• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 인터뷰
  • 인사•부음
  • 글로벌뉴스
인공지능
배터리
양자컴퓨팅
컨퍼런스
칼럼•연재
포토•영상

ZDNet 검색 페이지

'개인 정보'통합검색 결과 입니다. (460건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

딥시크, 국내 대리인 둬야···개인정보위 7가지 시정 조치

개인정보보호위원회(위원장 고학수)는 23일 제9회 전체회의를 열고 딥시크(정식 명칭 Hangzhou DeepSeek Artificial Intelligence Co., Ltd)에 대한 사전 실태점검 결과를 심의, 의결했다. 이에 따르면 개인정보위는 점검 결과를 바탕으로 딥시크에게 7가지 시정권고를 했다. 첫째, 개인정보 국외 이전시 합법근거를 충실히 구비할 것 둘째, 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 셋째, 한국어 처리방침 공개 등 서비스 투명성을 지속 확보할 것, 넷째, 지난해 주요 AI(인공지능) 서비스 사전 실태점검 결과를 바탕으로 마련한 '강화된 개인정보 보호조치 방안'을 준수할 것, 다섯째, 아동 개인정보 수집 여부를 확인하고 파기할 것 여섯째, 개인정보 처리시스템 전반의 안전조치을 향상할 것 일곱째, 국내대리인 지정 등이다. 만일 딥시크가 개인정보위 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되며(보호법 제63조의2), 시정 및 개선 권고에 대한 이행 결과를 60일 이내에 개인정보위에 보고해야 한다. 수락하지 않으면 위원회가 조사에 들어가는데, 위원회는 딥시크가 한국 시장을 고려해 수락할 것으로 예상했다. 개인정보위는 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속 관리해 나갈 계획이다. 한편 이번 실태조사에서 한국 소비자 정보의 볼케이노로의 전송과 관련, 위원회 지적을 받아들여 이번달 10일부터 볼케이노로 한국 소비자 정보를 이전하는 것을 차단한 것으로 밝혀졌다. 그간 딥시크의 한국 사용자 데이터가 중국 기업 바이트댄스(ByteDance)가 운영하는 클라우드 컴퓨팅 및 스토리지 플랫폼 볼케이노(Volcano)로 전송, 보안 문제 논란을 일으켰다. 볼케이노는 바이트댄스(Bytedance) 계열사지만 별도 법인으로 Bytedance와는 무관하고, 처리위탁 정보는 서비스 운영과개선 외 마케팅 등의 목적으로는 이용하지 않고 있으며, 관련 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 소명했다고 개인정보위는 전했다. ■ 그간의 경과 올 1월 딥시크 서비스 출시 직후 국내‧외의 개인정보 침해 우려가 제기됨에 따라 개인정보위는 곧바로 딥시크에 개인정보 수집·처리 방식에 관한 질의서를 보냄(1.31.)과 동시에, 한국인터넷진흥원(원장 이상중)과 기술 분석 등을 진행해 다른 사업자와의 통신 기능 및 개인정보 처리방침상 미흡한 부분을 일부 확인했다. 이에 개인정보위는 딥시크에 대한 사전 실태점검에 착수했으며, 그 과정에서 딥시크는 개인정보 보호법에 대한 고려가 일부 소홀했음을 인정하고 개인정보위에 적극 협력하겠다는 의사를 표명하는 한편, 국내 앱 마켓에서 신규 다운로드를 잠정 중단(2.15.)한 바 있다. 개인정보위는 사전 실태점검 결과 다음과 같은 사항을 확인했다고 밝혔다. ① 처리방침 전반 관련 (당초) 딥시크는 '25. 1. 15. 한국 앱 마켓에 출시하면서 중국어, 영어로만 처리방침을 공개했고, 해당 처리방침에서도 개인정보 파기 절차 및 방법, 안전조치, 개인정보 보호책임자의 성명‧연락처 등 우리 보호법이 요구하는 사항을 누락했고, 키 입력 패턴‧리듬과 같은 광범위한 정보를 수집한다고 명시하고 있었다. (점검과정) 딥시크는 보호법상 법정 사항을 포함해 한국어로 된 처리방침과 별도의 대한민국 관할조항(처리법적 근거, 보유기간, 파기절차 및 방법, 개인정보 보호책임자 등)을 추가해 제출(3.28.)했다. 아울러 문제가 된 키 입력 패턴은 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로, 실제 수집한 사실은 없으며 정확한 수집 항목으로 처리방침을 정비했다고 알려와 확인했다. ② 개인정보의 국외 이전 관련 (당초) 딥시크는 개인정보를 중국 및 미국 소재 다수 회사로 이전하면서도(서비스 개선, 보안, 고객 서비스 대응 등 목적), 서비스 개시 시점에 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않고 있었다. 특히 딥시크는 기기 정보, 네트워크 정보, 앱 정보 외 이용자가 AI(인공지능) 프롬프트에 입력한 내용도 Beijing Volcano Engine Technology Co., Ltd.(이하 '볼케이노')에 전송하고 있었다. (점검과정) 딥시크는 국외이전(위탁) 관련 법정사항을 한국어 처리방침에 포함해 제출했다. 볼케이노로의 전송에 대해서는 보안 취약점 및 이용자 인터페이스(UI, User Interface)와 경험(UX, User Experience) 등의 개선을 위해 클라우드 서비스를 이용한 것이라고 설명했고, 이용자가 AI(인공지능) 프롬프트에 입력한 내용의 이전은 불필요하다는 위원회의 지적에 따라 신규 이전을 차단(4.10.~)했다고 알려와 확인했다. 볼케이노는 바이트댄스(Bytedance) 계열사지만 별도 법인으로 Bytedance와는 무관하고, 처리위탁 정보는 서비스 운영‧개선 외 마케팅 등의 목적으로는 이용하지 않고 있으며, 관련 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 소명했다. ③ AI(인공지능) 개발·학습 관련 (당초) 딥시크는 타 AI(인공지능) 사업자와 유사하게 공개된 데이터(오픈소스 데이터 및 웹 수집 데이터 등)와 이용자가 프롬프트에 입력한 내용을 AI(인공지능) 개발‧학습에 이용하고 있었으나, AI(인공지능) 프롬프트 입력 내용의 경우 이용자가 AI(인공지능) 개발‧학습 활용에 거부할 수 있는 기능이 없었고, 처리방침‧이용약관에도 '서비스 제공‧개선'으로만 표시해 충분한 설명 또는 고지가 있었다고 볼 수 없었다. (점검과정) 딥시크는 AI(인공지능) 프롬프트 입력 내용의 AI(인공지능) 개발‧학습 활용과 관련해 이용자가 거부할 수 있는 기능(opt-out)을 마련(3.17.~)했다고 알려와 확인했고, 특히 개인정보위가 지난해('24.3월) 주요 AI(인공지능) 서비스 사전 실태점검 후 권고한 '강화된 보호조치'를 모두 준수하기로 했다. 강화된 보호조치는 사전학습시 한국인터넷진흥원에서 제공하는 개인정보(주민등록번호, 휴대전화번호, 계좌번호 등) 노출 페이지(URL)에 대한 삭제‧차단 반영과 이용자 입력 데이터의 사용 목적을 분명히 알리고, 또 사용 여부에 대한 선택권 보장과 AI 관련 개인정보 처리 흐름 전반을 구체적 안내 등이다. ④ 기타 : 아동 개인정보 및 안전조치 관련 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입시 아동 여부를 확인하는 절차가 없었으나, 점검과정에서 연령 확인 절차 등을 마련했다. 또 일부 확인된 보안 취약점(개발서버 데이터베이스 접근 제한 소홀, 디렉터리 리스팅 방지 미흡 등)에 대해서는 점검과정에서 조치가 완료된 것을 확인했다. 한편, 개인정보위는 딥시크 실태점검을 계기로 지난해 발간한 '해외사업자 대상 개인정보보호법 적용 안내서'의 핵심사항을 체크리스트 형태로 함께 제공하기로 했다. 해외사업자는 이를 활용해 기본적 사항을 미리 점검함으로써 한국 정보주체의 권리를 충실히 보장하고 개인정보를 안전하게 보호하며 서비스를 출시, 운영할 것이 요구된다.

2025.04.24 12:00방은주

이번엔 SKT 해킹···전문가 "서버 보호 대책 미흡했을 것"

