. 해킹으로 개인정보가 탈취된 사실이 드러났다. 정부는 위반행위자의 재정 상황(완전자본잠식 상태) 및 시장 여건 등을 종합적으로 고려해 과징금부과기준 제9조제2항제1호의 '위반행위자가 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우'에 해당한다고 판단했다. 과징금은 면제하지만, 360만원 과태료를 부과하고, 위반행위자의 지속적인 개인정보 보호조치 이행력 확보를 위해 주기적인 취약점 점검·조치를 수행하도록 시정조치를 명령했다. 특히 개인정보위는 이런 시정조치 명령에 대한 후속 이행점검을 통해 해당 사업자의 개인정보보호 의무 준수를 계속 확보해 나갈 방침이다. 개인정보위 관계자는 "상대적으로 취약한 중소 사업자가 제재를 받는 경우 한국인터넷진흥원(KISA) 등 전문기관과 함께 개인정보보호 컨설팅 및 기술지원을 병행함으로써 사회 전반의 개인정보 보호 수준 강화에 지속 노력할 계획이다"고 말했다.

2024.06.13 17:19김미정

AI 사업자, 개인정보 처리 잘 할까?…정부가 확인해 보니

정부가 국내외 인공지능(AI) 서비스 사업자들의 개인정보 처리 과정을 점검한 결과와 권고사항을 발표했다. 개인정보보호위원회는 지난 12일 전체회의를 열고 SK텔레콤을 비롯한 스노우, 딥엘, 뷰노의 AI 플랫폼 사전 실태점검 결과를 의결했다고 13일 밝혔다. 이날 전체회의에선 SK텔레콤의 통화녹음·요약·통역 서비스 '에이닷' 개인정보 처리 과정 점검 결과부터 공개됐다. 점검 결과 통화 녹음‧요약 서비스는 경우 이용자 기기에서 통화 녹음이 이뤄지면 음성파일이 SK텔레콤 서버에서 텍스트로 변환되고, 이를 클라우드에서 요약되는 것으로 전해졌다. 이 과정에서 텍스트 파일을 보관하는 시스템에 접속기록이 보관되지 않았다. 이에 개인정보위는 시스템상 접속기록의 보관‧점검 등 안전조치 의무를 준수하도록 권고했다. 텍스트 파일의 보관 기간 최소화, 비식별 처리 강화, 서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련‧시행할 것도 요청했다. '스노우' 정보 처리 점검 결과도 나왔다. 스노우는 생성형 AI 기반으로 AI 프로필 등 얼굴 사진을 변형한 이미지를 생성할 수 있다. 해당 서비스는 인터넷에 공개된 AI 모델을 이용하고 있었다. 별도로 학습데이터는 수집하지 않으며, 서비스 이용 과정에서 생성된 이미지도 이용자 편의를 위해 일정기간 서버에 보관할 뿐, 다른 목적으로 이용하지 않고 있었다. 다만 이미지 처리방침 내용이 알기 어려운 형태로 공개됐고, 이미지 필터링 등을 위한 외부 개발도구 안전성을 충실히 검토하지 않은 것으로 드러났다. 정부는 개인정보를 서버로 전송해 처리할 경우, 이용자가 이를 쉽게 인지할 수 있도록 하라고 권고했다. 외부 개발도구로 개인정보를 처리하는 경우 의도하지 않은 개인정보 처리‧전송 가능성을 점검할 것도 요구했다. AI 번역 서비스 '딥엘'은 공개 데이터 및 이용자가 무료 서비스에 입력한 텍스트를 AI 학습데이터로 활용했던 것으로 나타났다. 개인정보위는 딥엘이 이용자가 무료 서비스에 입력한 정보에 대해 AI 학습 및 인적 검토를 진행하면서 이를 명확하게 공개하지 않은 사실을 확인했다. 다만 회사는 개인정보위가 지난 3월 발표한 내용 바탕으로 개인정보를 입력하지 않도록 입력 화면에 안내하고, 인적 검토 사실을 처리방침에 반영해 개선권고를 받지 않았다. 뷰노는 AI 기반 의료영상이나 생체신호를 판독·진단을 돕고 질환을 예측하는 솔루션을 운영하는 기업이다. 해당 기업은 AI 학습에 병원의 기관생명윤리위원회 및 기관데이터심의위원회를 통과한 데이터만 사용하고, 의료기관에서 프로그램에 입력한 의료영상 등의 데이터는 사용하지 않는 것으로 확인됐다. AI 학습데이터 수집·처리 관련 보호법 위반 사항은 발견되지 않았다. 개인정보위 관게자는 "정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI를 도입하는 응용서비스에 대한 지속적인 모니터링을 실시할 것"이라며 "AI 시대의 개인정보 보호 대책 및 안전한 개인정보 활용 방안을 마련하겠다"고 밝혔다.

2024.06.13 14:32김미정

개보위 고낙준 과장 "맞춤형 광고, 법망 벗어난 규제 안 만들 것"

개인정보보호위원회 관계자가 맞춤형 광고의 효용성을 논하는 토론회에서 "기존 법률에 명시되지 않은 규제를 가이드라인에 포함하지 않겠다"고 공언했다. 한국인터넷기업협회는 11일 서울 강남의 스타트업얼라이언스에서 '맞춤형 광고의 순기능과 효용성, 올바른 산업 발전 방향'을 주제로 토론회를 개최했다. 이날 주요 쟁점은 맞춤형 광고에 대한 정부의 규제 기조에 맞서, 업계와 소비자 관점에서 맞춤형 광고의 효용성을 부각하는 것이었다. 토론회에 참가한 발제자와 토론자들은 "맞춤형 광고가 기업과 소비자들에게 이익과 편의를 제공하고 있음을 간과해서는 안 된다"고 입을 모았다. 아울러 맞춤형 광고의 규제로, 자칫 관련 산업의 위축과 비용 낭비가 커져 소비자들의 불이익을 야기할 수도 있다는 우려가 제기됐다. 발제자로 나선 박정은 이화여자대학교경영전문대학원 교수는 "마케팅은 소비자가 필요한 물건을 구매하게 도울 수도 있지만, '충동구매'를 야기하는 등의 현상이 극대화되는 측면이 있다"며 마케팅에 양면성이 있다는 점을 환기했다. 박 교수는 "맞춤형 광고의 개인정보 침해 가능성에 대해 개보위가 우려하고 있지만, 무작정 시장을 규제하기보다는 맞춤형 광고의 순기능을 고려해야 한다"며 "역기능에 대해서는 업계 스스로가 개인정보 침해 가능성을 인지하고 개인정보 수집의 투명성과 이용자 통제권을 보장해야 한다"고 업계의 자율규제를 강조했다. 법무법인 태평양 박지연 변호사는 맞춤형 광고의 법적 쟁점에 대해 정리했다. 우선 그는 맞춤형 광고를 통해 ▲소비자 편익 증대 ▲인터넷 서비스 무료화 ▲광고비 절감을 통한 중소기업 경쟁력 제고라는 긍정적 경제효과가 발생한다는 점을 언급했다. 반면 소비자가 웹과 앱을 이용하면서 쌓이는 '행태정보'의 축적으로 사생활의 침해가 이뤄질 수 있으며 정보 수집의 주체가 서비스를 제공하는 인터넷 서비스 사업자인지, 광고를 집행하는 광고주인지 명확하지 않은 점이 소비자들 사이에서 불안을 조성할 수 있다고 지적했다. 이어진 종합토론에서는 맞춤형 광고 시장에서 소비자의 역할을 부각하는 목소리가 힘을 얻었다. 맞춤형 광고에 대한 소비자 권한이 더 많이 부여돼야 한다는 주장도 눈길을 끌었다. 문장호 숙명여자대학교 홍보광고학과 교수는 소비자들은 광고의 수동적인 수용자가 아니라 주체적으로 광고를 선택하고 효용을 누리는 시장 참가자라고 역설했다. 문 교수는 "소비자들이 자신의 개인 데이터가 어떻게 쓰이는지 이해할 수 있도록 광고주와 플랫폼이 적극적으로 나서야 한다"며 "소비자의 광고 선택권을 보장하기 위해 미국의 '사후거부(Opt out)' 방식을 디지털 광고업계가 적극 도입해야 한다"고 말했다. 사후거부란, 광고를 본 소비자가 이 광고를 보지 않겠다고 선택할 수 있는 방식의 광고다. 문 교수는 이를 디지털 시장을 통한 '광고의 민주화'라고 표현했다. 그는 "광고가 어떻게, 왜 이뤄지게 됐으며 광고주나 개인정보수집의 주체가 누구인지 정보가 소비자에게 전달될 수 있게 해야 한다. 또한 이 과정에서 광고 노출을 거부하고, 거부하는 이유에 대해서도 자유로운 의견 표출이 가능해야 한다"고 했다. 곽대섭 한국디지털광고협회 정책기획팀장은 맞춤형 광고에 쓰이는 행태정보가 개인정보로 분류되는 일을 우려했다. 곽 팀장은 "행태정보가 개인정보로 분류되는 순간, 중소 광고사업자들은 더이상 사업을 하기 어렵다"며 "그렇게 되면 개인정보를 보호하려는 정부의 정책이 오히려 핀테크나 대기업들의 정보 독점을 야기할 수도 있다"고 걱정했다. 이날 토론회에는 정책당국인 개보위 관계자도 참석해 업계 의견을 정책에 반영할 뜻을 나타냈다. 현재 개보위는 맞춤형 광고와 개인정보 보호에 대한 가이드라인을 작성하고 있다. 고낙준 개보위 신기술개인정보과장은 "개보위에서는 광고산업에 대해 이해하기 위해 업계와의 소통이 중요하다는 것을 잘 알고 있다"며 "특히 소비자들이 주체적으로 자기 정보를 통제할 수 있도록 바뀌어야 한다는 의견에 공감한다. 맞춤형 광고가 가진 순기능을 참고해 규제가 시장에 미칠 영향에 대해 충분히 고민하고 있다"고 말했다. 고 과장은 개보위가 가이드라인 제정 작업에서 한국방송광고진흥공사와 협력하고 있다는 소식도 전했다. 그는 "앞으로 나올 가이드라인에도 업계의 목소리를 최대한 반영하려 노력 중이다. 기존 정책방향과 법령 내에서 규제안을 고민할 것이며, 기존 법률의 범위를 넘어서는 새로운 규제를 창설하지 않겠다"고 약속했다. 아울러 개보위는 광고사업자들이 개인정보 침해 논란에 휘말리지 않도록 비즈니스 모델을 확실히 할 것을 주문했다. 고 과장은 "광고사업자들이 개인정보 수집 의도가 없다는 걸 입증하면 된다"며 "개인정보가 아닌 고객 구분에만 정보를 쓰도록 비즈니스 모델을 설계했다면, 사후에 문제가 발생해도 법적인 면책조항 인센티브를 최대한 활용토록 하겠다"고 조언했다.

