검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'GDPR'통합검색 결과 입니다. (5건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[기고] 개인정보 유출 사건 대응과 선진국의 길

지난해 11월 발생한 쿠팡의 대규모 개인정보 유출사고로 큰 사회적 파장이 있었다. 많은 이용자가 탈팡을 선택했고, 정치권과 정부의 질책 역시 지금까지 이어지고 있다. 여기에 덧붙여 최근에는 쿠팡의 부인에도 불구하고 미국 의회 로비 의혹까지 제기되면서, 개인정보 유출사고가 이제는 통상은 물론 우리의 안보에까지 부정적인 영향을 미친다는 언론보도도 있다. 무엇이 이렇게 문제를 복잡하게 한 것인가? 쿠팡의 개인정보 유출사고에 우리가 너무 많은 분노를 쏟아 부었기 때문은 아닌가 생각해 본다. 개인정보 유출 사건에 대해서는 법이 정한 기준에 따라 엄정하게 대응하면 될 일이다. 그러나 엄정함과 과도함은 구별돼야 한다. 국민에게 피해를 주면 회사가 망해야 한다는 것은 엄정함인가 분노인가? 엄정함에 대한 판단은 어디까지나 위험에 비례해야 한다. 그것이 중세 시대의 수많은 자의적인 마녀재판의 희생을 넘어 근대 사회가 만들고 지켜온 법의 원칙이다. 유출 사건은 단순히 유출 건수 등의 숫자만이 아니라 유출된 정보의 성격, 정보주체에게 미칠 수 있는 실제 위험, 그에 대한 회사의 후속조치 등을 함께 살펴보아야 한다는 의미다. 특히 쿠팡 사례처럼 내부자가 기존 권한과 시스템 지식을 악용한 경우를 일반적인 대규모 외부 해킹 사건과 같은 잣대로 평가해 회사가 망할 정도의 고액 과징금을 부과하는 것은 정책적으로도, 국제적 시각에서도 신중할 필요가 있다. 이는 최소한 우리가 법치주의 선진국이라는 증거이다. 글로벌 규제 흐름을 보자. 미국은 연방법 차원에서 데이터 유출에 대해 우리식의 매출액에 연동된 과징금 부과 체계를 두고 있지 않다. 주법 역시 이름과 결합된 사회보장번호, 금융정보, 의료정보 등 특정 민감 식별정보가 연루된 경우를 중심으로 규제 구조를 설계하고 있고 실제 제재 여부도 정보의 유형, 정보주체에 대한 위험성, 기업의 책임 정도 등을 종합해 판단한다. 2022년 캘리포니아의 'Vigil v. Muir Medical Group' 사건에서도 내부 직원이 의료정보를 다운로드해 반출한 사실은 있었지만 별도의 행정 제재는 이뤄지지 않았고, 민사소송에서도 제3자의 실제 열람이나 공통된 손해를 뒷받침할 근거가 부족하다는 이유로 집단소송 진행이 허용되지 않았다. 우리 개인정보보호 체계의 전범이 되고 있는 EU도 별반 다르지 않다. GDPR 체계는 신고 요건은 폭넓게 설정되어 있지만, 실제 과징금 부과 여부와 수준은 훨씬 더 실질적인 요소를 중심으로 판단한다. 핵심은 기업의 고의·과실, 사고 후 대응의 신속성과 충실성, 정보주체에게 발생할 수 있는 위험의 정도 등이 핵심적인 고려요소다. 건강정보, 정부 식별정보, 결제정보처럼 신원도용이나 경제적 피해로 직결될 수 있는 고위험 정보가 아니라면 과징금 필요성과 규모는 제한적으로 평가되는 경향이 있다. 위의 국제적인 기준에 비춰 보면 쿠팡 사건을 일반적인 대규모 해킹 사건과 동일 선상에서 평가하는 것은 적절하지 않다. 쿠팡 사건의 경우 결제정보, 계정 비밀번호, 주민등록번호 등 고위험 정보가 포함되지 않았고, 사고 인지 이후 공격에 사용된 기기를 회수하는 등 신속한 대응이 이뤄졌으며, 그 결과 현재까지 사기·신원도용 같은 2차 피해 여부도 확인되지 않았다. 이러한 점을 고려하면, 이 사건은 정보의 유형과 정보주체에 대한 실제 위험성을 중심으로 보다 엄격하게 구별해 평가할 필요가 있으며, 국제적 기준에 의할 때도 중한 과징금보다는 상대적으로 낮은 위험 수준으로 평가될 가능성이 높다. 더 우려스러운 것은 이러한 국제적 기준과 동떨어진 결과가 통상과 투자분쟁에 미칠 영향이다. 국제투자분쟁(ISDS)에서 반복적으로 문제되는 것은 단순한 국내법 위반 여부가 아니다. 국가의 조치가 자의적이거나 과도하지 않았는지, 유사 사례와 비교해 차별적이지는 않았는지, 절차적으로 공정했는지 여부가 핵심이다. 2012년 'Occidental v. Ecuador' 사건은 투자자 측의 계약∙법 위반 사정이 일부 있었더라도 국가가 가장 가혹한 제재를 선택해 투자 전체를 박탈한 것은 비례원칙에 반해 과도하다는 이유로 국가의 손해배상책임을 인정한 사례다. 2000년 'Metalclad v. Mexico' 사건 역시 규제당국의 불투명하고 예측 불가능한 행정처분 집행으로 인해 투자자가 정상적인 사업 운영을 하지 못하게 된 것을 문제 삼은 사례다. 두 사건 모두, 국가가 제재나 규제를 행사할 수는 있지만 그 수단과 강도가 비례적이고 예측 가능해야 한다는 점을 보여준다. 결국 과도하고 불균형한 제재는 국내 행정처분을 넘어 국제분쟁의 불씨가 될 수 있다. 이 점에서 최근 대규모 유출사고로 사회적 파장이 컸던 이동통신사 사례도 참고가 될 수 있다. 외부 해킹으로 인해 고위험 유심정보가 유출돼 2차 피해 우려가 컸던 위의 사건보다 내부자 악용에 의해 일반 정보가 문제된 쿠팡 사건에 더 무거운 제재가 내려진다면, 이는 국내적으로도 비례성과 형평성에 반할 뿐 아니라 대외적으로도 자의적·차별적 규제로 비칠 수 있다. 지금 필요한 것은 회사가 망할 정도의 보여주기식 고액 과징금이 아니라 위험의 실질, 국제적 형평, 절차적 정당성을 함께 반영한 냉정한 판단이다. 유사하거나 더 중대한 선례와 비교해 형평을 잃은 제재가 이뤄진다면 이는 국내적으로도 비례원칙 논란을, 대외적으로도 차별적 규제라는 의심을 낳을 수 있다. 과징금은 '분노의 숫자'가 아니라 위험과 책임을 반영한 '선진국형 법치주의 원칙의 결과'여야 한다.