SK텔레콤(SKT)에 해킹 사건이 발생했다. 악성 코드가 심어져 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황이 확인됐다. 유심은 통신망에서 개인을 식별하고 인증하는 정보를 저장하는 매체다. 이동통신사는 국내 최고 수준으로 보안에 신경쓰는 것으로 알려졌다. 하지만 해커는 약점을 파고들었다. 전문가들은 기업과 소비자 모두 지속적으로 관심을 갖고 사고를 예방해야 한다고 입을 모았다. SK텔레콤은 19일 오후 11시경 해커에 의한 악성코드로 인해 자사 고객의 유심 관련 일부 정보가 유출된 정황을 확인했다고 22일 밝혔다. 유출 가능성 인지 후 SK텔레콤은 즉시 해당 악성코드를 삭제하고 해킹 의심 장비를 격리 조치했다. 한국인터넷진흥원(KISA)에 침해 사고 사실을 20일 신고했고, 개인정보보호위원회에도 22일 오전 10시 알렸다. 이에, 개인정보위는 즉각 조사에 착수했다고 발표했다. 과기정통부도 피해 현황 및 사고원인 조사 등을 진행하고 있다고 밝혔다. 또 과기정통부는 개인정보 유출 가능성 등 피해 현황과 보안취약점 등 사고 중대성을 고려, 면밀한 대응을 위해 과기정통부 정보보호네트워크정책관을 단장으로 하는 비상대책반도 구성했다. 필요시 민관합동조사단을 구성하고 심층적인 원인분석 및 재발방지 대책 마련을 추진할 방침이라고 밝혔다. 시스템 침입 경로, 해킹 방식, 서버 보안 취약점 등 사고 원인 결과가 나오려면 며칠이 걸릴 전망이다. “신종기법인지 여부는 조사 결과 두고봐야" 정보보호 전문가들은 서버에 악성 코드가 심어져 SKT가 해킹당한 것으로 추정했다. 한국정보보호학회 공급망보안연구회를 이끄는 이만희 한남대 정보보호학과 교수는 이날 지디넷코리아와의 통화에서 “지금껏 알려진 바로는 SKT 내부 시스템에 악성 코드가 설치돼 해킹됐다”며 “보안 취약점이 원인이 될 수 있고, 사회 공학적인 기법일 수도 있고, 공급망 공격까지 가능한 점을 미뤄 보면 무한한 공격 기법이 있다”고 말했다. 이 교수는 “신종 기법이라면 어쩔 수 없지만 쉽게 막을 수 있던 공격이라면 기업의 보안 관행이 문제일 수 있다”며 “조사 결과를 봐야 판단할 수 있다”고 설명했다. 순천향대 정보보호학과 명예교수인 염흥열 한국개인정보보호책임자(CPO)협의회장은 “SKT 가입자의 유심 관련 정보를 저장한 서버가 해킹된 것 같다”며 “고객 인증·식별 정보를 보관하는 서버 보호 대책이 기술·관리·조직적으로 미흡해 뚫린 것 같다”고 추정했다. 국내 한 정보보호 기업 관계자는 “통신사는 높은 수준으로 보안하지만 완벽할 수는 없기에 공격자가 보안 요소 중 가장 약한 '사람'을 노린다”며 “기업 담당자가 자주 바뀔뿐더러 보안 교육 받은 사람이라도 방심하는 일이 잦다”고 지적했다. “기업, 유심 복제 막고 지속 투자해야” 전문가들은 기업에 지속적인 관심과 투자를 주문했다. 염흥열 CPO협의회장은 “SKT가 과학기술정보통신부·한국인터넷진흥원(KISA)과 정확한 유출 원인, 규모, 항목 등을 조사하고 있다”며 “불법 유심으로 기기를 변경하거나 비정상적으로 인증하는 시도를 막아야 한다”고 주장했다. 특히 “최악의 경우 유심을 복제할 수 있다”며 “어느 고객 유심이 다른 휴대폰에 장착되더라도 못 쓰게 하는 '유심 보호 서비스'를 적용해야 한다”고 강조했다. 고객 유심을 통신사가 바꿔주는 대책도 언급했다. 한 보안 기업 대표는 “대기업은 보안에 많이 투자했지만 여전히 사고가 난다”며 훈련 – 암호화 및 백업 – 취약점 분석 – 태세 관리로 지속적으로 보안을 챙겨야 한다고 주문했다. 또 다른 보안 회사 대표는 “도둑은 가장 가벼우면서도 돈이 되는 물건을 훔친다”며 “기업에서 가장 중요한 물건은 정보(데이터)”라고 분석했다. 기업은 데이터를 백업하고 암호로 숨겼는지 자주 살펴야 한다는 입장이다. 그는 “기업이 매년 보안 훈련한다지만, 조사해 보면 1년에 한두 번 훈련한다는 답이 80%”라며 “진정 훈련했다고 할 수 있느냐”고 되물었다. 그는 “많은 돈을 들인 성벽이 오래되면 구멍이 날 수 있어 잘 점검해야 한다”며 “보안 인프라 투자와 함께 임직원 훈련을 함께 해야 한다”고 조언했다. 이만희 교수는 “해킹 기법은 날마다 발전한다”며 “기밀과 사용자 개인정보를 관리하는 모든 기업은 최신 보안 기술을 써야 한다”고 지적했다. 공급망 보안도 그런 예로, 미리 준비하거나 빠르게 도입하면 그만큼 안전하지만 의무가 될 때까지 기다리면 늦어버린다는 의견이다. 이 교수는 “기업은 보안이 컴플라언스를 위한 비용이 아닌 신뢰를 높이는 투자로 생각해야 한다”며 “담당자도 지속적으로 교육할 필요가 있다”고 했다. “소비자, 유심 보호 무료 서비스 쓰세요” 소비자는 유심 보호 서비스를 쓰는 한편 평소 출처를 알 수 없는 링크를 누르지 않는 게 좋다. 염흥열 교수는 “'유심 보호 서비스'를 고객은 무료로 쓸 수 있다”며 “유심이 복제되지 않게 막아야 한다”고 말했다. 이만희 교수는 “한국의 많은 기업이 정보보호 관리 체계(ISMS·Information Security Management system) 인증을 받는 등 노력하고 있다”며 “소비자는 이런 기업 제품을 쓰는 게 저렴한 외산 제품을 선택하는 것보다 개인정보 유출 우려가 확률적으로 덜하다”고 주장했다. 이어 “문자메시지(SMS)나 이메일에 포함된 링크는 가급적 누르지 말아야겠다”고 덧붙였다. 국내 정보보호 기업 관계자 역시 “꾸준히 훈련하는 수밖에 없다”며 “이메일 첨부 파일이나 문자 링크를 무심코 누르지 않는 게 기본”이라고 조언했다.

2025.04.22 20:15유혜진

개인정보위, SK텔레콤 유출 사고 즉시 조사 착수

개인정보보호위원회(위원장 고학수)는 22일 오전 0시경 SK텔레콤으로부터 유출 신고를 접수받아, 조사에 즉시 착수했다고 밝혔다. SK텔레콤은 19일 자사 시스템 내 보관 중인 고객 유심(USIM) 관련 정보가 유출된 정황을 인지한 후 개인정보 유출 신고를 한 것으로 확인됐다고 위원회는 설명했다. 개인정보위는 자료제출 요구, 현장 조사 등을 통해 구체적인 유출 경위 및 피해 규모, 안전조치 의무 및 유출 통지·신고 의무 등 '개인정보 보호법' 준수 여부를 조사할 것이며, 법 위반 사항이 확인되는 경우 관련 법령에 따라 엄정히 처분할 예정이다. 개인정보위는 대규모의 개인정보를 처리하고 있는 이동통신 서비스에서 유출 사고가 발생한 만큼 유출된 개인정보를 이용한 보이스피싱, 스미싱 등 2차 피해가 발생하지 않도록 주의할 것을 당부했다.

2025.04.22 16:23방은주

SKT, 개인정보 유출 의심정황 발견...정부에 신고

SK텔레콤이 유심(USIM, 가입자식별모듈) 일부 정보의 유출이 의심되는 정황을 발견하고 관련 당국에 신고했다. 22일 SK텔레콤에 따르면 지난 19일 오후 11시께 내부 시스템에 악성코드를 발견하고 관련 법률에 따라 한국인터넷진흥원(KISA)에 침해사고 사실을 즉시 신고했다. SK텔레콤은 현재 정확한 유출 원인과 규모, 항목 등을 파악하고 있다. 개인정보 유출 가능성에 따라 악성코드는 즉시 삭제했다. 또 해킹이 의심되는 장비도 격리 조치했다. 또 개인정보보호위원회에 개인정보 유출 정황을 신고하고 조사에 협조한다는 방침이다. 회사 관계자는 “현재까지 악성코드로 인한 악용 사례는 확인되지 않았으나 이용자 피해를 예방하기 위해 전체 시스템 전수조사, 불법 유심 기변 차단, 비정상 인증 시도 차단 조치를 취하고 있다”고 밝혔다. 피해 의심 징후가 발견될 경우 즉각적으로 이용 정지에 나설 예정이다. 추가적인 안전 조치를 원하는 가입자는 회사 홈페이지와 T월드에서 유심보호서비스를 무료로 이용할 수 있다.

2025.04.22 10:00박수형

"개인정보위 추구 혁신, 글로벌 AI·데이터 거버넌스에 반영"