2024.06.11 17:10정석규

정부, 한국 개인정보 정책 글로벌 정상에 알린다

정부가 국내 개인정보 정책을 글로벌 정부 관계자들에게 소개해 국제 정보보호시스템 강화에 기여한다. 개인정보보호위원회는 이달 10일부터 14일까지 5일간 이탈리아에서 열리는 '2024 프라이버시 심포지엄 컨퍼런스'에 참석한다. 프라이버시 심포지엄은 이탈리아 개인정보 감독기구(GDPD)가 2022년부터 매년 주최하는 행사다. 개인정보 분야 최신 연구, 규제 동향 등을 공유한다. 이해관계자와 규제‧정책당국 등 다자간 대화와 협력을 도모하기 위한 국제 컨퍼런스다. 개인정보위 측은 그동안 국제사회에서 국내 데이터·개인정보 정책에 많은 관심을 보인다는 입장이다. 이에 관련 내용에 대한 공유를 희망해왔다. 이런 요구에 맞춰 개인정보위는 국내 개인정보 정책과 규제 동향을 국제사회와 공유할 방침이다. 데이터·개인정보 보호 체계의 국제적 상호운용성 제고에 기여하고자 이번 컨퍼런스에 자리한다. 개인정보위 최장혁 부위원장이 11일 '데이터 및 개인정보 보호의 지역적 변화' 세션 발표와 패널 토론에 참석한다. 국내 개인정보 보호법과 정책의 발전과정을 소개하며, 인공지능(AI) 시대의 개인정보 정책과 규제 필요성, 계획을 공유할 예정이다. 최장혁 부위원장은 파편화된 대륙별·국가별 규제와 정책은 국경 간 자유로운 데이터 흐름을 저해할 뿐 아니라 규제의 효과성도 떨어트릴 수 있다는 점에서 국제적인 대화와 논의를 통해 상호운용성을 높여가는 노력이 필요하다는 점을 강조할 계획이다. 한국 개인정보위도 활발한 국제 논의의 장을 마련해 나가겠다는 의지로 내년 서울에서 열리는 글로벌 개인정보 감독기구 협의체(GPA) 총회 준비 상황도 알리면서 참여와 관심을 당부할 예정이다. 최 부위원장은 프랑스 등 주요국 개인정보 감독기구와 면담도 가진다. 개인정보위는 "특히 프랑스 감독기구(CNIL)와 최근 공동작업한 '아동․청소년 개인정보 인식 제고 공동 포스터' 홍보 성과 확산 방안과 AI 정책 협력과제 등에 대해서 논의할 것"이라고 말했다.

2024.06.10 13:28김미정

전문가 판단도 제각각...카톡 오픈채팅 개인정보 유출 논란 핵심은?

개인정보보호법 위반을 둘러싼 카카오와 개인정보보호위원회(이하 개보위)의 갈등이 깊어지는 가운데, 개인정보 관련 법령의 모호성이 도마에 올랐다. 카카오톡 회원일련번호가 개인정보냐 아니냐를 두고 개보위와 카카오의 입장뿐 아니라, 전문가들의 판단도 서로 엇갈리고 있다. 다만, 개인정보 판별 기준이 법으로 명확하지 않고, 정확한 가이드라인도 없어 발생된 문제라는 것이 업계와 전문가들의 공통된 시각이다. 개보위는 지난달 23일 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 했다는 이유로 카카오에 과징금 151억4천196만원과 과태료 780만원을 부과했다. 카카오가 관리감독을 소홀히 해 카카오톡 오픈채팅 이용자 정보 6만5천여 건이 유출됐다는 판단에서다. 개보위의 조사에 따르면 해커들은 카카오톡 오픈채팅방의 참여자 정보를 알아 내 '회원일련번호'를 매개로 여러 정보를 결합한 뒤 개인정보 파일을 생성해 판매했다. 이를 통해 최소 696명의 정보가 유출됐다는 설명이다. 개보위는 "(카카오톡의) 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다"며 "이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다"고 발표했다. 개보위 "개인정보와 '쉽게' 결합되는 정보는 개인정보" 카카오는 임시 ID나 회원일련번호를 개인정보로 인정할 수 없다는 입장이다. 카카오는 개보위 결정에 대한 입장문을 내고 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 주장했다. 또 카카오 측은 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라면서 "현실적으로 메신저 등 온라인, 모바일 서비스에서 임시ID를 쓰지 않기도 어렵다"고 토로했다. 개보위는 회원일련번호와 임시ID가 회원 개인정보와 '쉽게 결합된다'는 점을 들어 카카오 주장을 반박했다. 최장혁 개보위 부위원장은 지난 5일 정부서울청사 정례 브리핑에서 "외부 정보와 결합해 충분히 개인을 식별할 수 있으면 개인정보에 포함된다"고 단언했다. 그 자체로는 개인정보가 아니더라도 '쉽게' 개인정보와 결합될 수 있는 정보라면 이를 개인정보로 취급한다는 주장이다. 최 부위원장은 "회원일련번호는 개인정보가 아니라는 카카오의 주장은 개인정보에 대한 개념이 많이 바뀐 상태에선 수긍할 수 없다"며 "과거 자동차 차대번호만으로는 개인정보를 식별할 수 없음에도 법원은 2019년 차대번호 유출을 개인정보 유출로 봤다"는 예시를 들었다. 개인정보법 모호한데 가이드라인 없어…전문가 의견도 분분 개인정보보호법 상에선 '시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보'라면 개인정보가 아니라고 본다. 여기서 '합리적 고려'가 어느 정도인지 모호하기기 때문에 규제의 명확성을 위해선 하위법령으로 개인정보의 범위를 규정해야 하지만, 이에 대한 개보위의 가이드라인은 아직 확립되지 않았다. 개인정보보호법 상의 기관인 개보위가 사안별로 개인정보 여부를 판별할 여지가 생긴 것이다. 업계에서는 현행법의 모호함을 지적하는 의견이 나왔다. 법조계 관계자는 "시간·비용·기술 등을 고려했을 때 일반인이 알 수 없는 정보는 개인정보가 아니라고 규정하는데, 시간이 지나고 기술이 발전할수록 정보 접근성은 변할 수밖에 없다"면서 "시시각각 새로운 사례가 나오는 지금 시기에 1차적으로 개인정보 유권해석을 해줄 수 있는 곳은 개보위밖에 없다"고 말했다. IT 업계 관계자는 "데이터 관련 사업자들 중 대다수가 개인정보와 관련된 데이터를 다루는데, 지금처럼 개인정보의 기준이 모호하면 사업자 입장에서 불안하지 않을 수 없다"며 "적어도 개보위에서 이런 사안이 발생할 때마다 개인정보 판단 기준을 시장에 알려주기 바란다"고 밝혔다. 명확한 가이드라인이 없는 가운데 전문가들의 의견도 분분하다. 김승주 고려대 정보보호대학원 교수는 "개인정보와 '쉽게' 결합될 수 있는 정보라는 말 자체는 상당히 주관적이다. 개인정보 판별 기준은 개보위에서 제시해야 한다"면서 "가장 나쁜 제도는 불확실성을 해소하지 못하는 제도"라고 비판했다. 김 교수는 카카오톡 회원일련번호를 차대번호에 비유한 개보위 설명도 반박했다. 그는 "당시 차대번호는 누구나 검색하면 알 수 있었기에 카카오톡 회원일련번호와는 의미가 다르다"며 "해커의 개인 정보 수집 노력을 차대번호 조회랑 비교한다는 건 말도 안 된다"고 지적했다. 반대로 최경진 가천대 교수(한국인공지능법학회장)는 카톡 회원일련번호를 개인정보로 볼 수 있다는 의견을 냈다. 그는 "개인정보 여부가 식별의 용이성으로 결정되는데, 이번 사안은 전문가가 아니라도 시간이나 비용이 많이 들지는 않는 것으로 보인다"면서 "하나의 정보를 통해 다른 정보를 알 수 있다면, 두 정보는 매우 가깝게 결합된 것으로 볼 수 있다"고 했다. 이어 최 교수는 "작년에 개인정보위가 국민의 개인정보 자기 결정권을 보호하면서도 기업이 행태정보와 연계정보를 안전하게 처리할 가이드라인을 만들려 했으나, 기업들의 반발로 가이드라인이 확립되지 못했다"며 "안타깝지만 당분간은 가이드라인 확립이 어려울 듯하다"고 덧붙였다.

