검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'데이터 보호'통합검색 결과 입니다. (24건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[기고] 원본 데이터 AI 활용 특례, 신기술 혁신 속도와 수요 반영해야

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 개인정보보호위원회와 과학기술정보통신부는 지난해 4개 사업자들을 대상으로 자율주행 인공지능(AI) 시스템 고도화를 위한 영상정보 원본을 활용하는 실증특례를 지정했다. 조금 풀어서 설명하자면 자율주행 AI 학습에는 보행자의 얼굴, 위치, 차량번호 또는 개인정보가 포함된 주행영상 등 영상정보가 필요하다. 현행 개인정보 보호법상 AI 학습에 주행영상 등 영상정보를 활용하려면 정보주체의 동의를 받거나 해당 정보를 가명처리해야 한다. 당연히도 전자는 불가능하고 후자의 경우 보행자 인식률이 저하되는 등 정보의 가치가 떨어지게 된다. 이러한 상황을 타개할 수 있는 것이 규제샌드박스 실증특례 제도다. 이 제도는 사업자가 신기술을 활용한 새로운 서비스를 일정 조건 하에 시장에 우선 출시해서 시험, 검증하게끔 현행 규제 일부를 적용하지 않도록 허용해 준다. 사업자들은 이 실증특례 지정을 신청해서 허용받음으로써 강화된 안전조치 기준을 마련하고 개인정보보호위원회의 주기적 점검을 받도록 하는 등을 조건으로 가명처리하지 않은 영상데이터의 원본을 AI 학습에 활용할 수 있게 됐다. 매우 의미 있는 제도임에도 사업자들이 실증특례 제도를 적극적으로 이용하지 못하는 결정적인 이유가 있다. 규제에서 자유로워지는 것이 아니라 최대 4년의 기간 동안만 규제 적용을 유예 받을 뿐이기 때문이다. 유예 기간 내에 법령이 정비돼 관련 규제가 개선되지 않으면 해당 서비스는 다시 '임시허가'를 통해 시장에 출시해야 한다. 심지어는 유예 기간 중 처리해 왔던 방식에 따라 데이터를 처리하는 경우 법 위반으로 출시를 못하게 될 수도 있다. 개인정보보호위원회는 새해 주요 업무 추진계획 6대 핵심 추진과제 중 하나로 AI 시대에 부합하는 개인정보 법제를 정비하겠다고 공표한 바 있다. 그러면서 자율주행 AI 개발 등 가명처리만으로 연구 목적 달성이 곤란한 경우 원본 데이터 활용을 개인정보 심의, 의결 하에 허용하는 특례를 마련하겠다고 발표했다. 이는 현행 규제샌드박스 실증특례는 최대 4년 동안만 규제 적용을 유예해 준다는 한계를 극복하기 위한 조치로, 개인정보 보호법에 특례 규정을 신설해 AI 개발을 위한 원본 데이터 활용을 허용할 방침이다. 더불어 개인정보보호위원회의 심의·의결과 사후 점검 등의 조건을 둬 개인정보 보호도 함께 도모할 계획이다. AI 기반 기술과 시스템이 더욱 빠른 속도로 고도화돼 가고 있는 현 상황에서 AI 학습 목적의 원본 데이터 활용을 금지할 수 없다는 위원회의 결단으로 풀이돼 공감이 간다. 다만 추진계획에 따르면 이러한 내용이 담길 개인정보 보호법 개정안은 AI 개발 사업자의 '정당한 이익'이나 '공익' 등을 고려하도록 하고 있어 오히려 원본 데이터 활용이 예상외로 제약될 가능성이 있어 보인다. 추후 구체적인 개정안을 구체적으로 살펴봐야 하겠으나 신기술의 개발이 아닌 사회적 편익이나 공익을 고려해 특례를 허용할 경우 제도의 취지에도 불구하고 상당수의 AI 개발 사업은 이 특례 제도를 활용하기 어려워질 것이다. 위원회가 심결이나 사후 현장점검 등을 어떻게 운영할지도 특례 제도 활용에 있어서 매우 중요한 요소가 될 것으로 보인다. 우선 위원회가 업무 추진계획에서 밝힌 바와 같이 합리적이고 유연한 법 해석을 통해 신기술 변화와 현행 법 체계 간 간극을 완화하기 위해서는 위원회의 심결이 신속하게 이루어져야 할 것이다. 기존 규제샌드박스 실증특례는 유사 사례가 있는 경우 패스트트랙 제도를 통해 승인 기간을 평균 4~5개월에서 2개월로 단축해 운영하고 있는 상황이다. 심결 이후에도 위원회의 관리, 감독을 통해서도 사후 통제가 가능한 점을 감안할 때 심결은 가급적 간이하고 신속하게 이뤄질 필요가 있다. 위원회의 사후 관리, 감독도 지나치게 포괄적인 범위의 점검이나 자료제출 요구 등이 이뤄지지 않는지 검토가 필요하다. 심결이 간이하게 이뤄진다면 사후통제 기능이 어느 정도 작동해야 하겠으나 AI 개발 사업자 입장에서 사업 운영에 지장이 갈 정도로 관리, 감독 등이 이뤄진다면 사업자로서는 특례 제도를 고려할 실익이 없게 된다. 이 부분은 AI기본법의 제정 과정에서도 유사한 논란이 제기된 바 있다. 원본 데이터를 가명처리 없이 쓰도록 허용해 주는 특례 제도를 도입하더라도 어느 정도의 제한이 부여되어야 한다는 점은 충분히 공감한다. 다만 신기술 및 신산업 혁신 촉진을 도모하기 위해 도입되는 제도인 만큼 AI 개발 사업자들이 특례 제도를 활용할 '엄두'는 낼 수 있어야 한다. 사업자들의 애로와 현실을 충분히 반영한 합리적이고 유연한 법제도의 도입을 기대해 본다.