2026.05.07 16:16김동균 컬럼니스트

[법과 상식 사이] 왜 미국에는 단일 프라이버시법이 없을까

최근 대규모 개인정보 유출 사건이 잇따르면서 각국의 프라이버시 법제에 대한 관심이 다시 높아지고 있다. 이러한 논의를 이해하기 위해서는 먼저 EU와 미국이 채택하고 있는 프라이버시 규제의 제도적 차이를 살펴볼 필요가 있다. EU는 일반 정보보호 규정(GDPR)이란 단일 규범을 통해 높은 수준의 개인정보 보호를 요구하는 대신, EU 전역에 공통적으로 적용되는 기준을 제시함으로써 기업들에게 명확한 규제 대응의 틀을 제공한다. 반면 미국은 연방 차원의 포괄적 프라이버시법 없이 주(州) 중심의 분산적 규제 구조를 유지하고 있어 기업들은 주마다 서로 다른 동의 방식과 고지 의무를 충족시켜야 한다. 이러한 규제의 파편화는 막대한 준수 비용과 법적 불확실성을 야기해 왔으며, 그 결과 연방 차원의 통합 프라이버시법 제정에 대한 기대도 오랫동안 제기되어 왔다. 그럼에도 미국은 왜 유럽의 GDPR과 같은 단일한 체계로 나아가지 못한 채 주와 연방의 권한 다툼 속에 머물러 있는 것일까. 문제의 본질은 헌법이 예정한 연방과 주 간의 권한 배분 구조에 있다 연방 정부가 프라이버시 영역에서 입법 권한을 주장할 수 있는 핵심 근거는 미국 헌법 제1조 제8절 제3항 통상조항(Commerce Clause)이다. 통상조항은 연방 의회에 외국과의 통상, 주 간 통상, 그리고 인디언 부족과의 통상을 규제할 권한을 부여한다. 초기에는 이 조항이 주로 물리적 상품의 이동과 거래를 규율하는 근거로 이해됐으나, 현재는 연방대법원의 판례를 통해 그 범위가 크게 확장되어 교통·통신·금융·노동 등 주 간 경제에 실질적인 영향을 미치는 모든 활동을 포괄하는 개념으로 해석된다. 전화와 인터넷, 디지털플랫폼처럼 본질적으로 주 경계를 넘나드는 활동은 오늘날 통상조항 적용의 전형적인 대상이며 이를 통해 미국 연방 정부는 경제와 사회 전반에 걸친 광범위한 규제를 정당화해 왔다. 이러한 법리적 확장은 개인정보 보호 영역에도 그대로 적용된다. 연방 프라이버시법 초안들(APRA, ADPPA 등)은 개인정보의 수집·이용·이전을 주 간 상거래에 직접적이고 지속적인 영향을 미치는 경제 활동으로 규정한다. 이에 따라, 주별로 상이한 의무가 기업의 데이터 흐름과 비즈니스모델에 중첩 적용되면서 연방 차원의 개입이 정당화된다는 논리가 형성된다. 그러나 프라이버시 규제는 통상 규제에 그치지 않고 소비자 보호와 기본권 보장이라는 전통적인 주 정부의 입법권 및 경찰권과 충돌하게 되며, 이러한 헌법적 긴장이 오늘날 미국에서 연방 프라이버시법이 반복적으로 좌초되는 구조적 배경을 형성하고 있다. 