2024.06.07 19:43정석규

[기고] 신뢰할 수 있는 인공지능과 설명요구권

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 2주 마다 다뤄보고자 한다. 사람의 개입없이 기계에 의해 무언가 결과를 얻어내는 것은 우리의 일상 생활에서 오랫동안 있어온 일이다. 작게는 사거리의 신호등이 점멸할 때 중요하신 분이 지나가는 아주 특별한 경우를 제외하고는 사람이 신호등 안에 숨어서 기기를 작동시키지 않음을 우리는 다 알고 있다. 백화점 멤버십의 등급이 결정될 때도 백화점에서 사용한 카드 사용 금액과 달리 백화점이 고려하는 요소들에 따라서 나의 등급이 정해진다. 해외에서 휴가를 보내기 위해 공항에서 출국 심사를 받을 때도 미리 신원을 등록해 뒀다면 출입국 사무소 직원이 여권을 보는 것이 아니라 컴퓨터가 나의 정맥과 여권만으로 출국 가능 여부를 심사한다. 빅데이터에 대한 분석 기술이 고도화되고 머신러닝 기법과 같은 인공지능(AI) 기술도 이와 함께 발전하면서 인공지능 기술을 도입한 결과물의 이용에 대해선 좀 더 복잡한 문제가 발생하고 있다. 인공지능 기술에서 발생하는 문제점으로 환각(hallucination), 공정성(fairness)이나 편향성(bias) 등이 지적되고 이를 해결하기 위한 많은 연구가 이루어지고 있다. 또 다른 인공지능 기술의 특징 중의 하나는 그 알고리즘을 설명하거나 이해하는 것이 점점 더 어렵게 됐다는 점이다. 인공지능의 알고리즘을 블랙박스(black box)에 비유하는 이유도 인공지능이 내놓은 결론이 왜 그렇게 나왔는지를 설명하기 어려운 경우가 많기 때문이다. 전통적인 인공지능 학습모델로 불리워지는 선형회귀(linear regression)나 의사결정 나무(decision tree)의 경우에도 간단한 모델의 경우에는 결과와 이유의 인과관계를 설명할 수 있다. 하지만 모델이 커지고 복잡해지면서 어떤 요소들이 어떻게 내놓은 답에 영향을 미치게 되는지를 정확하게 설명하기는 어려운 경우가 많다. 무언가 판단이 있었을 때 그 이유를 설명할 수 있어야 한다는 논리는 인공지능 시대에 새롭게 대두된 것은 아니다. 예컨대 우리나라 약관 규제법에서도 사업자가 미리 정해둔 약관을 계약에 포함시키기 위해서는 이 중 중요한 내용에 대해 설명할 것을 요구하고 있다. 또 설명을 충분히 하지 않았으면 그 내용을 계약으로 주장할 수 없다고 정하고 있다. 인공지능과 유사한 복잡한 알고리즘이 오래 전부터 작동해 온 신용평가모델의 경우 미국에선 이미 1970년대부터 대출신청자의 요구에 따라 평가모델에 대해서 설명하도록 규제해 오기도 했다. 개인정보보호법은 인공지능이 개인정보를 처리해 개인에 영향을 미치는 의사결정을 할 경우의 위험성을 인지하고 2023년 법 개정을 통해 자동화된 의사결정에 대한 거부 내지 설명을 요구할 수 있는 권리를 도입했다. 이 규정은 이미 올해 3월 15일부터 시행되고 있다. 이는 개인정보의 처리를 포함해 인공지능에 따라 개인정보를 처리를 포함한 결정이 이루어지고, 이러한 결정으로 인해 나의 권리와 의무에 중대한 영향을 받을 경우에 그 결정을 거부하거나 또는 이와 같은 결정이 내려진 것과 관련한 설명을 요구할 수 있도록 한 것이다. 예컨대 자동화된 시스템에 의해 육아수당의 지급이 취소된 경우 그 지급 취소 결정에 대해 거절하고 인적개입을 요구하거나 또는 왜 취소됐는지 설명을 요구할 수 있다. 공공기관이 국민에게 뭔가 불이익한 처리를 하는 경우에 대해선 자동화된 의사결정이 아니라고 하더라도 일반적으로도 설명을 요구할 수 있었다. 그러나 민간의 경우에는 그러한 설명을 할 의무가 없었기에 이 설명요구권은 새롭게 도입된 제도라 할 수 있다. 공공 부문에서도 이 법의 도입을 통해 개인정보 처리의 관점에서 설명을 해야 하는 사항들이 구체화되었다는 점에서 큰 의미가 있다. 이제는 뭔가 신청자 또는 이용자에게 불이익한 결론이 내려졌다고 하더라도 단지 시스템에 의해서 자동으로 결정됐다거나, 사람의 편향된 판단없이 기계가 공정하게 결정했다는 설명만으로는 부족하게 됐다. 좀 더 구체적으로 법에서 정하고 있는 사항을 설명해야 하는 의무가 사업자에게 발생하게 된 것이다. 우리나라 국민이라면 모두 다 공감하고 있고 공통의 가치를 삼고 있는 민주주의, 국민의 자유와 기본권의 보호, 약자에 대한 배려와 실질적 평등과 같은 핵심의 가치를 인공지능의 설계에서부터 반영해야 한다. 이는 전 세계적으로 강조돼 온 '신뢰할 수 있는 인공지능(trustworthy AI)'의 근간이 된다. 자동화된 의사결정에 대한 설명요구권 역시 인공지능 기술과 산업의 발전을 도모하면서도 동시에 정보주체의 권리에 대해 충분한 보호를 하기 위한 사회적 안전장치다. 새롭게 도입된 제도인 만큼 섬세하면서도 유연한 법 적용을 기대해 본다.

2024.06.07 17:28법무법인 태평양 강태욱

구글, 사용자 시간대별 위치 데이터 클라우드 저장 안 한다

구글이 12월부터 사용자의 시간대별 위치 데이터(Timeline)를 자사 클라우드에 백업하는 대신 사용자 기기에 저장한다고 밝혔다. 개인정보 보호를 위한 조치다. 지난 6일 지난 6일(현지시간) 해외언론 더 버지에 따르면, 구글은 구글 지도가 위치 데이터를 처리하는 방식을 변경했다. 구글은 위치 데이터를 클라우드에 백업하는 기존 방식 대신 사용자의 기기에 각각 저장하는 방식을 도입한다. 구글은 사용자에게 보낸 이메일에서 "클라우드 내 사용자 위치 데이터를 삭제할 예정이므로 사용자들은 12월 1일까지 자신의 위치데이터를 모바일 장치에 저장해야 한다"고 공지했다. 구글 사용자들의 시간별 위치를 기록한 데이터는 휴대전화의 위치를 기반으로 경로와 여행을 추적하는 기능이다. 과거에 방문한 모든 장소를 다시 방문할 수 있다. 구글은 이전부터 ▲낙태 클리닉 ▲가정 폭력 보호소 ▲체중 감량 센터 등과 같은 위치를 위치 기록에서 삭제하기 시작했으며, 정책당국이 위치 기록에 접근하지 못하도록 지도를 업데이트했다.