개인정보보호위원회(위원장 고학수, 개인정보위)가 국제 개인정보 전문가 협회(IAPP)의 '글로벌 프라이버시 서밋'에 참석한다. 이를 위해 고학수 위원장이 21~24일 4일간 미국 워싱턴 DC를 방문한다. 개인정보위는 이 자리에서 미국 트럼프 행정부 및 대표적인 싱크탱크 관계자들과 면담을 갖는 한편, 세계 각국의 개인정보 감독기구 수장과 글로벌 빅테크 기업 개인정보 보호 책임자 등과 만나 개인정보 관련 국제적 현안을 논의한다. 고 위원장은 22일(현지시각) 미국 신 행정부 연방거래위원회(FTC) 멜리사 홀리오크(Melissa Holyoak) 위원(Commissioner)을 만나 인공지능 시대 데이터 및 개인정보 정책을 논의한다. 이 자리에서 고 위원장은 오는 9월 한국에서 열리는 글로벌 프라이버시 총회(GPA) 개최 계획을 공유하고, 기관 간 협력 방안을 모색한다. 또 고 위원장은 미국 대표 싱크탱크인 브루킹스 연구소 주최로 미국 정부, 산업계 대표, 주요국 감독기구, 시민단체 등이 모이는 라운드 테이블에 참석해 신뢰할 수 있는 인공지능 데이터 거버넌스 마련 필요성과 이를 위한 개인정보 감독기구 역할을 설명한다. 이 자리에서 고 위원장은 최근 미국 무역장벽보고서(NTE)에 제기된 한국의 데이터 이전 정책에 관해 설명하고, 산업 현장의 법적 불확실성을 해소하기 위한 '사전 적정성 검토제' '혁신지원 원스톱 창구' 등 개인정보위 정책을 공유한다. 동시에 미국의 신정부 출범에 따른 디지털 통상, 인공지능 및 데이터 프라이버시 거버넌스 정책 동향도 파악할 계획이다. 또 고 위원장은 '2025년 글로벌 프라이버시 서밋'에 참석해 '아태지역의 인공지능 거버넌스'에 관해 집중 논의할 예정이다. 행사를 개최하는 IAPP(International Association of Privacy Professionals)는 2000년 설립된 국제 개인정보 전문가 협회로, 매년 개최하는 서밋에는 전 세계 개인정보 감독기구, 관련 학계‧법조계‧산업계 전문가 등 총 5천여 명이 참석한다. 이어 서밋 부대행사인 정보정책리더십센터 주최 정책토론회에서 미국 국제정보통신정책 대사, 프랑스, 영국 개인정보 감독기구 기관장 등과 함께 '인공지능 혁신을 촉진하는 데이터 및 프라이버시 정책' 토론회 패널로 참석해 인공지능 시대 개인정보 정책 방향성, 혁신을 지원하기 위한 다양한 메커니즘, 국제 협력의 필요성 등을 논의할 예정이다. 행사 진행은 보야나 벨라미 정보정책리더십센터 회장이 패널로는 스트브 랭 미국 국제통신정보정책 대사, 존 에드워드 영국 개인정보 감독기구(ICO) 위원장, 베트랑 뒤 마레 프랑스 개인정보 감독기구(CNIL) 위원, 로즈 모세로 동아프리카 디지털 통합 프로젝트(EA-RDIP) 데이터 보호 및 사이버 보안 고문이 참여한다. 아울러 전 세계 개인정보 감독기구와 글로벌 빅테크 기업의 최고 개인정보 보호책임자(CPO) 등과 릴레이 면담도 진행한다. 고 위원장은 르추웬홍 싱가포르 개인정보보호위원회(PDPC) 위원장, 파하드 알레브디 사우디아라비아 국가데이터관리단(NDMO) 단장도 면담, 양 기관의 인공지능 관련 개인정보 정책을 공유하는 한편 올 9월 서울에서 개최되는 글로벌 프라이버시 총회(GPA)에 아시아 감독기구로서 적극적인 참여도 요청할 계획이다. 또, 마이크로소프트, 구글, 메타 등 글로벌 빅테크기업 최고 개인정보 보호 책임자(CPO) 등과 만나 인공지능 신기술과 서비스 동향을 파악하고, 신뢰할 수 있는 인공지능을 위한 안전한 데이터 및 개인정보 활용 방안에 대해 논의할 예정이다. 고 위원장은 “급변하는 글로벌 정세 속에 AI(인공지능) 기술 및 글로벌 정책 변화를 고려해 정책을 세심하게 마련하는 동시에, 우리 위원회가 추구하는 혁신과 신뢰의 원칙 방향이 글로벌 AI(인공지능) 데이터 거버넌스에 반영되도록 국제 협력과 논의를 이어갈 것”이라고 밝혔다.

2025.04.22 10:00방은주

기업 개인정보처리 부담 줄어든다···개인정보위, 개정안 마련

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 22일 '개인정보 처리방침 작성지침'(이하 '작성지침') 개정본을 공개했다. 정보주체 권리를 실질적으로 보장하면서도 개인정보처리자의 부담을 완화하는 방향으로 추진했다고 위원회는 설명했다. 개인정보처리자는 개인정보 보호법 제30조에 따라 개인정보 처리방침(이하 '처리방침')을 적정하고 투명하게 작성, 공개해야 한다. 이번 작성지침 개정본은 2025년 처리방침 평가 시행을 앞두고, 개인정보처리자가 실효성 있는 처리방침을 수립할 수 있도록 지원하기 위해 마련됐다. 이번 개정은 정보주체의 권리를 실질적으로 보장하면서도 개인정보처리자의 부담을 완화하는 방향으로 추진E되었다. 또 2024년 개인정보 처리방침 평가위원회가 제기한 개선 의견을 반영해 작성 항목의 체계를 재정비하고, 법령상 필수사항과 정책상 권장사항을 명확히 구분해 수범자의 혼란을 줄였다고 위원회는 밝혔다. 이번 개정의 주요 내용은 아래와 같다. 첫째, '24년 9월 개편한 '개인정보 동의제도'와 관련해 정보주체 동의 없이 처리 가능한 개인정보 항목(회원서비스 운영, 판매 상품에 대한 A/S(에이에스) 상담 등 계약 체결·이행에 관한 사항은 동의 없이 처리)과 동의가 필요한 항목(민감정보, 고유식별정보, 개인정보의 제3자 제공의 경우 계약의 체결·이행이더라도 동의를 받은 경우에만 처리 가능)을 처리방침에 다양한 예시와 함께 구체화했다. 둘째, 처리하는 개인정보 항목과 보유·이용 기간 작성 시 구체성을 완화했다. 기존에는 모든 항목을 구체적으로 나열하도록 요구했으나, 앞으로는 기재가 어려운 특별한 사정이 있는 경우에는 유형별(자기소개서, 공인영어시험 점수, 대학성적 등 인공지능 서류전형에 필요한 개인정보 항목) 기재를 예외적으로 허용했다. 또 제3자 제공이나 보유·이용 기간을 특정하기 어려운 경우에도 특정이 가능한 수준으로 제3자를 유형화하거나, 보유·이용 기간의 결정 기준을 처리방침에 기재하는 방식도 예외적으로 인정했다. 셋째, 정보주체의 개인정보 관련 고충을 직접 처리하는 부서의 연락처를 기재하도록 했다. 기존에는 개인정보책임자(CPO) 소속 부서 연락처만 기재하도록 했지만 앞으로는 개인정보책임자(CPO) 책임 하에 고충처리를 담당하는 고객센터 등 유관 부서의 연락처도 기재할 수 있도록 개선했다. 넷째, 모바일 앱 환경의 다양성을 고려해 공개 방식을 개선했다. 기존에는 반드시 홈페이지의 첫 화면 하단에 처리방침을 공개하도록 했고, 이에 정보주체가 처리방침 확인을 위해 수차례 스크롤 다운이 필요한 불편함이 있었다. 이번 개정에서는 첫 화면 외에도 정보주체가 쉽게 확인할 수 있는 '서비스 메뉴' '설정' '회원가입' 또는 '로그인 영역' 등으로 공개 범위를 확대했다. 다섯째, '개인정보 전송요구 행사 방법' '자동화된 결정'에 대한 설명 요구 등 정보주체의 권리 행사 절차(전송요구 방법, 전송 현황 및 내용 확인하는 방법, (자동화된 결정) 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등 기재)를 구체적으로 안내하도록 했다. 또 인공지능(AI) 학습용 데이터를 수집·이용하는 경우에는 투명성 확보 관련 기준을 처리방침에 명시하도록 권장하는 내용도 포함됐다. 마지막으로, 행태정보의 수집·이용·제공 및 그 거부에 관한 사항에 대한 안내를 보다 명확히 했다. 특히, 쿠키 및 맞춤형 광고 차단 방법 등 정보주체의 거부권 행사 방법을 제시(웹브라우저에 저장된 쿠키 삭제, 제3자 쿠키 삭제, 모든 쿠키 삭제 등 단계별 맞춤형 광고 차단방법에 대한 안내 등)하도록 했다. 크롬 등 주요 브라우저의 환경 변화에 따른 설정 방식도 현행화(크롬(웹) 브라우저 쿠키 차단 방법을 기존 '인터넷 사용 기록 삭제'에서 '새 시크릿 창'으로 변경)했다. 개인정보위는 이번 작성지침에 대한 기업들의 이해를 돕기 위해 오는 28일 한국과학기술회관(서울 강남)에서 설명회를 개최할 예정이다. 참가를 원하는 국민은 홈페이지 'https://privacy.kait.or.kr'를 통해 누구나 신청이 가능하다. 작성지침 개정본은 개인정보위 누리집 'www.pipc.go.kr' 및 개인정보 포털 'www.privacy.go.kr'에서 확인할 수 있다.

2025.04.21 12:00방은주

프로파일러AI챗봇, 범죄자와 대화하고 잠복수사

“부모님이 집에 계시니? 아니면 혼자 놀고 있니?” 어떤 어른이 꼬마에게 문자 메시지를 보냈다. 이 어른은 소아성애자다. 사춘기에 접어들지 않은 어린이에게 강한 성적 욕망을 느끼는 성인을 소아성애자라 한다. “저 혼자 게임하고 있어요. 엄마와 아빠는 모두 일하러 나갔어요.” 꼬마가 답했다. 이 꼬마는 진짜 사람이 아니다. 아동 인신 매매범을 잡으려고 만든 인공지능(AI) 챗봇이다. AI 챗봇 프로필에는 소년 사진이 있다. 꼬마는 미국인 초등학생으로 설정됐다. 외동아이다. 2개 국어를 할 줄 안다. 게임하길 즐긴다. 수줍은 성격이라 여자아이를 사귈 때 특히 힘들어한다. 꼬마의 부모는 자식이 소셜미디어(SNS)를 못쓰게 한다. 부모는 에콰도르에서 이민 왔다. 부모 역시 가상 인물이다. 미국 잡지 와이어드는 17일(현지시간) 미국 경찰이 범인을 잡고자 AI 챗봇으로 범죄자와 대화한다고 정보기술(IT) 매체 404미디어를 인용해 보도했다. 미국 매시브블루라는 회사가 이 AI 챗봇 '오버워치(Overwatch)'를 경찰서에 판매하고 있다. 마이크 맥그로 매시브블루 공동창업자는 “인신 매매 피해자를 돕는 동시에 범죄자를 법의 심판대에 세우는 게 우리 목표”라고 말했다. 미국 경찰은 “오버워치로 체포한 사람은 아직 없다”면서도 “AI 챗봇은 수사를 돕는 도구”라고 평가했다. 그러면서 “인신 매매범과 마약 밀매범을 잡으려면 다양하게 접근해야 한다”고 설명했다. 매시브블루에 따르면 오버워치는 SNS를 살펴보다 용의자를 추적한다. 미국 3개 도시 댈러스·휴스턴·오스틴에서 24시간 활동해 인신 매매범 3천266명을 찾았다. 4분의 1은 인신 매매 대형 조직에 속했고, 15%는 청소년을 사고팔려는 것으로 나타났다. 매시브블루는 어떻게 식별했는지와 그들의 개인정보는 밝히지 않았다.