2025.02.03 10:17법무법인 태평양 상지영

카카오페이·애플, 동의 없이 4천만명 개인정보 해외로…과징금 '84억' 철퇴

정부가 카카오페이와 애플의 국외 이전 규정 위반 건에 과징금을 부과했다. 카카오페이는 전체 이용자 약 4천만 명의 개인정보를 이용자 동의 없이 애플에 제공했고, 애플 역시 알리페이를 통해 해당 정보를 처리하면서 이용자들에게 이를 알리지 않은 사실이 드러났기 때문이다. 개인정보보호위원회는 지난 22일 서울정부청사에서 제2회 전체회의를 열고 개인정보보호법상 국외 이전 규정을 위반한 카카오페이에 과징금 59억6천800만원, 애플에 과징금 24억500만원과 과태료 220만원을 부과하기로 결정했다고 23일 밝혔다. 개인정보위는 카카오페이가 전체 이용자 약 4천만 명의 개인정보를 이용자 본인 동의 없이 애플의 서비스 이용자 평가 목적으로 제공했다고 발표했다. 애플은 제3국 수탁자인 알리페이를 통해 개인정보를 국외로 이전·처리한 사실을 이용자에게 알리지 않은 것으로 드러났다. 그동안 카카오페이는 사용자가 애플에서 서비스를 구입할 때 결제 데이터를 알리페이에 전송했다. 애플은 알리페이가 받은 정보를 가지고 이용자의 NSF 점수(Non Sufficient Funds Score)를 산출하거나 결제를 진행했다. 이에 결제 정보는 카카오페이, 알리페이, 애플 순으로 전달된 것이다. 이 과정에서 이용자 동의 없이 개인정보가 국외 이전됐으며 이를 이용자가 인지하지 못한 사실이 밝혀졌다. NSF 점수는 애플 서비스 내 여러 소액결제를 한 건으로 묶어 일괄 청구할 때 자금부족 가능성을 판단하기 위한 고객별 점수다. 쉽게 말해 결제 금액이 부족할 가능성이 얼마나 높은지 알려주는 점수다. 애플은 이 정보로 사용자가 결제를 못 할 가능성이 있다고 판단되면 결제를 막거나 다른 조처를 취했다. 카카오페이, 4천만 명 개인정보 동의없이 국외 이전 카카오페이는 애플 내 결제시스템 통합 서비스를 제공하는 알리페이 중계를 통해 결제정보를 애플에 전송해 왔다. 애플은 NSF 점수 산출을 포함한 결제 처리에 있는 개인정보 처리 업무를 알리페이에 위탁했다. 카카오페이는 애플 수탁사인 알리페이가 NSF 점수 산출 모델 구축을 할 수 있도록 전체 카카오페이 이용자 개인정보를 2018년 4~7월간 총 3회에 걸쳐 동의 없이 알리페이에 전송한 것으로 드러났다. 구체적으로 2019년 6월 27일부터 20924년 5월 21일까지 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 카카오페이 전체 이용자 4천만 명 개인정보를 동의 없이 알리페이에 보냈다. 카카오페이는 애플 이용자뿐 아니라 애플 미이용자까지 포함한 전체 이용자 정보를 알리페이에게 전송했다. 