2024.06.07 10:38정석규

[현장] "中에 개인정보 다 넘어갔다고?"…알리·테무 조사한 개보위, 이달 중 결과 공개

최근 중국 e커머스 업체를 둘러싼 국내 소비자 개인정보 침해·유출 우려가 제기된 가운데 개인정보보호위원회가 이달 말까지 실태 조사를 마무리하고 처분 결과를 내놓을 방침이다. 최장혁 개인정보보호위원회 부위원장은 지난 5일 오후 정부서울청사에서 정례브리핑을 갖고 "(알리, 테무 등에 대한) 조사 결과를 이달 말쯤 내려고 한다"며 "알리, 테무가 외국 법인인데다 특히 테무는 국내에서 영업한 지 얼마 되지 않아 (자료를 받기 위해선) 상대 측의 협조가 필요한 상황"이라고 밝혔다. 또 이번 조사가 단순 실태 조사인지, 처분을 위한 것인지에 대한 질문에 "(처분을 위한) 조사를 하고 있다"고 답변했다. 앞서 알리, 테무 등 중국 이커머스 업체들은 '광고'라고 표기하지 않고 광고성 휴대전화 문자메시지나 앱 푸시, 이메일 등을 보내 논란이 됐다. 명백한 광고성 글이지만 광고라고 안내하는 표시도 없었다. 이에 더해 테무는 앱을 설치·실행할 때 스마트폰 앱 접근 권한 고지도 하지 않아 비판을 받기도 했다. 현재 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(제50조)'과 그 시행령(제61조)에선 전자적 전송매체를 이용해 영리 목적의 광고성 정보를 전송하려면 정보가 시작되는 부분에 '(광고)'라고 표시해야 한다. 이를 어기면 3천만원 이하의 과태료를 부과하도록 규정하고 있다. 실제 국내 일부 이커머스 업체는 광고 표시 없이 광고성 앱 푸시를 보냈다가 과태료 처분을 받기도 했다. 유통업계에선 그간 알리나 테무 같은 중국계 e커머스를 이용할 때 개인정보가 중국 현지 판매자에게 넘어가 보이스피싱 등의 범죄에 악용될 수 있다고 우려한 바 있다. 지난해 개인정보위 국정감사에서는 알리 등 중국의 대형쇼핑 사이트를 접속할 경우 국내 이용자의 개인정보가 중국에 넘어갈 가능성이 크다는 문제가 제기되기도 했다. 이후 개인정보위는 지난 2월 이들 직구업체들이 개인정보를 안전하게 관리하는지 알아보기 위한 조사에 착수했다. 현재 개인정보보호법상 개인정보 처리방침, 국외이전, 안전조치의무 등의 적정성에 대해 점검하고 있는 것으로 알려졌다. 개보위 조사 결과 개인정보보호법 위반 여부가 밝혀지면 과징금 부과 등의 조치가 이뤄질 수 있다. 개인정보위는 SK텔레콤의 AI 애플리케이션 '에이닷'을 포함해 주요 AI 서비스에 대한 실태 점검도 이달 중 마무리하고 조사 결과를 공개할 예정이다. '에이닷'은 SK텔레콤이 지난해 10월 내놓은 아이폰 앱에 'A. 전화' 기능을 추가해 통화 내용을 녹음하고 요약할 수 있는 서비스다. 통화 종료 후 자동으로 녹음 파일이 생성되고 텍스트로 제공되며, AI 분석으로 통화 중 언급된 일정이나 전화번호 등 정보도 저장된다. 이 탓에 개인정보 침해 논란에 휩싸여 개인정보위는 실태 조사에 나섰다. '에이닷'의 위법성이 판단되면 시정명령과 과징금 등이 부과될 수 있다. 다만 SK텔레콤은 이용자 약관 동의를 거친 만큼 문제없다는 입장이다. 최 부위원장은 최근 정부의 마이데이터 확대 정책 움직임에 대한 스타트업들이 반발하는 것에 대해 크게 걱정할 필요가 없다는 의견도 내비쳤다. 일단 개인정보위는 마이데이터를 내년 보건의료, 통신, 유통 분야에 적용하는 등 단계적으로 전 분야에 확대하기 위해 지난 5월 1일 개인정보보호법 시행령 개정안을 입법예고한 뒤 의견을 받고 있다. 이에 스타트업들은 마이데이터가 확대가 성장에 걸림돌로 작용할 수 있다고 주장하며 반발하고 있다. 마이데이터 제도에 참여하게 될 사업자들이 정보를 주고 받으려면 별도의 서버 등 운영비를 부담해야 하는데 지불능력이 적은 스타트업들이 감당하기 어렵다는 이유에서다. 시행령 개정안에 따르면 연간 매출액이 1천500억원 이상이거나 정보주체 수가 100만 명 이상인 통신판매업체, 통신판매중개업체에 마이데이터가 적용된다. 최 부위원장은 "스타트업들이 (이 부분에 대해) 반발할 필요가 없다고 본다"며 "주로 개인정보가 큰 플랫폼에서 수집되는데, 이들은 데이터를 영업 비밀로 생각해 잘 내놓지 않는다"고 말했다. 이어 "스타트업은 (큰 기업들의) 데이터가 나와야 쓸 수 있는데 (아직 쉽지 않을 것)"이라며 "마이 데이터로 부가가치가 창출되면 분배의 대상이 될 것이라고 보고 있어 기업들이 굳이 부정적으로 볼 필요는 없을 듯 하다"고 덧붙였다. 최 부위원장은 가명정보 제도가 활성화 되지 못하고 있는 부분에 대해선 아쉬움을 드러냈다. 가명정보는 개인정보 일부를 삭제하거나 일부 또는 전부를 대체하는 방법으로 추가 정보 없이는 특정 개인을 알 수 없도록 처리한 정보다. 개인정보의 보안성을 높이면서 활용 가치를 극대화할 수 있지만 그동안 가명정보 제도와 정부 지원사업에 관한 인식 부족으로 산업 현장에서 활용도가 떨어졌다. 최 부위원장은 "상황에 따라 가명 처리 수준이 다르고, 데이터 종류가 많아 일정하게 수준을 유지하기 어렵다"며 "가명정보는 개인정보가 아니기 때문에 상업적 거래도 가능한데, (가명정보 활용 활성화를 위해) 추후 재식별되더라도 제공한 측에서 책임을 지지 않도록 최근 가이드라인을 개정했다"고 말했다. 최근 일본 정부가 네이버-라인야후 사태와 관련해 네이버클라우드 개인정보 유출 조사 협조 요청을 한 건에 대해선 크게 의미를 부여하지 않았다. 공식 서한 등이 아닌 실무진 간 이메일 형태로 문의했다는 점에서다. 앞서 고학수 개인정보보호위원회 위원장은 지난달 14일 정부서울청사에서 열린 기자간담회에서 "(이메일을 통한 일본의 질문은) '한국의 개인정보위가 네이버 클라우드에 대한 조사를 진행한 적이 있는지', '일본 개인정보위가 요청한다면 한국 개인정보위가 이를 어떻게 받아들일 것인가'에 대한 것"이라며 "이번 경우는 굉장히 이례적이라는 인상을 받았다"고 말했다. 하지만 최 부위원장은 "(일본의 이메일에 대해) 굳이 답변해야 할 의무가 없는 것 같다"며 "한일관계가 다소 복잡한 상황에서 추가로 움직이는 게 꼭 필요한 지 의문"이라고 밝혔다.