2025.04.19 08:00유혜진

개인정보위, AI 학습과 프라이버시 리스크 관리방안 논의

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 16일 서울 명동 소재 포스트타워에서 제2차 '2025 개인정보 미래포럼'을 개최했다. 이 포럼은 개인정보 분야 의제를 선제적으로 논의하고, 산업계·시민사회 등 현장의견을 수렴하는 '개인정보 정책 토론의 장'으로 학계·법조계·산업계·시민사회 등의 전문가 40명으로 구성됐다. 이번 포럼은 '신산업 현장의 프라이버시 리스크 관리'를 의제로 발제와 토론을 진행했다. 먼저 카카오헬스케어 신수용 연구소장은 인공지능 학습에 병원이 보유하고 있는 의료 데이터를 보다 안전하게 활용할 수 있게 하는 개인정보 보호 강화기술(PET, Privacy Enhancing Technology)인 '연합학습(Federated Learning)' 등을 소개했다. 연합학습은 학습 데이터로 활용하는 서비스 사용자들의 개인정보를 중앙 집중화한 서버로 전송하지 않고, 각 사용자 개인의 기기에 보관한 상태로 활용해 머신러닝 모델을 학습시키는 기법이다. 이어 국립과학수사연구원 박남인 연구관이 통신사의 보이스피싱 예방 인공지능 서비스 개발을 위해 국과수가 보이스피싱 통화 데이터를 제공하는 과정에서, 민감한 정보(피해자의 이름, 계좌번호 등)의 비식별 처리 등 개인정보 보호 관점에서 했던 고민과 노력을 공유했다. 개인정보위는 이날 포럼에서 제안된 의견을 반영해 신기술·신산업 혁신에 친화적인 환경 조성을 위한 기반을 구축해 나갈 계획이다. 개인정보위는 인공지능 기술 개발에 원본 데이터를 안전하게 활용할 수 있도록 개인정보 보호법 상 특례 규정 마련을 추진하고 있다. 사전적정성 검토제와 혁신지원 원스톱 창구를 통해 민간의 혁신 활동을 장려하고 있다. 오는 6월 개최 예정인 제3차 개인정보 미래포럼에서는 '인공지능 시대 개인정보 보호'를 의제로 신기술과 이에 기반한 서비스 개발 과정에서 개인정보 처리에 대한 사회적 신뢰 확보 방안 등을 논의할 예정이다.

2025.04.16 16:00방은주

애플, 사용자 데이터 AI 학습에 쓴다…개인정보 보호 뒷전 '논란'

애플이 인공지능(AI) 기능 고도화를 위해 기기 내 사용자 실제 데이터를 활용하는 새로운 학습 방식을 추진할 예정인 것으로 알려졌다. 이는 그동안 지켜온 합성 데이터 사용 원칙을 수정한 것으로 개인정보 보호 논란이 수면 위로 떠오를 전망이다. 블룸버그는 애플이 사용자 실제 데이터와 합성 데이터를 결합해 AI 모델 훈련을 할 것이란 계획을 담은 내부 자료를 공개했다고 15일 보도했다. 해당 문서명은 '차등 개인정보 보호 기반 집계 경향 분석'이며 새로운 데이터 활용법이 주요 내용이다. 애플의 기존 AI 모델 훈련법은 사용자의 실제 데이터와는 무관한 합성 데이터만을 활용하는 방식이었다. 개인정보 유출 위험은 없었지만, 실제 이용자 언어 패턴이나 문맥 흐름을 반영하는 데 한계가 있었다. 문서에 따르면 새 훈련법은 실제 사용자 데이터를 분석해 이와 비슷한 합성 데이터를 만드는 것이다. 사용자 메시지와 기존 합성 데이터를 비교·분석해 유사도와 반복되는 표현을 파악하는 식이다. 이를 통해 자연스러 언어 흐름과 표현 습관을 AI 모델이 더 정확히 학습하는 것이 목표다. 이 방식은 iOS 18.5와 맥OS 15.5 베타 버전에 우선 적용될 예정인 것으로 전해졌다. 블룸버그는 "이메일처럼 민감한 데이터가 간접적으로 학습 재료로 활용된다"며 "향후 법적·윤리적 논란을 불러올 수 있다"고 지적했다. 다수 외신도 애플이 이 변화를 시도하는 배경에는 경쟁사 대비 뒤처진 AI 개발 속도에 대한 위기감이 작용했다고 분석했다. 실제 애플의 AI 비서 '시리(Siri)' 관련 주요 기능 출시가 연이어 연기되면서, 업계에서도 애플을 'AI 후발주자'로 평가하는 분위기다. 최근 시리 부문 핵심 경영진까지 교체됐다. 애플은 "모든 분석 과정에 '차등 개인정보 보호(differential privacy)' 기술을 적용해 사용자 개개인을 식별할 수 없도록 설계했다"며 "수집된 정보는 기기 밖으로 나가지 않는다"고 해명했다. 그러면서 "해당 기능은 사용자가 명시적으로 동의해야만 작동된다"며 "설정 과정에서 이를 비활성화할 수 있다"고 덧붙였다.

2025.04.15 18:12김미정

[기고] 대한민국이 AI 강국으로 가는 길, 데이터 활용의 딜레마를 넘어

개인정보보호위원회가 주관해 상정하고 지난 2월 국가인공지능위원회가 심의해 채택한 '인공지능(AI) 데이터 확충 및 개방 확대방안'은 AI 시대를 맞아 우리나라가 경쟁력을 갖추기 위한 본격적인 첫걸음이라고 할 수 있다. 국가인공지능위원회는 이 방안을 채택하면서 AI 기반의 디지털 전환이 가속화되는 시대에 대응하고 AI 경쟁력을 높이기 위한 양질의 데이터를 보다 많이 확보하며 이를 적극적으로 활용할 수 있는 정책 마련을 목표로 삼았다. 이 의안에서 무엇보다 주목할 점은 AI 정책의 최상위 거버넌스 기구인 국가인공지능위원회가 AI 발전을 위해 데이터 접근이 필수적이라는 점을 공식적으로 인정했다는 것이다. 이는 데이터 활용을 둘러싼 사회적 인식과 정책 방향에 중요한 전환점이 될 수 있다. 다만 보다 중요한 과제는 이 방안의 취지를 뒷받침할 수 있는 구체적이고 실행력 있는 후속 정책을 신속히 마련한 후 실제 집행으로 이어가는 일이다. 이 과정에서 AI 모델이 실제로 어떻게 설계되고 학습되는지를 이해하는 것이 필수적이다. 산업 현장과 기술의 현실을 충분히 고려하지 않은 채 이론에만 머무는 논의는 오히려 과도한 규제나 비현실적인 기준으로 이어져 혁신을 저해할 위험이 있다. 이번 의안은 AI가 학습에 필요한 데이터를 활용할 때 정보주체의 '동의'만을 유일한 법적 근거로 삼지 않겠다는 취지를 담고 있다. 이는 동의를 받기 어려운 현실적인 제약과 형식적인 동의가 오히려 개인정보 보호를 약화시킬 수 있다는 문제의식에서 출발한 것이다. 동의 외에도 정당한 이익, 공익 목적, 가명정보 활용 등 다양한 법적 근거를 합리적으로 마련하면 데이터 활용의 유연성을 높이고 AI 혁신의 기반도 한층 더 강화할 수 있다. 결국 어떤 대안을 채택하고 그 기준을 어떻게 설계하느냐에 따라 한국 사회가 나아갈 AI 시대의 방향은 크게 달라질 것이다. '계약의 필요성(제15조 제1항 제4호)'과 '정당한 이익(같은 항 제6호)'은 개인정보보호법상 동의에만 의존하기 어려운 현실을 보완할 수 있는 중요한 법적 근거다. 지난해 12월 개인정보보호위원회가 공개한 개인정보 처리 통합 안내서에서도 이 두 근거의 적용 범위를 넓히려는 방향성을 확인할 수 있다. 이 방향성은 데이터 활용의 현실성과 기술 발전의 속도를 함께 고려하려는 시도의 일환이라고 볼 수 있다. AI 학습에는 필연적으로 대규모 데이터의 활용이 요구되며 이를 뒷받침하려면 기술적 맥락과 사회적 현실을 반영한 유연한 법적 근거가 필요하다. 그런 점에서 '계약의 필요성'과 '정당한 이익'의 적극적인 해석과 적용은 앞으로의 AI 정책과 데이터 활용 논의에서 핵심적인 역할을 하게 될 것이다. AI 모델의 발전은 이제 단순한 IT 기술의 문제가 아니라 국가 경제 전반의 경쟁력과 대한민국 사회 전체의 이익과 직결된 과제가 됐다. 기업들은 경쟁력 있는 AI 기술을 학습하고 고도화하는 일을 생존 전략의 일부로 받아들이고 있으며 일반 국민 역시 AI 기술을 통해 보다 나은 서비스를 누릴 기회를 기대하고 있다. 한국 사회의 현실을 제대로 반영하는 AI 기술을 개발하기 위해서는 국내 이용자에 기반한 데이터가 필수적이다. 우리의 언어, 지리, 문화적 맥락을 반영하지 못하는 기술은 결과적으로 편향되거나 차별적인 판단을 내릴 수밖에 없다. 이러한 문제는 AI가 우리의 일상 속으로 깊이 들어오고 있는 지금 중대한 사회적 문제로 부상하고 있다. 결국 해답은 데이터 접근성의 획기적 확대에 있다. 이미 세계 각국은 데이터 주도권 확보를 위한 경쟁에 돌입했다. 유럽 개인정보보호이사회(EDPB)는 AI 학습을 위한 적법 근거로 '정당한 이익'을 명시했고 일본은 개인정보보호법 개정을 통해 일정한 요건 하에서는 동의 없이도 AI 학습 데이터 활용을 허용하는 방안을 추진 중이다. 이제 우리도 더 이상 논의를 미룰 수 없다. AI 시대에 걸맞은 구체적이고 실행 가능한 법적 기준을 마련해야 할 때다. 데이터 활용과 개인정보 보호는 대립하는 개념이 아니라 조화를 이뤄야 할 정책 목표다. 이를 위한 정교한 설계가 절실하다. 이 중요한 전환점에서 가장 필요한 것은 현장의 현실을 반영한 제도다. 기술을 직접 개발하고 데이터를 다루는 이들의 목소리를 반영하지 못한 규제는 결국 우리 스스로의 경쟁력을 제약하는 결과를 낳게 된다. AI 강국을 향한 우리의 여정이 규제의 그늘 속에 가로막힐 수 있다는 지적에 귀를 기울어야 할 것이다.