연방의 선점원칙과 주 정부 입법권의 충돌 미국 헌법은 연방법과 주법이 충돌할 경우 연방법이 우선 적용된다는 선점원칙(preemption)을 통해 연방 권한의 효력을 확보하는 한편, 헌법에 명시되지 않은 권한은 헌법 수정조항 제10조에 따라 주에 유보함으로써 연방과 주의 권한 경계를 설정하고 있다. 다시 말해, 연방법은 주법에 우선하지만 연방에 위임되지 않은 영역에서는 주가 독자적으로 규범을 설계할 수 있다. 문제는 개인정보 보호가 오랫동안 소비자 보호, 불법행위 책임, 사생활 보호와 같은 주법 영역에서 발전해 왔다는 점이다. 이로 인해, 연방 프라이버시법은 주법에 앞사 적용돼야 실효성을 갖지만 연방이 이를 일괄적으로 규율하려 할 경우 주 정부의 입법권을 침해한다는 강한 반발에 직면하게 된다. 실제로 APRA와 ADPPA를 포함한 주요 연방 프라이버시법 초안들은 모두 주 프라이버시법을 일정 범위에서 배제하는 선점 조항을 담고 있었고 바로 이 지점에서 갈등이 본격화됐다. 캘리포니아, 콜로라도, 버지니아 등 이미 포괄적 프라이버시법을 시행 중인 주들은 연방 법이 최소 기준을 제시하는데 그치지 않고, 주가 더 강한 보호 규제를 도입하는 것까지 제한하는 기준으로 작동할 가능성을 우려한다. 이들 주의 입장에서 선점 조항은 규제 일관성을 확보하기 위한 장치라기보다 그동안 축적해 온 보호 체계를 연방 입법으로 약화시킬 수 있는 수단으로 받아들여진다. 이로 인해, 연방 프라이버시 입법은 단순한 정책 조정의 문제가 아니라, 연방과 주 가운데 누가 프라이버시 규범을 설계할 권한을 가지는가라는 연방주의(federalism) 차원의 충돌로 전환된다. 결국 현재의 교착상태는 통상권에 기초한 연방의 선점 논리와 수정조항 제10조에 기초한 주의 입법권이 정면으로 맞부딪히는 헌법 구조의 산물이다. 이러한 구조적 충돌이 해소되지 않는 한 연방 차원의 포괄적 프라이버시법은 반복적으로 같은 지점에서 멈출 수밖에 없다. 기업의 현실적 대안: 연방 입법이 아닌 주 기준을 사실상 표준으로 삼아라 이러한 헌법 구조를 고려할 때 연방 차원의 통합 프라이버시법 제정을 기다리는 전략은 현실적이지 않다. 주별로 파편화된 규제 환경이 상당 기간 지속될 가능성이 큰 만큼 현재 미국 내에서 사실상의 기준으로 기능하고 있는 개정된 캘리포니아 소비자 프라이버시법(CCPA/CPRA)의 보호 수준을 내부 공통 기준으로 설정하고 개인정보의 수집과 활용을 최소화하는 방향으로 대응하는 것이 합리적이다. 다수의 주가 캘리포니아 모델을 벤치마킹하고 있다는 점에서 CPRA에 기반한 컴플라이언스 체계는 향후 타 주 법률에도 비교적 유연하게 대응할 수 있는 실질적인 기반이 된다. 불확실한 연방 입법의 향방에 기대기보다 생체정보·위치정보·아동 데이터 등 특정 영역을 중심으로 강화되고 있는 주 단위 규제와 집행에 선제적으로 대비하는 것이 현 시점에서 기업이 선택할 수 있는 가장 현실적인 대응 전략이다.