2024.06.06 12:00장유미

최장혁 "승소 자신있다"…뿔난 개보위, '개인 정보 유출' 카카오와 정면 승부

"지난해 어려운 경제 환경에서 소송비를 거의 100% 이상 늘렸기 때문에 (이번 소송도) 자신있습니다. 개인정보라는 개념이 기술 진보와 함께 계속 바뀌고 있다는 점에서 카카오가 주장하는 부분은 수용하기 어렵습니다." 최장혁 개인정보보호위원회 부위원장은 지난 5일 오후 정부서울청사에서 정례브리핑을 갖고 최근 카카오의 행정소송 움직임에 대해 향후 강경 대응에 나설 것을 예고했다. 카카오톡 오픈채팅방 개인정보 유출 건과 관련한 개인정보위의 제재에 맞서 카카오 측이 최근 행정소송으로 맞대응에 나설 것을 시사한 데 따른 것이다. 앞서 개인정보위는 지난달 카카오가 개인정보보호 법규를 위반했다고 보고 총 151억4천196만원의 과징금과 780만원의 과태료를 부과하고 시정명령과 처분결과를 공표했다. 국내 기업을 상대로 부과한 조치로는 역대 최대 규모다. 제재를 한층 강화한 개정 개인정보법이 적용된 골프존(기존 국내 최다 과징금 건)이 75억원의 과징금을 받는 데 그쳤다는 점을 고려하면, 카카오는 상대적으로 제재가 약한 구법이 적용됐다는 점에서 최악의 상황은 피했다. 구법을 적용했음에도 골프존보다 2배가 넘는 과징금이 매겨졌다는 점에서 신법을 적용했을 경우 500억원가량의 과징금이 부과됐을 수 있었다는 분석도 나왔다. 또 개인정보위는 지난해 3월 오픈채팅 개인정보 유출 의혹이 제기된 이후 카카오가 개인정보 유출신고를 하지 않은 점을 문제 삼아 780만원의 과태료도 부과했다. 카카오 측이 이번 일에 대해 직접적으로 피해를 입은 696명에게 적극 고지하지 않았다는 점도 심각한 문제로 판단했다. 이번 일은 지난해 3월 카카오톡 오픈채팅방 참여자들의 개인정보가 유출됐다는 의혹이 불거진 데 따른 것으로, 개인정보위는 시스템의 보안 취약점으로 인해 최소 6만5천여 명의 개인정보가 유출됐을 것으로 추정했다. 최 부위원장은 "카카오가 반발하고 있지만 정부 입장은 전혀 변함이 없고, 관련 소송은 (결론이 나는데) 오래 걸리지 않을 것"이라며 "개인정보 개념을 (신법에 맞춰) 강하게 적용하지 않고 구법에 따라 제재를 했다는 점을 일단 알아달라"고 운을 띄웠다. 이어 "재판을 앞두고 쟁점에 대응하는 게 조심스럽긴 하지만 개인정보 개념은 계속 변하고 있고, 해킹 기술도 굉장히 발달하고 있다"며 "이에 맞춰 (카카오 같은) 국내 기업들이 기술 발전에 따라 적절한 준비를 해 나가야 하는 것 아닌가 싶다"고 말했다. 그러면서 "카카오톡은 무료 서비스지만 이와 관련해 다른 매출이 많이 발생하고 있다는 점을 고려해 과징금 기준이 책정된 것"이라며 "신법이 적용됐다면 더 많은 과징금이 나올 수 있었을 것"이라고 덧붙였다. '회원일련번호'가 개인정보?…개보위 vs 카카오, 해석 두고 의견 팽팽 이번 일에서 양측의 의견이 가장 엇갈리는 부분은 '회원일련번호'가 개인정보에 포함되는 지에 대한 여부다. 회원일련번호는 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념으로, 이 번호만으로는 일단 그 사람의 이름이나 전화번호를 알아낼 수 없다. 카카오톡 오픈채팅방은 참가자들이 익명을 전제로 주식 투자, 게임 등 동일한 관심사에 대한 정보나 친분을 나누는 공간으로 활용돼 왔다. 오픈채팅방 참가자들에게는 회원일련변호가 매겨져 있는데, 이 번호는 그간 카카오톡 내부에서만 회원 관리 목적으로 사용돼 왔다. 하지만 카카오가 이 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했다는 점이 문제가 됐다. 그 결과 해커가 시스템 취약점을 악용해 오픈채팅방 참여자 정보를 알아낸 후 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 또 이 정보들을 '회원일련번호'를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다. 개인정보위에 따르면 해커는 특정 사이트에 696명의 정보를 올려 거래를 시도한 것으로 파악됐다. 개인정보위 관계자는 "어떤 것(개인정보)은 10만원에 거래됐다는 얘기가 있다"며 "해커가 최소 6만5천719건의 (개인정보를) 조회한 것으로 확인했다"고 말했다. 카카오에 따르면 지난해 3월 문제가 된 해커는 이렇게 얻은 회원일련번호에서는 얻을 수 없는 이름, 전화번호 등을 알아내기 위해 별도의 프로그램을 동원했다. 예컨대 010-0000-0000에서 010-9999-9999에 이르는 1억 개의 전화번호를 임시로 생성한 후 전화번호로 카카오톡 친구를 추가하는 방식을 활용한 것이다. 카카오 관계자는 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라며 "번호생성기를 이용해 무작위로 전화번호를 만들어 불특정 다수를 대상으로 스팸메시지를 뿌리는 것은 스미싱, 피싱 등 사기를 저지르는 범죄자들이 주로 활용하는 방식"이라고 밝혔다. 이어 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니다"며 "이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 덧붙였다. 반면 개인정보위는 카카오의 회원일련정보가 개인정보라고 볼 수 있는 부분이 상당하다고 주장했다. 최 부위원장은 "회원일련번호가 개인 정보냐, 결합 가능한 정보냐라고 판단하는 부분은 개인정보보호법 초기부터 나왔던 개념"이라며 "이를 근거로 다른 정보와 쉽게 결합해 개인 식별 가능한 내용도 개인 정보로 보고 있다"고 설명했다. 이어 "카카오는 이를 기반으로 개인들을 다 관리하고 있었고, 본인들도 식별 체계라고 얘기하고 있다"며 "이는 명백하게 카카오가 개인 정보로 볼 수 있었다는 것"이라고 덧붙였다. 또 그는 "이번 일은 개인 정보의 결합 용이성, 입수 가능성을 어떤 기준으로 판단하느냐의 문제로 보여진다"며 "해커 입장에서 얼마나 쉽게 해킹을 할 수 있는지, 이를 토대로 얼마나 쉽게 정보를 결합할 수 있었는지라는 측면에서 볼 때 개인 정보라고 보고 카카오에 처분이 내려진 것"이라고 강조했다. 행정소송 예고한 카카오…개인정보위, '승소' 자신 개인정보위는 대법원이 차대번호를 개인 식별 정보로 본 전례가 있다는 점을 근거로 카카오 측과의 행정 소송이 진행되면 승소할 것으로 봤다. 기술 발전에 맞춰 개인 정보라는 개념도 바뀌고 있다는 점을 재판부가 고려해 '회원일련정보'를 해석할 것으로 예상해서다. 최 부위원장은 "(기업들이) 기술 진보에만 집착하다보니 오히려 국민들의 개인정보 보호 측면은 좀 소홀해진 것 아닌가에 대해 우려스럽다"며 "점차 정보가 결합될수록 개인 정보를 특정할 수 있는 가능성이 더 많아진다는 점에서 향후 결합 기관에서만 가명 정보, 결합된 개인 정보를 관리하고 기준을 제안하는 역할을 더 강화해야 할 듯 하다"고 말했다. 개인정보위는 카카오 측의 안일한 대응에 대해서도 비판했다. 카카오 측이 이번 사건을 인지한 즉시 선제적 신고를 하고 수사에도 적극 협조했다고 주장했지만 사실과 다소 다르다는 점을 강조했다. 앞서 카카오는 KISA와 과학기술정보통신부에 신고를 했을 뿐 아니라 카카오톡 공지사항에 전체 이용자를 대상으로 서비스 공지를 게재했다고 밝힌 바 있다. 최 부위원장은 "카카오 측이 696명에게 본인의 정보가 유출됐다는 사실을 지난달 처분 의결 당시까지도 개개인에게 통지하지 않았다"며 "카카오 측이 통지했다고 주장하는 건 홈페이지에 공지로 게시한 것밖에 없다"고 설명했다. 이어 "규제당국에서 처분을 내렸음에도 카카오 측은 통지도 제대로 하지 않고 (아직) 가만히 있다"며 "일단은 행정기관에서 처분을 하면 법원 판결 전까지 이 처분의 효력이 유지가 되고 있다는 점에서 (카카오 측이) 일단 처분을 수용한 후 소송을 다퉈야 한다"고 덧붙였다. 개인정보위 관계자는 "카카오 측이 신고하고 고객들한테 통지했다고 하지만 실제로는 (우리쪽엔 안하고) 과기부에만 했다"며 "하나의 사고로 발생한 문제지만 적용되는 법은 두 개로, (개인정보보호법에 대한 것은 이행 안하고) 정보통신망법에 맞춰서만 (카카오가) 했다"고 설명했다. 그러면서 "카카오 측이 입장문에 모든 조치를 다 한 것처럼 했지만 실제로 개인 정보가 유출된 피해자들한테 사실을 고지하는 게 기업으로서의 도리가 아닌가 싶다"며 "개인정보보호법상 피해 사실을 알게 된 시점마다 개별적으로 계속 통지해야 하는데 카카오는 알면서도 이를 이행하지 않았다"고 꼬집었다. 하지만 카카오는 여전히 개인정보위의 움직임에 반발하며 강경한 태도를 보이고 있다. 또 개인정보위가 제재처분을 내리는 과정에서 해커가 독자적으로 자행한 불법행위까지 카카오의 과실로 본 점은 잘못됐다고 비판했다. 이처럼 개인정보위와 카카오의 입장이 극명하게 엇갈리는 만큼 이번 제재 처분은 법정 공방으로 이어질 전망이다. 카카오는 "회원일련번호는 페이스북, 인스타그램 등에서도 볼 수 있는데 이 역시 개인정보 유출로 다 볼 수 있는 부분인지에 대해서도 의문이 든다"며 "이번 결정에 대해 행정소송을 포함한 다양한 조치와 대응을 적극 검토할 것"이라고 밝혔다.