2025.04.14 17:17조경식

"AI시대 안전한 정보 활용 돕는 CPO 모여라"

“한국개인정보보호책임자(CPO)협의회는 인공지능(AI) 시대 정보를 안전하게 활용할 수 있게 CPO 위상을 높일 것입니다. 개인정보보호처리자를 비롯한 산업계와 학계, 정부가 다함께 발전하도록 역할을 다하겠습니다.” 윤수영 CPO협의회 사무국장은 지난 8일 서울 여의도에서 지디넷코리아와 만나 이같이 밝혔다. CPO(Chief Privacy Officer)는 조직에서 개인정보 보호 계획을 세우고 시행하는 책임을 진다. 개인정보 처리 실태를 조사하고, 개인정보가 새어 나가지 않도록 내부 통제 시스템을 만든다. 기업과 공공기관 등에서 개인정보 처리를 책임질 CPO를 정해야 한다. 소상공인기본법에 따른 소상공인은 사업주나 대표가 CPO다. CPO협의회는 지난해 9월 출범했다. 111개 기업과 기관의 CPO들이 개인정보 보호 정책을 나누며 활동하고 있다. 부회장사는 21개다. LG유플러스, 우아한형제들(배달의민족), 카카오, 쿠팡, 삼성서울병원, 국립암센터, SK텔레콤, 한국전력공사, 삼성전자, 기아, 비바리퍼블리카(토스), KB국민은행, 국민건강보험공단, 넷마블, 한국교통안전공단, LG전자, 현대자동차, 삼성화재, 메타코리아(페이스북), KT, 한국인터넷진흥원이다. 이들 부회장사는 분기마다 당국 고위관계자와 만나 주요 정책을 공유한다. 올해에는 한전KPS·한국여성인권진흥원·신한금융지주·전북은행이 새로운 회원으로 발을 들였다. 회장은 염흥열 순천향대 정보보호학과 명예교수가 맡았다. 윤 국장은 한국 규제가 복잡한 만큼 협의회에 가입하면 정보를 얻을 수 있다고 소개했다. 그는 “개인정보처리자 이익을 대변해 개인정보보호위원회와 제도를 개선할 것”이라며 “2023년 개인정보보호법이 개정된 뒤 개인정보보호위원회 설립 허가를 받은 협의회는 한국CPO협의회가 최초이자 유일하다”고 말했다. 협의회는 CPO 전문성을 키우고자 지난 2월과 이달 초 KPPI(KCPO Prime Privacy Insight) 설명회를 열었다. 각각 '개인정보 처리 통합'과 '개인정보 안전성 확보 조치 기준'을 안내했다. 이달 말부터는 브릿지포럼을 열고 네트워크를 강화할 참이다. 오는 30일 '공공기관 개인정보 보호 수준 평가 대응 전략'을 다룬다. '주요 과징금 처분 사례 및 방지 방안'과 '전 분야 마이데이터 제도 시행 대응 전략'도 상반기 논의하기로 했다. 윤 국장은 “협의회 CPO 현황을 조사해 올해 처음 발표하려고 한다”며 “개인정보를 적극적으로 지킨 회원이 9월 30일 개인정보보호의 날을 기념해 유공자 표창을 받을 수 있도록 개인정보보호위원회와 협의할 것”이라는 계획을 전했다. 협의회는 최근 서울여대와 개인정보보호 분야 협약서(MOU)를 썼다. 산학 연계 교육 과정을 개발하고 공동 연구 과제를 수행하기로 했다. 윤 국장은 “서울여대는 국내 대학 가운데 처음 개인정보보호전공을 만들어 2024학년도부터 신입생을 뽑았다”며 “협의회가 인재를 기르는 데에도 한몫하겠다”고 강조했다. 윤 국장은 서울대 소비자학과에서 학·석·박사 학위를 받았다. 이베이와 필립모리스 한국지사에서 CPO를 지냈다. 그는 “소비자 지키는 방법을 생각하다 25년 동안 개인정보 보호하는 일을 했다”며 “소비자와 기업을 잇는 CPO 모임을 만들겠다”고 밝혔다.

2025.04.14 16:10유혜진

[기고] AI 혁신 속 개인정보 보호

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 이제 우리의 일상생활 속에는 인공지능(AI)이 깊숙이 자리잡고 있다. 과학기술정보통신부가 지난 3월 발표한 '2024년 인터넷이용실태조사'에 따르면 응답자의 60.3%가 AI 서비스를 이용한 경험이 있다고 답했다. 이는 2021년 동일한 질문에 대해 32.4%가 AI 서비스를 이용한 경험이 있다고 응답한 것과 비교하면 불과 3년 사이에 거의 두 배 가까이 증가한 수치다. 단편적인 조사 결과지만 AI가 얼마나 빠르게 우리의 삶 속으로 스며들었는지 짐작할 수 있다. AI가 단순한 기술의 범주를 넘어 삶의 필수 요소로 자리 잡게 된 배경에는 방대한 양의 데이터 학습 및 활용이 있다. 이러한 데이터에는 당연히 개인정보가 포함돼 있다. 신기술 분야의 발전은 필연적으로 데이터에 대한 높은 의존도를 수반하기에 변화하는 산업 환경에 맞춰 법과 제도를 정비할 필요가 있다. 또 정보주체의 권리를 보호하면서 개인정보를 안전하고 가치 있게 활용할 수 있는 기반을 마련하는 것이 중요하다. 개인정보보호위원회는 이러한 흐름에 발맞춰 AI 응용서비스에서 발생할 수 있는 개인정보 보호 취약점을 사전에 점검하고자 '사전 실태점검'을 실시하고 있다. 이는 AI 서비스의 개인정보 처리에 있어 투명성과 책임성을 확보하고 정보주체의 권리 보장 및 서비스의 안정적 운영에 기여하기 위한 조치라 할 수 있다. 기업 입장에서는 실태점검의 내용을 검토함으로써 AI에서의 개인정보 활용 및 보호를 위한 준수사항 등을 명확히 확인하고 실천할 수 있다. 일례로, 공개된 데이터를 활용해 AI 모델을 학습시키는 과정에서 주민등록번호나 여타 고유식별정보, 신용카드 번호와 같이 유출 시 피해가 클 수 있는 개인정보가 포함될 수 있다. 이 경우 사전 삭제 또는 비식별화 조치 등을 통해 유출 위험을 방지하는 등 개인정보를 안전하기 관리하기 위한 조치가 수반돼야 한다. 또 이용자 입력 데이터를 처리하는 과정에서 사람이 직접 해당 데이터에 접근하거나 검토를 수행하는 경우에는 이용자가 이를 인지하기 어렵다. 이에 따라 이용자로부터 미리 동의를 받는 것에는 어려움이 있고 이러한 사실을 명확하게 고지하는 것이 바람직하다. 아울러, 이용자가 입력한 데이터를 손쉽게 삭제하거나 처리 중단을 요청할 수 있도록 하는 기능도 함께 제공돼야 한다. 이에 더해 AI 서비스와 관련된 개인정보 처리의 전반에 있어 개인정보처리방침 등을 구체적으로 명시하고 관련 법령에 따른 안전조치의무를 준수해야 한다. 또 개인정보의 적법 처리 근거도 다양화할 필요가 있다. AI 모델 학습 등 연구 개발의 특성을 고려할 때 정보주체의 동의에만 의존하기보다는 개인정보처리자인 AI 서비스 사업자의 정당한 이익 등 다른 법적 근거를 함께 검토하는 것이 적절하다. 이러한 접근은 기술혁신을 위축시키지 않으면서도 정보주체의 자기결정권 등 권리를 보호하고 개인정보를 보다 안전하고 책임 있게 활용할 수 있는 토대가 된다. AI 서비스를 위한 데이터의 처리는 기술 발전의 핵심이자 경쟁력의 원천이지만 그 이면에 존재하는 개인정보 보호 문제를 소홀히 해서는 안 된다. AI에 대한 관심을 바탕으로 기술의 발전과 함께 신뢰할 수 있는 환경을 조성하기 위한 노력이 필요하다.