카카오페이 전체 이용자 중 애플이 카카오페이를 결제 수단으로 등록한 이용자는 20% 미만에 불과하다. 개인정보위 전승재 조사3팀장은 이날 브리핑에서 "카카오페이가 애플의 NSF 모델 구축과 점수 산출을 위해 전체 이용자의 개인정보를 동의 없이 애플에 제공했다"며 "개인정보위는 해당 행위를 적법 처리 근거 없는 국외 이전으로 판단했다"고 설명했다. 이에 개인정보위는 카카오페이에 과징금 59억6천800만원을 부과하고 국외 이전 적법 요건을 갖추도록 시정명령했다. 또 홈페이지에 관련 사실 공표도 명령했다. 애플, 개인정보 국외 이전 사실 미공표 애플은 알리페이를 통해 NSF 점수를 계산하고 있다는 사실을 이용자들에게 알리지 않은 것으로 밝혀졌다. 이 과정에서 개인정보가 국외로 이전되고 있다는 사실도 공표하지 않았다. 알리페이는 매일 카카오페이로부터 전체 이용자 정보를 자동 전송받아 이용자별 NSF 점수를 산출했다. 이를 통해 이용자의 NSF 점수를 애플에 전송했다. 애플은 이 과정에서 개인정보를 국외로 처리·위탁하면서 국외 수탁자 등을 개인정보처리방침 등을 통해 정보 주체에게 공개하거나 고지 않은 것으로 밝혀졌다. 이에 개인정보위는 애플에게 과징금 24억500만원을, 위탁 사실을 밝히지 않은 행위에 대해 과태료 220만원을 부과했다. 개인정보 처리 수탁자 알리페이에 대한 국외 이전 사실을 개인정보처리방침 등에 공개하도록 시정명령했다. 또 애플 홈페이지에 관련 사실을 공표하도록 명령했다. 개인정보위는 알리페이에 NSF 점수 산출 모델을 파기하도록 시정명령했다. 전승재 팀장은 "알리페이가 구축한 카카오페이 이용자의 NSF 점수 산출 모델은 위법하게 제공·국외 이전된 개인정보를 활용해 구축된 것"이라며 "개인정보 침해 상태를 근본적으로 해소하기 위함"이라고 설명했다. 전 팀장은 "최근 글로벌 플랫폼 서비스 확대로 개인정보 국외 이전이 늘어난 상황에서 개인정보 국외 이전 범위를 명확히 하고 사업자가 국외 이전 적법 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있는 조치"라고 말했다. 이어 "사업자는 개인정보 국외 이전에 수반되는 서비스 제공 시 정보 주체의 동의를 별도로 받거나 국외 수탁자에게 개인정보 처리를 위탁할 경우 개인정보처리방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 알려야 한다"고 강조했다. 또 그는 "개인정보 처리를 위부에 위탁할 경우 위탁자가 정보 주체에 대한 책임을 부과해야 한다"며 "위탁자 책임 영역을 떠나 제3자 책임 영역으로 개인정보를 이전하는 것은 제3자 제공에 해당하므로 정보 주체 동의 등 적법 근거를 구비해야 한다"고 덧붙였다.