2024.06.06 08:49장유미

"이종산업간 마이데이터, 너도나도 반대...신중해야"

"우리나라도 국민의 개인정보를 안전하게 보호하면서도 IT 기업의 경쟁력을 강화할 수 있는 정책을 수립해야 한다." "고객의 민감정보가 본인도 모르게 전송될 우려와 여기에는 타인의 정보까지 포함될 가능성에 대해 우려가 있다." 개인정보보호법학회·벤처기업협회·스타트업얼라이언스·코리아스타트업포럼·한국게임산업협회·한국여성벤처협회·한국온라인쇼핑협회·한국인터넷기업협회 등 8개 단체가 공동주최한 '이종산업간 마이데이터, 데이터산업 발전인가 퇴보인가?' 토론회가 4일 열렸다. 개인정보보호법학회 김현경 회장은 개회사에서 "개인정보 보호법은 본질적으로 규제법이므로 마이데이터가 개인정보 보호법 안에서 운영되는 한 혁신 보다는 강력한 규제내용이 중심이 될 수밖에 없다"며 "유럽과 달리 자국 플랫폼 기업을 보유하고 있는 입장에서 이런 규제들이 글로벌 기업과의 경쟁에서 어떤 영향을 미칠지에 대한 신중한 검토가 이뤄져야 할 것"이라고 말했다. 한국인터넷기업협회 박성호 회장은 환영사에서 "개정안의 전송의무자로 포함된 우리나라 오픈마켓 기업들은 알리, 테무 등 C커머스의 공습으로 치열한 경쟁 속에서 하루하루 힘겹게 버텨가고 있는 상황"이라면서 "세계적으로 자국 IT 기업을 보호하고 성장을 지원하는 정책을 발표하는 것이 추세인 만큼, 우리나라도 국민의 개인정보를 안전하게 보호하면서도 IT 기업의 경쟁력을 강화할 수 있는 정책을 수립해야 한다"고 강조했다. "EU서도 메타데이터 전송 시 특정 상황서 영업비밀 이전 결과 초래 우려" 본격적인 토론회는 한국외국어대학교 법학전문대학원 정신동 교수의 '개인정보 전송요구권 허용 범위에 대한 GDPR과의 비교 분석 발표로 시작됐다. 정 교수는 "EU GDPR의 정보 이동성은 정보전송자가 개인정보를 전송을 하기 위해 그 의무가 강요돼서는 안 된다고 보고 있다"며 "EU에서도 메타데이터를 전송하게 될 경우 특정 상황에서 영업비밀이 이전되는 결과를 초래할 수 있다는 논의가 진행된 바 있다"고 했다. 이어 "정보주체가 사업자에게 제공한 상호작용 데이터를 통해 비밀로 유지돼야 할 사항이 외부에서 추론될 수 있다는 지적이 있었다"고 설명했다. 또 우리나라 개보법의 전송요구권에 대해서는 "처음부터 기업의 영업비밀에 해당하거나, 그 경계선에 위치하고 있는 정보가 전송 대상이 될 수 있으므로 신중할 필요가 있다"면서 "영업비밀에 해당하지는 않는다 할지라도 전송 대상이 단순한 개인정보의 집합이 아닌, 데이터 세트로서 기업의 노하우가 반영된 것이라면 이를 전송요구권 대상으로 규율하는 것이 문제가 될 수 있을 것"이라고 우려했다. 두 번째 발제자인 법무법인 린의 전응준 변호사는 '개인정보 보호법 시행령 개정안의 검토'를 주제로 발표를 했다. 전 변호사는 "개인정보 보호법 제35조의3 제1항 각 호는 전문기관의 업무에 관해 '정보주체의 권리행사를 지원하기 위한 관리, 분석'만을 규정하고 있다"며 "신용정보법은 정보주체의 전송요구권과 이에 대응한 본인신용정보관리업이라는 새로운 업태를 규정했으나, 개인정보관리 전문기관은 법문상 이런 규정이 없어 통합조회나 맞춤형 서비스와 같은 적극적 서비스를 제공할 수 있는지 불분명한 상황"이라고 꼬집었다. 또 "외국 사업자에게도 전송요구권 규정이 적용돼 한국 사업자가 보유하는 국내 정보주체의 개인정보가 외국 사업자에게 이동되는 결과가 발생할 수 있을 것"이라고 우려했다. 이어 "기준에 해당하는 개인정보를 관리하지만, 대규모 적자를 보는 정보전송의무자가 있을 수 있으므로 시행령 등에서 이러한 부분에 대한 고려가 필요하다"고 첨언했다. "마이데이터, 불합리하고 강력한 규제가 될 위협 있어" 이어진 종합토론은 성균관대학교 법학전문대학원 김민호 교수가 좌장을 맡아 진행됐다. 우선 한양대학교 법학전문대학원 선지원 교수는 "데이터 산업에서는 재화로서의 데이터성격을 고려한 정책설정이 중요"하다면서 "데이터를 생산해 낸 기업들의 경제적 가치 역시 중요하게 검토돼야 하고, 기술적 타당성은 실현을 위한 비용보다 편익이 높을 때 달성될 수 있는 것"이라고 말했다. 이어 고려대학교 행정전문대학원 계인국 교수는 "마이데이터는 데이터산업 및 흐름에 대해서 불합리하고 강력한 규제가 될 위협이 될 수 있다"고 말했다. 이어 "이번 시행령(안)은 새로운 데이터 시장을 창설하는 형태가 아니라, 시장을 국가가 지배하는 구조가 될 우려가 있다"고 지적, "어떠한 시장가치를 만들지에 대한 논의가 충분치 않은 상태로 제도가 추진되다 보니, 기업에 대한 정보공개법처럼 되고 있는 것"이라고 첨언했다. 오병일 진보네트워크 대표는 "마이데이터에 대해 기본적으로 비판적인 입장이며, 시민사회 단체에서는 한 번도 마이데이터 사업을 활성화해야 한다는 의견을 개진한 바 없고 산업계도 시민사회도 환영하지 않는 제도"라면서 “개인정보주체의 권리를 위한 데이터전송권은 폭넓게 인정될 필요가 있으나,이것은 마이데이터사업과는 분리돼야 한다”고 강조했다. 코리아스타트업포럼 사창우 팀장은 "다양한 데이터를 가진 부가통신사업자를 정보전송의무자로 포함하는 것은 부적합하다며 업계와 사업자가 충분한 협의가 필요하다"며 특히 "고객의 민감정보가 본인도 모르게 전송될 우려와 여기에는 타인의 정보까지 포함될 가능성에 대해 우려가 있다"고 지적했다. 이어 "정보전송의무자에 대한 기준이 명확하지 않으면 정보전송의무가 성장하는 스타트업 업계에 부담이 될 수 있으므로 신중해야 하며, 상급병원이나 기간통신사업자부터 신중하게 적용해 나갈 필요가 있다"고 했다 마지막 토론자인 개인정보보호위원회 범정부 마이데이터 추진단 황지은 과장은 "마이데이터 정책은 극진적으로 추진하지 않고 의료, 통신, 유통부터 단계적, 점진적으로 추진할 예정이고, 민감정보에 대해서도 정보주체가 알고 요구할 수 있는 방식 등에 대해 검토하고 있다"면서 "영업비밀 등과 관련해서도 마이데이터를 통해서 어떠한 리스크가 커질 수에 대해서 대해서는 사업자들의 의견을 듣고 우려하시지 않도록 해소방안을 강구하겠다"고 말했다. 좌장인 김민호 교수는 "너도나도 반대하는 제도는 시행을 잠시 미루고, 더욱 심도 깊은 논의와 대화를 이어가는 것도 방법"이라며 토론을 마무리 했다.