2025.04.11 16:46법무법인 태평양 이강혜

ISMS-P 인증 뭐기에…의무도 아닌데, 하겠단 금융사

금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으려는 금융사가 해마다 늘고 있다. 의무도 아닌데 스스로 까다로운 심사를 통과하겠다고 나선다. 금융 ISMS-P는 금융권에 맞춘 ISMS-P 인증이다. 전자금융거래법, 신용정보법 등 금융 정보보호 및 개인(신용)정보 보호 관련 법령을 반영한다. 금융권은 다른 산업보다 민감한 개인(신용)정보와 금융 정보를 많이 다루기 때문에 침해 사고나 개인정보 유출 사고가 터지면 충격이 상당하다. 보다 높은 수준의 보안과 규제가 요구되는 이유다. 8일 금융보안원에 따르면 금융 ISMS-P 인증은 2015년 27건으로 시작해 지난해 128건으로 5배 성장했다. 금융보안원이 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 오중효 금융보안원 상무는 지난달 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 말했다. 의무 아니지만 “이만큼 잘해요” 금융회사는 법적으로 ISMS-P 인증 의무가 아닌데도 은행·증권·카드·보험사 뿐만 아니라 핀테크 기업도 자발적으로 인증 받으려는 사례가 늘고 있다고 금융보안원은 전했다. 최지훈 금융보안원 선임심사원은 지난달 설명회에서 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 분석했다. 핀테크∙오픈뱅킹, 마이데이터, 간편결제 등 디지털 금융이 자리잡으며 보안을 강화할 필요가 있어서다. 이런 환경에서 '우리 회사가 이만큼 금융 보안에 신경쓴다'고 소비자에게 증명할 수 있다. 금융회사가 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워진 점도 내부 보안 관리 체계를 높이는 이유로 꼽힌다. 금융권 형님답게 은행이 선도 금융보안원은 은행이 금융권 디지털 전환을 이끌면서 ISMS-P 인증도 선도하고 있다고 평가했다. 주요 시중은행은 인터넷뱅킹 말고도 마이데이터, 금고 시스템, 전자 서명 인증 등 주요 서비스에 맞는 인증서 2~4개를 취득∙유지하는 것으로 알려졌다. 최근에는 다른 업권보다 디지털 전환이 조금 늦은 면이 있는 생명보험사도 인증을 취득하고 있다며 금융투자, 카드∙캐피털사가 인증 받는 사례도 늘어나는 추세라고 금융보안원은 설명했다. 실제로 기자가 지난달 27일 금융투자협회에서 열린 설명회에 갔더니 대부분 금융투자회사 담당자들이 참석한 모양새였다. 수집-이용-파기 단계별 정보 보호 금융보안원은 특히 전자금융감독규정과 신용정보업감독규정 등 금융권에 특화한 심사 항목으로 금융 보안 규제 준수 여부를 심사한다. 금융사가 세운 (개인)정보 보호 정책과 지침, 절차 등을 체계적으로 시행하는지 따진다. 개인(신용)정보를 수집-보유∙이용-제공-파기하는 단계별로 보호 조치를 적절하게 하는지, 수탁사 같은 외부 위탁 관리 실효성은 있는지도 확인한다. 최 심사원은 “지난해 128건 심사하면서 기업당 결함을 평균 9개씩 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 강조했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. '내 정보 잘 지키나' 소비자 선택 기준 금융소비자 입장에서는 (개인)정보 보호 관리 체계를 제대로 갖췄는지 금융사 선택 기준으로 ISMS-P를 삼을 수 있다. 보안 사고를 예방하고, 사고가 나더라도 빠르게 복구하는 금융사를 이용하면 피해가 최소화될 것으로 금융보안원은 기대했다.

2025.04.08 15:09유혜진

틱톡 새 주인, 아동 안전·개인정보 소송 1천500건도 떠안는다

틱톡에 계류 중인 아동 안전 및 개인정보 보호 문제와 관련된 대규모 소송이 매각 협상에 걸림돌이 될 것이라는 관측이 나왔다. 4일 블룸버그통신에 따르면 틱톡은 현재 1천500건에 달하는 소송이 계류 중이다. 이로 인해 수십억 달러 규모의 법적 책임이 발생할 가능성이 있다는 설명이다. 스탠퍼드대학교의 커티스 밀하우프트 법학 교수에 따르면 기업 인수 시 기존 소송은 자동으로 인수 기업에 승계된다. 이에 중국의 모회사 바이트댄스가 틱톡의 미국 사업을 매각할 경우, 해당 소송 역시 인수자에게 이전될 가능성이 높다는 분석이다. 밀하우프트 교수는 “대다수의 소송에서 틱톡과 함께 바이트댄스도 피고로 지목돼 미국 내 인수 기업은 바이트댄스에 소송 해결 비용을 부담하도록 요구하거나 해당 법적 리스크를 고려해 매각 가격을 조정하려 할 것”이라며 “잠재적 인수자들은 이 문제를 충분히 인지하고 있으며, 법적 책임을 어떻게 처리할지 고민하고 있을 것”이라고 말했다. 현재 틱톡이 가진 가장 큰 법적 리스크는 미국 법무부가 바이든 행정부 시절 제기한 개인정보 보호 소송이라고 외신은 전했다. 앞서 지난해 8월 법무부는 13세 미만 아동들이 부모 동의 없이 계정을 생성하도록 방치했다는 혐의로 틱톡을 고소했다. 다만 블룸버그는 “트럼프 행정부가 바이든 정부 시절에 제기된 소송을 계속 진행할지는 불확실하다”며 “정부가 소송을 중단하지 않는다면 틱톡의 새로운 인수자는 거액의 법적 부담을 떠안을 것”이라고 보도했다.

2025.04.04 09:15김민아

국민 70% "AI확산으로 개인정보 침해 우려"

우리 국민 10명 중 7명은 인공지능(AI) 확산에 따른 개인정보 침해를 우려하는 것으로 나타냈다. 또 10명 중 9명은 개인정보 보호가 중요하다고 인식하고 있다. 개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 개인정보처리자의 개인정보 보호·활용 실태, 정보주체의 개인정보보호 인식 등을 담은 '2024년 개인정보보호 및 활용조사'결과를 31일 발표했다. 이번 조사는 공공기관, 민간기업, 국민을 대상으로 매년 실시하는 국가승인통계(통계법 제18조에 의해 통계청장에게 작성 승인을 받아 통계법에 따라 작성·공표·관리하는 공식 통계)다. 개인정보 정책 효과분석 및 제도개선을 위한 기초자료로 활용하고 있다. 올해는 인공지능 확산에 따른 개인정보 위험 인식 등 신규항목을 추가해 인공지능 시대 개인정보 보호 대응 필요성을 점검했다. 2024년 개인정보보호 및 활용조사 결과의 주요내용은 다음과 같다. ■ ① 정보주체 조사결과 정보주체 부문 조사 결과, 성인 92.7%, 청소년 95.0%가 개인정보 보호가 중요하다고 보고 있는 것으로 나타났다. 전년(성인 94.3%, 청소년 91.7%)과 비슷한 결과다. 인공지능이 유발할 수 있는 개인정보 위험의 심각성에 대해서는 성인 76.1%, 청소년 76.2%가 '심각하다'고 응답했다. 또 인공지능 서비스의 개인정보 처리 현황 공개 중요성 역시 성인 72.1%, 청소년 71.1%가 높게 인식하고 있는 것으로 나타났다. 서비스 이용을 위해 정보주체가 개인정보를 제공할 경우 관련 동의 내용을 확인한다는 비율은 성인 55.4%, 청소년 37.4%로 나타나, 청소년의 동의 내용 확인 비율이 상대적으로 낮은 경향을 보였다. 동의 내용을 확인하지 않는 주된 이유는 성인 32.5%, 청소년 34.8%가'내용이 많고 이해하기 어려워서'를 꼽았다. 정보주체가 동의 내용을 쉽게 이해할 수 있도록 정보전달 방식의 개선이 필요한 것으로 분석됐다. ■ ② 개인정보 처리자 조사 결과 개인정보처리자 부문 조사 결과, 공공기관의 개인정보 보호조치 이행률은 99.5%, 민간기업은 59.9%이었다. 다만, 종사자 300인 이상 규모의 민간기업은 90.8%가 안전한 개인정보 관리를 위한 조치를 이행하고 있었다. 개인정보 보호를 위해 공공기관은 주로 '내부관리계획 수립·시행'(97.7%),'접근권한 관리'(81.9%),'접근통제'(76.8%) 등의 안전조치를 이행했다. 민간기업은 주로 '악성프로그램 방지대책'(36.7%), '내부관리계획 수립·시행'(25.7%)의 안전조치를 이행하는 것으로 나타났다. 또 개인정보 보호책임자 및 보호담당자·취급자·일반 직원에 대한 교육 시행률도 공공은 90% 이상인 데 비해, 민간은 10% 미만으로 큰 격차를 보였다. 다만, 종사자 300인 이상 규모의 민간기업에서는 개인정보 보호책임자와 보호담당자 대상 교육을 약 60% 시행하였다. 마지막으로 개인정보보호를 위해 필요한 정부 정책으로는 공공기관(65.7%), 민간기업(25.2%) 모두 '개인정보 보호와 관련한 기술개발 및 보급 촉진'을 우선과제로 꼽았다. 고은영 개인정보위 기획조정관은 “인공지능 시대의 개인정보 보호 중요성을 보여준 이번 조사 결과를 바탕으로, 법령·제도개선과 기술지원, 점검 강화를 체계적으로 추진해 개인정보 신뢰사회 구현을 위한 정책을 지속해 나가겠다"고 밝혔다. 이번 조사의 세부 내용은 개인정보위 공식 누리집(pipc.go.kr)과 개인정보 포털 서비스(privacy.go.kr)에서 확인할 수 있다.