2025.01.23 12:00김미정

정부, 국민 개인정보 결정권 강화…IP 카메라 설계 문턱 높여

정부가 개인정보 결정권을 강화하는 등 국민이 체감할 수 있는 정보보호 확산을 본격화한다. 개인정보보호위원회는 '안전한 개인정보, 신뢰받는 인공지능(AI) 시대'를 주제로 한 2025년 주요업무 추진계획을 통해 이같이 15일 발표했다. 개인정보위는 올 3월부터 마이데이터 선도서비스 5종을 단계적으로 출시한다. 마이데이터 시행으로 국민이 자신의 정보를 주체적으로 활용해 원하는 서비스에 활용하도록 지원할 방침이다. 이에 해당하는 서비스 분야는 크게 의료, 통신, 자율 분야다. 의료는 ▲맞춤형 만성질환 예방관리 ▲해외 체류 국민 국내 의료 기록 연동 ▲복약 관리·약물 처방 지원이다. 통신에는 최적 통신요금 추천 서비스가 출시된다. 자율 분야는 여행지·여행경비 최적 설계 제안 서비스다. 정부는 공공·금융 등 선행부문과 의료·통신 등 신규부문 간 데이터 융합 지원을 통한 시너지 창출 등 마이데이터 서비스 창출 여건도 조성한다. 개인정보위는 데이터 전송요구 이력 조회, 전송 철회 등 국민 개인정보 전송요구권 행사를 지원하는 '마이데이터 지원 플랫폼'도 오픈할 예정이다. 이를 통해 일반 사용자가 여러 부문에 흩어진 본인 정보를 확인하고 저장, 활용할 수 있는 본인 다운로드 기반을 마련한다. 정부는 안전한 데이터 활용을 위한 개인정보관리 전문기관 안내서도 발간할 예정이다. 다크패턴 등 부당한 전송 유도와 유인방지 가이드라인도 제시할 방침이다. 개인정보보호 컨트롤타워 역할 강화...정보 안전망 촘촘히 개인정보위는 개인정보보호 컨트롤타워 역할을 늘린다고 강조했다. 우선 개인정보 보호 취약 3대 부문인 ▲국민 생활 밀접 분야 ▲신기술·신산업 분야 ▲대규모 개인정보를 처리하는 공공 분야 등을 선제적으로 집중 점검할 방침이다. 정부는 올해 3월 디지털 증거 수집·분석을 통해 유출 원인 등을 파악하는 포렌식랩도 구축한다. 이달부터 조사 전 과정을 체계적으로 관리하는 조사정보시스템을 운영할 예정이다. 이를 통해 투명하고 신속한 사건 처리 등 조사 품질을 높일 방침이다. 개인정보위는 IP 카메라 등 일상에서 활용되는 IT 기기 대상으로 개인정보보호 중심 설계 시범인증 확대, 법정 인증화도 추진한다. 다중이용시설에 설치하는 IP카메라에 보안인증제품 사용을 의무화한다. 또 온라인 맞춤형 광고 제공 목적의 행태정보 안전관리 체계를 강화하고 AI와 홈 사물인터넷(IoT), 에듀테크, 방송, 통신 등 50여 개사 대상으로 개인정보 처리방침 심층 평가를 실시할 예정이다. 고학수 개인정보위 위원장은 "AI 환경 변화에 발맞춰 원칙 기반 개인정보 규율체계 완성도를 높여 나갈 것"이라며 "국민 불안을 해소하고 국내 AI 생태계 발전을 적극 지원하겠다"고 밝혔다.

2025.01.15 16:43김미정

오픈AI·메타도 쓰는 'AI 엔진' 합성데이터…"안전성 검증 필요"