2024.06.04 17:34백봉삼

"개인정보 탈취, 기업피해로 확산 우려...전방위 모니터링 갖춰야"

“한번 개인정보가 탈취되면 개인을 넘어 조직의 피해로까지 확산될 수 있다. 이러한 피해를 막기 위해 사내 전반적인 시스템을 자동으로 모니터링하기 위한 대안 마련이 필요하다.” 안랩 추상욱 부장은 4일 개인정보보호위원회가 개최한 '2024 개인정보보호 페어'에서 다각화되는 개인정보 탈취 사례를 소개하고 이로 인한 피해를 완화하기 위한 방안으로 확장된 감지 및 대응(XDR) 솔루션을 소개했다. 전 세계적으로 사이버범죄가 기업화되며 금전적인 이득을 노린 기업 대상 랜섬웨어 공격이 급증하고 있다. 악명 높은 랜섬웨어 조직인 락빗의 경우 미 대형 항공사인 보잉의 기업 데이터를 대규모로 탈취해 공개한 바 있다. 추 부장은 “데이터 탈취가 위험한 것이 이들이 공개한 데이터 안에는 정비사의 명단, 항공기의 설계 기록, 정비 기록 등등 개인정보를 비롯해 기업 내 주요 기록까지 포함돼 있었다”며 “이러한 정보가 탈취될 경우 이를 악용해 다른 기업이나 사용자까지 피해가 확산될 수 있어 더욱 주의가 요구된다”고 설명했다. 그는 랜섬웨어가 급증하게 된 원인 중 하나로 인포스틸러를 지목했다. 인포스틸러는 개인정보 및 기업 인프라 접속 권한, 해킹툴 등을 전문적으로 수집 및 판매하는 전문 브로커다. 직접 사이버공격을 시도하지 않더라도 누구나 사이버 공격을 시도할 수 있는 환경을 제공하는 플랫폼을 제공하기 때문이다. 추상욱 부장은 “최근 많은 사람들이 편의를 위해 개인 로그인 정보를 비롯해 카드 정보까지 크롬 등 웹브라우저에 저장하는 사례가 많다”며 “인포스틸러는 이런 데이터를 악성코드를 이용해 탈취한 후 범죄에 악용하려는 다른 누군가에게 판매하고 있다”고 설명했다. 개인정보를 탈취하는 또다른 사례로 페이크 페이지도 소개했다. 페이크 페이지는 유명 사이트나 포탈과 거의 동일한 사이트를 제작해 해당 사이트에 로그인하거나 개인정보를 입력하는 사용자의 데이터를 탈취하는 수법이다. 지난 해 북한에서 네이버를 복제한 사이트를 만들어 사용자의 정보를 탈취하려 한 정황이 확인되기도 했다. 이렇게 탈취된 개인정보는 그대로 금전적인 사고로 이어지거나 랜섬웨어 조직 등으로 넘어갈 경우 기업을 공격하기 위한 수단으로 악용될 여지가 있다. 기업임원이나 관리자의 개인정보를 탈취하거나 PC에 침투하기 위한 스피어피싱 공격 과정에서 신분을 위장하기 위해 주로 활용되기 때문이다. 추상욱 부장은 개인정보 탈취 및 악용을 방지하기 위해 XDR을 활용할 것을 조언했다. XDR은 조직 내 다양한 시스템으로부터 위협정보를 수집해 분석, 탐지, 대응을 제공하는 SaaS형 '보안 위협 분석 플랫폼'이다. 보안 솔루션부터 이메일 등 업무용 시스템까지 다양한 이기종 솔루션으로부터 생성된 데이터를 연계 분석해, 보안 리스크(Risk) 우선순위를 직관적으로 제공하고 연동 솔루션을 활용한 자동 대응까지 제공한다. 추 부장은 “최근 사이버공격은 굉장히 다각화되고 기업의 시스템도 복잡하기 때문에 개인이 일일이 모든 공격을 확인하고 대응할 수 있는 시기는 지났다”며 “이제는 인공지능(AI)를 적용해 자동으로 모니터링하며 비정상적인 접근이나 행위 등을 확인하고 이를 판단한 데이터를 통해 상황을 빠르게 확인할 수 있다”고 설명했다. 이어서 그는 “시스코의 전 최고 경영자인 존 체임버는 공격을 당하는 것를 아는 기업과 그렇지 않은 기업으로 나눈 바 있다”며 “많은 기업들이 보안 환경을 잘 갖춰서 올해 남은 6개월 간 무사히 사업에 전념할 수 있길 바란다”고 말했다.

2024.06.04 17:29남혁우

정부가 AI 세대에 제시한 개인정보 보호 전략은?

정부가 개인정보 보호 제도와 기술 등 정보를 교류하는 장을 마련한다. 개인정보보호위원회는 4일부터 5일까지 서울 코엑스 그랜드볼룸에서 '2024 개인정보보호 페어(PIS FAIR) & 개인정보보호 책임자(CPO) 워크숍'을 개최한다. 이번 행사는 '인공지능(AI), 신뢰를 넘어 데이터 가치를 열다' 주제로 열린다. AI 시대의 개인정보 보호 및 안전한 개인정보 활용과 관련한 전문가 강연, 토론, 개인정보 보호 관련 솔루션 등 기술 전시 등으로 구성·운영된다. 행사 첫날 개회식에는 고학수 개인정보위 위원장을 비롯한 염흥열 개인정보보호 페어 조직위원장, 이상중 한국인터넷진흥원(KISA) 원장, 이기주 한국 최고정보보호책임자(CISO)협의회 회장 등 개인정보 유관 기관장, 협회장 등 90여명이 참석한다. 한국전력공사는 생성형 AI 기술을 실제 개인정보 보호 업무에 활용한 사례와 이를 통해 도출한 시사점을 공유한다. 연세대 권태경 교수는 생성형 AI, 메타버스 등 신기술과 관련된 개인정보 보호 위협에 대해 살피고, 이를 해결하기 위한 대책을 제시할 예정이다. 한라대 김순석 교수는 '공공부문 가명정보 활용 체계 수립 방안'이라는 강연을 통해 공공부문에서 가명정보의 안전한 활용 생태계 조성을 위한 거버넌스, 컴플라이언스와 기술적 체계 등 구체적인 방안을 제안한다. 마지막으로 고려대 권헌영 교수가 마이데이터 서비스의 안전성과 신뢰성을 제고하기 위한 제도적 노력에 대해 설명한다. 행사는 개인정보 보호법 주요 개정내용에 대해 살펴보는 시간도 갖는다. 개인정보위 위원인 김진환 변호사는 개정 개인정보보호법이 적용된 최신사례를 소개한다. 업종별 기업 CPO 3인의 개정 개인정보 보호법 대응 분투기에 대한 토크콘서트도 열린다. 이 외에도 최근 다크웹 등에서 개인정보 유출·판매 실태, 피싱·크리덴셜 스터핑 등을 통한 개인정보 유출 사례 등을 소개하며 최신 개인정보 유출사건 유형과 대응방안을 알려준다. 고학수 개인정보위 위원장은 기조연설을 통해 "규제의 불확실성을 해소하고 새로운 프라이버시 이슈를 선제적으로 대응함으로써 기업 부담을 덜어줄 것"이라며 "이번 개인정보보호 페어가 AI에 대한 신뢰를 넘어 데이터 가치를 얻는 새로운 시대로 도약하는 계기가 되기를 기대한다"고 밝혔다.

2024.06.04 12:00김미정

"우울증 치료하려다 털렸다"…'멘탈 케어' AI 챗봇, 사생활 유출 위험 '경고등'

최근 우울감이나 불안감, 번아웃 증상을 해소하는데 적극 활용되고 있는 인공지능(AI) 챗봇이 심각한 개인정보 침해를 야기할 수 있다는 지적이 나왔다. 노드VPN는 정신적 외로움이나 의존 욕구를 해소하기 위한 수단으로 AI 챗봇을 이용할 때 ▲믿을 만한 앱 사용하기 ▲개인정보에 유출에 대한 위험성 인식하기 ▲모든 정보가 보호되지 않는다는 점 등을 명심해야 한다고 4일 밝혔다. 최근 AI를 기반으로 한 건강 관리 앱이 유행인 가운데 개인 건강 상태와 증상 정보를 분석해 주거나, 상담을 명목으로 진짜 사람처럼 대화를 이어 나갈 수 있는 AI 챗봇 서비스가 늘고 있는 추세다. 최근 출시된 노인 건강 관리 앱 '경기도 AI+돌봄 계획'이 대표적으로, 노인 인구가 급증하는 세태에 맞춰 AI 기술로 노인들의 주기적인 안부를 확인하고 건강 및 심리 관련 상담을 수행하는 것이 특징이다. 노드VPN은 "프로그램의 규격화된 데이터를 기반으로 대응을 하기 때문에 사용자의 성격이나 상태에 대한 미묘한 세부 사항을 놓쳐 더 큰 병리적 문제를 야기할 수 있다"며 "일부 AI 툴은 개인적인 신상 정보는 물론 행동, 수면 패턴, 신체적 활동과 심박수 등의 내밀한 정보, 내면의 깊은 정서에 대한 정보까지 수집하므로 이 정보가 유출될 시 심각한 프라이버시 침해로 이어질 수 있다"고 경고했다. 이에 노드VPN은 승인된 애플리케이션만 사용할 것을 권고했다. 특히 국가의 유관 부처가 운영하는 공공 어플리케이션이나 병원에서 운영하는 공인된 툴을 사용하는 것을 추천했다. 또 개인정보 유출에 대한 위험성도 인식할 필요가 있다고 지적했다. 일부 AI 툴이 신체·정신적인 정보는 물론 사용자의 기분과 인지 상태를 파악한다는 목적으로 전화 통화의 음성 녹음 데이터까지 수집하고 있다는 점을 간과해선 안된다고 조언했다. 노드VPN은 "여러 정보들은 사용자의 개인정보에 대한 유출, 침해 또는 심각한 해킹의 위험에 노출시킬 수 있기 때문에 사용에 유의해야 한다"며 "특히 로맨스와 관련된 AI 챗봇은 광고의 목적으로 종종 제3자에게 사용자의 개인정보를 공유하는 많은 추적기를 가지고 있기 때문에 더욱 사용에 유의해야 한다"고 설명했다. 보안 전문가들은 AI챗봇과의 모든 대화가 철저히 비밀로 유지되지 않는다는 점을 항상 명심해야 한다고 조언했다. 대화 중 공개되는 '개인 정보'에 대한 범위가 툴, 사람마다 아주 주관적이고 모호하다는 점도 고려해야 한다고 봤다. 아드리아누스 바르멘호벤(Adrianus Warmenhoven) 노드VPN 사이버 보안 고문은 "최근 정신 건강을 돕는 AI 기반의 앱들이 범람하고 있는데 일부 승인된 앱을 제외하고는 전문성이 없는 마케팅 봇에 불과하다"며 "AI는 결코 남자친구나 여자친구가 될 수 없고 정신 건강의 근본적 문제를 해결해 줄 수 없을뿐만 아니라 의존성을 유발하고 개인정보까지 유출할 수 있음을 명심해야 한다"고 밝혔다.