2025.03.31 12:00방은주

레몬베이스, 정보보호 관리체계 인증 획득

성과관리 솔루션 기업 레몬베이스는 고객의 개인정보 보호를 위한 보안체계의 안정적인 운영을 인정받아 정보보호 관리체계(ISMS) 인증을 획득했다고 31일 밝혔다. ISMS 인증은 과학기술정보통신부와 개인정보보호위원회의 공동 고시에 따라 한국인터넷진흥원(KISA)이 인증하는 국내 정보보호 인증 제도다. 기업이 수립한 정보보호 관리 절차와 대책을 종합적으로 평가해 인증을 부여한다. ISMS 인증을 취득하기 위해서는 관리체계 수립 및 운영(16개)과 보호대책 요구사항(64개) 등 총 80개 항목에 대한 적합성 평가를 모두 통과해야 한다. 레몬베이스는 고객의 정보보호를 최우선순위에 두고 국내 정보통신망법 및 개인정보보호법을 철저히 준수하며 관리 절차와 정책을 체계적으로 운영하고 있다. 이를 위해 ▲ISMS 운영을 위한 정보보호 정책 및 목표 수립 ▲경영진의 적극적인 지원과 정보보호 전담 조직 구성 ▲정보자산에 대한 취약점 진단 및 위험 평가 ▲기술적·관리적·물리적 보호 대책 적용 ▲내부 보안 감사 및 지속적인 모니터링 등을 시행한다. 레몬베이스는 앞서 2021년 정보보호 국제표준인증인 ISO 27001·27701를 취득해 유지하고 있다. 이번에 국내 정보보호 인증인 ISMS 인증을 취득하면서 국내외 인증을 모두 획득했다. 레몬베이스 관계자는 "앞으로도 고객이 개인정보 침해 걱정없이 안심하고 솔루션을 이용할 수 있도록 관련 법을 준수하며 관리체계 운영에 만전을 기하겠다"고 말했다.

2025.03.31 08:36백봉삼

메타 등 해외사업자 12곳 "한국 개인정보 글로벌보다 더 상세"

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 구글, 트립닷컴, 스타벅스 등 국내에서 서비스를 제공하는 해외사업자 12개 기업의 개인정보 보호책임자(CPO)들과 28일 오전 정부서울청사에서 간담회를 개최했다. 간담회 참석기업은 구글, 마이크로소프트, 메타, 샤오미, 스카이스캐너, 스타벅스, 알리익스프레스, 애플, 테무, 테슬라, 화웨이, BYD 등이다. 앞서 개인정보위는 '개인정보 처리방침 평가제'를 도입하고 지난 3월 17일 첫 평가 결과를 발표한 바 있다. 그 결과, 상당수의 해외사업자들은 개인정보 공유와 협력 등 국내법‧정책에 나와 있지 않은 다른 표현을 사용하거나, 번역투 문장 사용 등으로 인해 가독성, 접근성, 적정성 모든 분야에서 국내 기업 대비 낮은 평가를 받았다. 즉, 국내사업자는 가독성 74.8점, 접근성 67.5점, 적정성 58.9점인데 반해 해외사업자는 가독성 51.3점, 접근성 40.3점, 적정성 36.4점을 각각 받았다. 3개 분야 모두 국내 기업이 점수가 월등히 좋았다. 이번 간담회는 2024년 평가 결과에 대한 후속조치로, 해외사업자들이 개인정보 처리방침(이하 '처리방침')을 작성하는 과정에서 국내법·정책 중 반영하기 어려운 부분이 무엇인지 직접 청취하고, 해외사업자의 처리방침 작성 수준 향상 방안을 함께 모색하기 위해 마련했다. 이 자리에서 개인정보위는, 2024년 처리방침 평가 결과 및 시사점을 공유하고, 지난 3월 국회 본회의를 통과한 해외사업자의 국내대리인 제도를 강화하는 개인정보 보호법 개정안의 주요 내용을 소개했다. 앞으로 해외사업자가 국내에 법인을 둔 경우 ➀해당 국내 법인을 국내대리인으로 지정해야 하고 ➁해외 본사에서 국내대리인을 관리‧감독해야 하며 ➂위반시 제재 규정을 신설했다. 참석한 다수의 해외사업자들은 한국의 개인정보 보호법·제도가 글로벌 기준보다 세부적인 규정을 요구하고 있어 처리방침의 적정성, 가독성, 접근성 요건을 충족하는 데 어려움을 겪고 있다는 의견을 제시했다. 특히, 가독성, 접근성과 관련해 구체적인 우수사례를 제시해 줄 것을 건의했다. 평가와 관련해서는 기업들이 우수한 평가를 받을 수 있게 중점 검토사항 및 세부 평가기준을 사전에 공개하고, 미흡한 평가를 받은 기업은 자율적으로 개선할 수 있도록 구체적 피드백을 요청했다. 이에 개인정보위는 해외사업자들의 의견을 적극 반영해 처리방침의 실효성을 높이는 방안을 검토하고, 관련 지침을 보완할 계획임을 밝혔다. 특히, 기업들이 보다 명확한 기준을 이해하고 처리방침에 적용할 수 있도록 오는 4월 '개인정보 처리방침 작성지침 개정본'을 발간하고, 설명회도 개최할 예정이다. 개인정보위는 앞으로도 국내·외 기업과 협력을 확대해 개인정보 보호 수준을 높이고, 정보주체의 권리를 더욱 강화할 수 있는 정책을 마련해 나갈 방침이다.

2025.03.30 12:00방은주

"금융 ISMS-P 인증 받으면 정보보호 평가 유리"

“금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으면 정보보호 상시 평가 75개 항목이 면제됩니다. 환경·사회·지배구조(ESG) 친화 경영 항목에도 ISMS-P가 포함돼 공공기관 사업에 입찰하면 가산점을 받습니다. 무엇보다 개인정보를 지킨다는 사실이 가장 중요하지만요.” 최지훈 금융보안원 선임심사원은 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 이같이 밝혔다. 금융보안원은 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 최 심사원은 “지난해 128건 심사하면서 결함을 평균 9건 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 말했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. 최 심사원은 달라지는 제도를 안내했다. 그는 “과학기술정보통신부가 인증서 유효 기간을 3년에서 5년으로 늘릴지 검토하고 있다”며 “법령이 개정돼 금융회사는 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워졌다”고 전했다. 인증 심사 기간은 대체로 6개월 걸린다. 오중효 금융보안원 상무는 “2015년 ISMS-P 인증을 27건으로 시작해 지난해 5배로 성장했다”며 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 기대했다. 최 심사원은 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 평가했다.

2025.03.28 10:50유혜진

AI기업들 "서비스 개발시 발생 법적 불확실성 해소를"

"고객사가 보유한 이용자 데이터를 AI 개발에 활용하는 경우 발생하는 법적 불확실성 문제가 있습니다. 적법한 이용자 데이터 활용을 위한 명확한 법적 기준 안내와 익명‧가명 데이터 처리를 위한 구체적 방법론, 비식별데이터에 대한 재식별 평가기준 마련 등이 필요합니다." 고학수 개인정보보호위원회(개인정보위) 위원장이 AI기업들의 현장 애로 사항을 듣기 위해 24일 마련한 스타트업과의 간담회에서 이 같은 요청이 제기됐다. 행사는 서울 강남구 소재 스타트업얼라이언스 엔스페이스(&Space)에서 열렸다. 개인정보위는 딥시크(Deepseek) 등장으로 사회적 관심이 높아진 오픈소스 AI 생태계가 국내 AI 스타트업 경쟁력에 미치는 함의와 파급력을 짚어보고, 국내 AI 산업 발전을 위한 정부 차원의 지원을 약속하기 위해 이번 행사를 마련했다. 오픈소스는 프로그램 개발 시 필요한 소스코드나 설계도를 누구나 확인할 수 있게 공개한 것이다. 비용 부담을 줄여 고성능 AI 모델에 누구나 접근할 수 있게 한 것으로, 과학 기술 발전과 응용 서비스 창출에 큰 기여를 할 수 있다. 특히, 오픈소스는 대규모 AI 인프라는 부족하나 보건의료, 금융 등에 양질의 데이터가 축적돼 있고, 우수한 AI 인력을 보유한 우리나라에 기회를 마련해줄 수 있다. 하지만 추가학습, 검색증강생성(RAG, Retrieval-Augmented Generation) 등을 거쳐 상용화하는 과정에서 개인정보 문제가 발새할 수 있어 주의가 요청된다. 개인정보위가 간담회에 앞서 진행한 간이 설문조사에 따르면, 설문에 참여한 10개 기업 중 6개 기업에서 오픈소스 모델에 기반한 응용 서비스를 출시한 바 있고, 오픈소스 모델을 자체 보유한 이용자 데이터 등으로 추가학습하거나, 검색증강생성(RAG)을 통해 보강하여 성능 개선에 활용한다고 답했다. 이번 간담회에 참석한 국내 AI 스타트업 관계자들은 오픈소스 모델을 적극적으로 연구‧활용한 주요 성과와 사례 등을 공유했다. 하주영 스캐터랩 변호사는 오픈소스 모델과 제반 기술을 적극적으로 연구해 장점을 흡수하기 위한 노력을 설명하고, 구글 젬마, 딥시크 등 글로벌 오픈소스 모델이 국내 AI 생태계에 미치는 파급력에 대해 발표했다. 이어 임정환 모레 AI 사업 총괄은 한국어 답변 성능 강화에 초점을 맞춰 서비스 중인 자사의 언어모델을 소개하면서 서비스 개발·운영 과정에서 느낀 경험을 토대로 오픈소스 장점과 이로 인해 발생할 수 있는 프라이버시 위협 등에 대해 발표했다. 또 재원 엘리스그룹 CISO(정보보호 최고책임자)는 클라우드 서비스 보안인증(CSAP IaaS)을 획득한 자사 제품을 소개하면서, AI 클라우드 인프라 제공 과정에서 오픈소스 모델을 활용한 사례를 소개했다. 발표 이후 진행한 자유 토론에서는 간담회에 참석한 기업들이 생성형 AI 개발‧도입 과정에서 경험한 데이터 및 개인정보 관련 다양한 애로‧건의 사항을 제시했다. 다수 기업은 자사 또는 고객사가 보유한 이용자 데이터를 AI 개발에 활용하는 경우 발생하는 법적 불확실성 문제에 애로가 있다고 밝혔다. 이 자리에서 개인정보위는 AI 신산업 발전을 지원하고 현장 불확실성 해소를 위해 '원칙 기반 규율' 하에서 구체적 데이터 처리 기준(▲비정형데이터('24.2.) ▲웹 크롤링 데이터('24.7.) ▲자율주행기기 촬영정보('24.10.) 처리 기준 ▲합성데이터 유용성‧안전성 평가기준('24.12.) ▲AI 프라이버시 리스크 관리모델, '24.12.)을 제시한 사례 등을 소개했다. 이어 데이터 활용 장벽 해소를 위해 최근 제3차 국가인공지능위원회('25.2.20.)를 통해 발표한 'AI 데이터 확충 및 개방 확대방안'(개인정보위 누리집(https://www.pipc.go.kr)에서 발표자료(PPT) 등 범정부 종합 대책 내려받기 가능)의 주요 내용도 설명했다. 개인정보위는 이번 간담회 논의 결과를 바탕으로 국내 AI 확산 추세에 맞춰 중소‧스타트업 등에게 실질적인 도움이 될 수 있는 개인정보 관점에서의 맞춤형 '생성형 AI 도입‧활용 안내서'를 마련할 계획이다. 고학수 개인정보위 위원장은 "우리나라의 경쟁력 있는 AI 혁신 생태계 발전을 위해서는 오픈소스 이점을 최대한 활용할 필요가 있다"면서 "국내 기관‧기업에서 오픈소스 AI를 도입‧활용하는 과정에서 AI‧데이터 처리와 관련한 리스크 요인을 최소화할 수 있게 중소‧스타트업 업계와 긴밀히 협력해 나가겠다"고 밝혔다. 이어 오픈소스 생태계는 과거부터 꾸준히 발전되어 왔지만, 최근 딥시크의 등장으로 더욱 주목받고 있다면서 "오픈소스는 비용 부담을 줄이면서도 고성능 AI 모델에 누구나 접근할 수 있도록 해 과학 기술 발전과 응용 서비스 창출에도 큰 기여를 하는 혁신의 중요한 동력이 될 수 있다"고 짚으며 "최근 개인정보위는 딥시크 측과 소통하면서 개인정보 불안요소를 최소화하기 위해 협력하고 있으며, 앞으로도 이러한 개인정보 관련 불안요소를 해소하기 위해 적극적인 역할을 지속하겠다"고 약속했다. 특히 라마(LLaMa), 딥시크(Deepseek) V3 등 오픈소스 모델이 이미 국내 AI 산업에 깊숙이 녹아들었고, 국내 AI 도입 및 활용 측면에서도 개념증명(PoC)의 초기 단계를 넘어, 리걸테크, 챗봇 등 다양한 산업 분야에서 본격화될 전망이라면서 "오픈소스 이점이 한국 시장에서 충분히 발휘되고, 혁신적인 서비스 창출로도 이어질 수 있도록 지원하겠다"고 강조했다. 이어 기업·기관에 축적한 이용자 정보를 AI 서비스 개발과 개선에 활용할 수 있게 데이터 처리 기준과 요건을 더욱 명확하게 구체화해 나가겠다고 덧붙였다.