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [김미정의 SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [김미정의 SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI)과 보안 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 생성형 인공지능(AI) 모델 개발에 필요한 데이터가 고갈된다는 전망이 이어진 가운데 '합성데이터'가 대안으로 떠오르고 있다. 개인 식별정보나 민감정보 노출 없이 이용할 수 있다는 이점이 있지만 완전히 안심할 수 없다는 목소리가 높아지고 있다. 합성데이터에도 개인정보나 원본 데이터가 포함됐다는 이유에서다. 최근 AI 모델 복잡성이 늘면서 훈련에 필요한 데이터양도 증가한 추세다. 그러나 업계는 개인정보보호법 등 규제 이슈로 인해 모든 데이터를 자유롭게 수집·이용할 수 없다. 데이터 생성 속도도 한정적이다. 합성데이터가 주목받는 이유다. 이미 오픈AI를 비롯한 구글, 메타 등 빅테크는 모델 훈련에 합성데이터를 활용하고 있다. 합성데이터는 원본 데이터 형식과 구조·분포 특성을 학습해 생성된 가상데이터다. 가상 데이터기 때문에 원본 데이터에 있는 개인 식별정보나 민감정보를 노출하지 않고 데이터를 자유롭게 공유, 활용할 수 있다는 이점이 있다. 문자 등으로 이뤄진 정형데이터뿐 아니라 이미지, 동영상 형태인 비정형데이터가 합성데이터로 제작될 수 있다. 기업은 AI와 소프트웨어(SW) 개발에 필요한 의료·금융 데이터 등 민감·특수 데이터를 합성데이터로 대체할 수 있다. 합성데이터를 만들어 고객사에 납품하는 개발사도 늘고 있다. 해당 개발사들은 고객사에 부족한 데이터 종류를 AI로 제작해 채운다. 이를 통해 고객사는 데이터 제작 시간과 비용을 기존보다 줄일 수 있다. 김현수 슈퍼브에이아이 대표는 "실제 데이터를 수집하기 어렵거나 극단적인 케이스가 포함된 데이터를 AI 합성으로 얻을 수 있다"며 "데이터 수집·라벨링 과정이 생략돼 데이터 취득비용을 줄이고 신속히 학습할 수 있다"고 강조했다. 김 대표는 합성데이터가 다양한 산업에서 작동하는 모델 기능을 올릴 것으로 예측했다. 그는 "특히 합성데이터는 국내외 제조 분야나 국방, 물리보안용 AI 모델에 유용할 수 있다"며 "취득하기 어려운 제조 결함이나 중대재해 사고, 화재, 드문 보안 이슈 데이터를 합성데이터로 채움으로써 모델 성능을 올리고 실제 위험에 대처할 수 있다"고 덧붙였다. 업스테이지는 향후 합성데이터 생산 노하우가 개발 전략으로 자리 잡을 것이라고 봤다. 업스테이지 관계자는 "합성데이터를 고품질 정형 데이터로 적절히 융합해야 한다"며 "기업들이 자신에 맞는 융합 방식을 찾으면 그만큼 비용효율적인 대체제가 없을 것"이라고 강조했다. 이어 "각 기업이 같은 합성데이터를 이용해도 회사 기술력에 따라 모델 성능은 다를 것"이라고 설명했다. 정부도 합성데이터에 관심…"검증 시스템 강화 필요" 정부도 최근 합성데이터 생성과 활용에 필요한 가이드라인을 제시했다. 개인정보보호위원회는 지난달 '합성데이터 생성·활용 안내서'를 내놨다. 기업, 기관이 개인정보보호법을 준수하면서 합성데이터를 생성하고 활용하는 방법과 절차를 제공하기 위해서다. 발간된 보고서에 따르면 국내 합성데이터 생성 절차는 사전 준비부터 합성 데이터 생성, 안전성·유용성 검증, 심의윈회 평가, 활용·안전한 관리로 총 5단계로 이뤄졌다. 다만 전문가들은 합성데이터를 이용한다고 해서 모든 개인정보보호 이슈를 피할 수 있는 건 아니라고 주장했다. 합성데이터에도 개인정보가 포함될 수 있으며, 정보 편향성을 일으킬 수 있다는 이유에서다. 이에 합성데이터를 검증할 수 있는 시스템 구축도 중요해질 것이라고 입을 모았다. 업계 관계자는 "합성데이터 자체가 허위 정보나 편향된 정보를 생성할 수 있다"며 "합성데이터 내 개인정보가 재식별될 가능성도 배제할 수 없다"고 설명했다. 또 "합성데이터 품질이 낮은 상태에서 AI 학습에 활용되면 모델 성능 자체가 떨어질 수밖에 없다"며 "합성데이터 생성뿐 아니라 이를 검증할 수 있는 시스템 강화도 필요할 것"이라고 덧붙였다. 합성데이터에 개인정보가 포함될 수 있다는 주장도 나왔다. 개인정보위 안내서에 따르면 특히 부분 합성데이터에는 합성데이터 기록과 원본데이터 기록 간 연결 가능성이 높다. 활용 과정에서 개인정보보호 침해 등 안전 가능성이 낮아질 수 있다는 지적이다. 이에 수집 목적과 익명 정보 여부 등 합성데이터 성격에 따라 동의 필요성 등 적법요건 확인이 필요하다는 분위기다. 이 외에도 개인정보위는 비정형 합성데이터에 대한 연구가 추가로 필요하다고 지적했다. 이미지가 아닌 영상, 음성 및 멀티모달 데이터 등 다양한 비정형 합성데이터에 대한 안내도 추후 과제로 남아있다고 설명했다.

2025.01.10 16:13김미정