2024.06.04 11:16장유미

개인정보위 "산업용 AI, 개인정보 처리 더 투명히 다뤄야"

개인정보보호위원회가 산업용 인공지능(AI) 대상으로 개인정보 처리 투명성을 강화할 방침이다. 개인정보위는 3일 서울 정부청사에서 AI를 활용하거나 도입할 계획이 있는 기업, 공공기관과 진행한 간담회에서 이같이 밝혔다. 이번 현장 간담회는 지난 달 17일에 행정예고된 '자동화된 결정에 대한 개인정보처리자의 조치 기준' 고시 제정안에 대한 의견을 수렴하고, 이어 24일에 공개된 '자동화된 결정에 대한 정보주체의 권리 안내서' 초안을 설명하고 현장의 의견을 듣기 위해 마련했다. 간담회에 AI를 이용하는 채용, 운송·배달, 복지·행정 분야 기업과 공공기관 관계자가 참석했다. 특히 채용 분야에서는 AI 솔루션 개발 기업뿐 아니라 이를 실제로 활용하는 민간·공공기관 담당자도 자리했다. 개인정보위 측에선 최장혁 부위원장이 나왔다. 향후 AI의 활용이 예상되는 운송·배달 분야, 복지·행정 분야 등에서의 부정행위 탐지나, 공공기관 AI 서비스에 대한 의견도 나눴다. 이날 제시된 의견들은 고시 제정안 및 안내서 최종안에 반영한다. 이날 간담회를 주재한 최장혁 부위원장은 "빠르게 국민 일상생활에 자리잡고 있는 AI 기술이 국민에게 신뢰받기 위해서는 이를 활용하는 기업, 공공기관의 노력이 중요하다"며 "이번에 신설된 자동화된 결정에 대한 정보주체의 권리 제도를 통해 개인정보 처리의 투명성을 강화하는 데에 참석기업·기관들이 적극적으로 나서줄 것"을 당부했다.

2024.06.03 16:00김미정

정부·기업, AI와 통화 데이터로 보이스피싱 전면 차단한다

정부가 기업과 손잡고 보이스피싱을 막기 위한 인공지능(AI) 서비스를 개발한다. 보이스피싱 예방 AI 개발을 위해 통신·금융업계 협력이 활성화할 전망이다. 개인정보보호위원회를 비롯한 과학기술정보통신부, 금융위원회, 금융감독원, 국립과학수사연구원, 한국인터넷진흥원은 3일 정부서울청사에서 'AI·데이터 기반 보이스피싱 예방을 위한 상호 업무협약'을 체결했다고 밝혔다. 정부는 금융당국과 수사기관이 보유한 실제 보이스피싱 통화 데이터가 보이스피싱 예방 AI를 개발하는 민간 기업에 제공될 수 있도록 협력할 방침이다. 통신사 등 민간 기업이 보이스피싱 예방 AI 기술·서비스를 개발할 때 금감원, 국과수 등으로부터 보이스피싱 통화데이터를 제공 받아 AI 모델 학습, 성능 테스트 등에 활용할 수 있도록 하는 것을 목표로 뒀다. 금감원은 보이스피싱 피해자의 신고를 통해 수집한 통화 음성데이터를 과학수사 지원 목적으로 국과수에 지속 제공한다. 국과수는 해당 데이터를 비식별화 등 전처리 등을 거쳐 데이터를 필요로 하는 민간에 제공하는 데이터 공유체계를 구축한다. 개인정보위와 KISA는 데이터 제공·수집·이용 과정 중 발생할 수 있는 '개인정보 보호법'상 쟁점에 대하여 법령해석, 실증특례 등 규제개선 방안 등을 검토한다. 이를 통해해 안전한 데이터 활용을 지원하고, 가명정보 활용 종합컨설팅 지원 사업 등을 통해 데이터 가명처리, 안전조치 이행 과정 등을 지원한다. 다양한 보이스피싱 예방 AI가 개발될 수 있도록 통신·금융업계의 협력을 활성화한다. 개인정보위, 과기정통부, 금융위는 통신·금융업계 협력 기반의 보이스피싱 예방 AI 기술·서비스를 적극적으로 발굴하고, 관련법 저촉사항 없이 추진될 수 있도록 법령해석 및 규제개선 방안을 모색한다. 서비스 개발 과정에서 개인정보 법령 준수방안을 개인정보위와 마련하고, 사업자가 이를 이행한 경우 개인정보 보호법상 불이익한 처분을 하지 않는 개인정보위 '사전적정성 검토제'도 활용할 방침이다. 정부 주도로 보이스피싱 대응 기술개발(R&D) 사업을 기획·추진한다. 과기정통부, 개인정보위는 혁신적인 보이스피싱 탐지·예방 기술이 개발될 수 있도록 관련 사업을 추진할 방침이다. 과기정통부는 관련 전문가와 함께 구체적인 사업을 기획하고 예산을 지원한다. 개인정보위는 연구 과정 중 '개인정보 보호법' 관련 규제 개선사항을 발굴하고 필요시 실증특례도 추진한다. 정부는 민관 협업을 통한 첫 성과도 공개했다. SKT에서 보이스피싱 탐지·예방 AI 서비스를 개발한다는 내용이다. 이 서비스는 통화 문맥을 토대로 보이스피싱 의심 여부를 실시간으로 판별해 본인이나 가족에게 알림을 주는 기능 등을 갖췄다. 예를 들어, 보이스피싱에 사용되는 주요 키워드나 패턴을 탐지할 수 있다. 통화 문맥의 특성에 대한 분석을 통해 수사기관을 사칭하거나 금융거래를 이유로 개인정보를 요구하는 행위 등 다양한 보이스피싱 상황을 즉각 인지하고 의심통화로 분류한다. 단순히 의심 회선을 차단하는 것이 아니라 AI를 통해 통화 내용을 분석하여 보이스피싱을 탐지하게 됨으로써 빠르게 변화하는 범죄 수법에 보다 효과적으로 대응할 수 있다. 이외에도 개인정보위는 통신사 등 여러 기업으로부터 보이스피싱 예방 AI 서비스 개발과 관련한 검토요청을 받았다고 밝혔다. 향후 금융위, 과기정통부 등과 함께 긴밀히 논의할 예정이다. 과기정통부는 내년 신종 보이스피싱 조기탐지 R&D 사업을 기획·추진 중이며, 개인정보위와 함께 기술개발에 필요한 데이터를 안전하게 활용하는 방안을 논의 중이다. 개인정보위는 "그동안 피해자로부터 신고된 보이스피싱 통화 데이터가 사후적인 수사 목적으로만 활용되었으나, 이번 협약을 계기로 앞으로는 사전 예방을 위한 AI 개발에도 활용될 수 있을 것"이라며 "관계기관은 신뢰할 수 있는 개인정보보호와 정보보안 체계를 갖춘 민간기업 등이 민생범죄 예방을 위한 기술개발을 위해 보이스피싱 통화 데이터를 필요로 하면 적극 개방할 예정이다"고 했다.

2024.06.03 15:05김미정

Prev 11 12 13 14 15 16 17 18 19 20 Next