2025.03.25 07:00방은주

[AI는 지금] "개보위, 中 AI 옹호"…딥시크에 긍정 신호 보낸 고학수 위원장, 이유는?

중국 딥시크의 국내 진출 여부를 둘러싼 논란이 이어지는 가운데 개인정보보호위원회가 오픈소스 기반 인공지능(AI) 모델 활용에 긍정적인 입장을 밝혔다. 중국 기업의 앱 자체를 옹호한 것이 아니라 딥시크 등의 오픈소스 생태계 확장이라는 기술 전략에 지지를 표한 것으로 보인다. 24일 업계에 따르면 고학수 개인정보보호위원회 위원장은 최근 한 세미나에서 딥시크 오픈소스 모델의 활용 가능성을 언급하며 '글로벌 빅테크가 아닌 기업도 도전할 수 있는 기회'라고 표현했다. 해당 발언은 지난달 국내 앱스토어에서 자진 철수한 딥시크 앱과는 별개로 발전하고 있는 오픈소스 기술 흐름을 짚은 것으로 평가된다. 딥시크는 중국발 오픈소스 거대언어모델(LLM) 스타트업으로, 지난 1월 이후 전 세계 AI 생태계를 신속히 장악했다. 오픈AI, 앤트로픽, 구글 딥마인드 등 미국·영국 프런티어 AI 기업들이 천문학적 자금을 투입한 것과 달리 적은 비용으로 고성능 모델을 구현한 데다 오픈소스로 공개돼 폭발적인 관심을 받았다. 퍼플렉시티 등 해외 LLM 서비스 기업들은 이미 딥시크를 로컬 환경에 설치해 운영 중이다. 최근에는 국내 기업들도 이를 기반으로 특화 모델 개발에 나서고 있다. 뤼튼테크놀로지스와 이스트소프트는 지난 2월 딥시크 모델을 자체 클라우드 환경에 구축해 운영을 시작했다. 크라우드웍스는 일본 법인을 통해 딥시크 R1 기반 일본어 모델을 개발한 뒤 이를 한국어로 확장할 계획이다. 일각에선 크라우드웍스가 딥시크 본사와 직접 계약을 맺고 한국어 모델을 공동 개발했다고 주장했지만 이는 사실이 아닌 것으로 확인됐다. 크라우드웍스 측이 지난 23일 딥시크 본사와 계약한 적이 없으며 회사가 활용 중인 모델은 앱이 아닌 설치형 B2B 버전이라고 해명했기 때문이다. 데이터가 중국 서버로 전송되는 B2C 앱과는 구조적으로 다르다는 설명이다. 실제로 퍼플렉시티, 뤼튼, 이스트소프트 등의 국내 설치형 모델은 외부 인터넷과 연결되지 않는 제한된 환경에서 구동된다. 이에 따라 중국 서버로 정보가 전송될 가능성은 원천적으로 차단된다. 다만 보안업계에서는 딥시크처럼 오픈소스로 제공되는 모델이라도 로컬 환경에 도입할 경우 여전히 위험 요소가 존재한다고 지적한다. 오픈소스 특성상 코드나 가중치 파일에 악성 코드가 삽입될 수 있으며 모델 로딩 과정에서 시스템 취약점을 노린 침투 가능성도 배제할 수 없기 때문이다. 또 일부 개발자가 모델에 내장된 안전 장치를 우회하거나 변형 모델을 제작할 경우 유해한 콘텐츠나 악성 코드를 생성하는 방식으로 악용될 수 있다. 특히 딥시크는 경쟁 모델에 비해 보안 업데이트나 코드 감사가 부족하다는 평가도 있어 도입 시 철저한 검증과 보안 관리가 필요하다는 지적이 잇따른다. 실제로 김승주 고려대학교 정보보호대학원 교수는 최근 자신의 링크드인을 통해 "딥시크를 PC나 클라우드에 설치해서 쓰면 운영주체가 중국이 아니기 때문에 안전하다는 말이 돈다"며 "이는 굉장히 위험한 생각"이라고 지적했다. 그럼에도 고 위원장이 딥시크를 위시한 오픈소스 LLM에 주목한 이유는 분명하다. 자본과 인프라가 부족한 국내 AI 생태계가 낮은 진입 장벽을 바탕으로 글로벌 경쟁에 도전할 수 있다는 점 때문이다. 업계에선 이 같은 메시지를 한국 정부가 추진 중인 '월드 베스트 LLM' 프로젝트와 맞물려 해석하는 분위기다. 정부는 국가 차원의 대규모 언어모델 개발을 위해 파운데이션 모델을 오픈소스로 공개하고 공공 중심의 활용 사례를 확산하겠다는 계획을 밝힌 바 있다. 이 프로젝트는 지난 2월 과학기술정보통신부가 발표한 'AI R&D 전략 고도화 방안'에 핵심 과제로 포함됐다. 정부는 향후 3개월 이내 'AI 국가대표팀'을 선발해 연구 자원과 데이터를 집중 지원하고 공공 데이터를 기반으로 한 특화 모델 개발을 유도할 방침이다. 업계에선 딥시크 사례가 이 같은 흐름을 촉발하는 계기가 됐다는 평가도 나온다. 고성능 언어모델을 오픈소스를 통해 낮은 비용으로 구현할 수 있다는 점이 확인되면서 '챗GPT'나 '클로드' 등 프런티어 AI를 빠르게 따라잡을 수 있다는 기대가 생겼다는 분석으로, 보안만 보장된다면 무료로 실사용도 가능하다는 인식이 퍼진 것이 정책 전환에 영향을 미쳤다는 해석도 제기된다. 고학수 개인정보보호위원회 위원장은 "딥시크 등의 모델에는 분명 잠재적인 불안 요소가 있지만 빅테크가 아니어도 적은 투자를 통해 세계 시장에 도전할 수 있다는 메시지를 줬다"며 "이러한 오픈소스를 통해 국내에서도 다양한 앱 서비스를 만들 수 있을 것"이라고 말했다. 이어 "향후에 보다 넓은 생태계를 구축해야 한다고 믿는다"며 "자유로운 혁신의 한 축은 열린 모델을 통해 새로운 응용 생태계를 형성하는 것이라 생각한다"고 말했다.

2025.03.24 16:16조이환

  Prev 1 2 3 4 5 6 7 8 9 10 Next  

지금 뜨는 기사

이시각 헤드라인

'골든타임' 앞둔 원화 스테이블코인..."이대로는 뒤처진다"

정기선 HD현대 수석부회장, 인도 콕 집은 이유

내연차→전기차 전환 지원금 주나…환경부 장관 후보자 "검토 중"

[현장] 갤럭시 언팩 전야…뉴욕 타임스스퀘어 채웠다

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.