2026.01.23 14:24안정민 컬럼니스트

[신년 인터뷰] "AI 역기능 막는 기술 확보가 국가 경쟁력 좌우"

글로벌 경제 위기 속에서 올해 인공지능(AI) 산업은 다시 한 번 중대한 분기점에 섰다. 생성형 AI의 급격한 확산 후 이어진 성능 경쟁과 투자 열풍은 이제 '얼마나 더 큰 모델을 만들 수 있는가'라는 질문을 넘어 'AI가 실제 무엇을 할 수 있는가'라는 보다 본질적인 문제로 이동하고 있다. 지디넷코리아는 릴레이 인터뷰를 통해 각기 다른 위치에서 AI 산업을 바라보는 리더 시선을 종합해 올해 AI 산업이 어디로 향하고 있는지, 무엇을 준비해야 하는지를 짚어본다. 기술 낙관과 과도한 불안 사이에서 AI의 현실적인 진화 경로와 산업적 의미도 살펴본다. [편집자주] "인공지능(AI)이 자율주행과 로봇, 에이전트 시스템으로 진화하면 우리가 지금까지 경험하지 못한 새로운 위험을 만들어낼 수 있습니다. 기술 개발뿐 아니라 안전성과 보안, 역기능 대응을 위한 투자가 반드시 병행돼야 하는 이유입니다. 안전과 통제를 처음부터 내재화한 AI 시스템을 설계하는 것이 국가 경쟁력 측면에서도 중요합니다." 성균관대 우사이먼성일 소프트웨어학과·인공지능대학원 교수는 지디넷코리아와 만나 AI 발전과 함께 커지고 있는 기술 안전성 문제를 이렇게 진단했다. 우 교수는 AI 기술 부작용을 최소화할 방법을 연구하는 학자다. 개인정보 침해와 허위 정보 생성, 저작권 문제, 범죄 악용 등 AI 확산으로 인해 나타나는 사회 위험을 기술적으로 통제하는 데 연구 초점을 맞추고 있다. 가장 대표 연구 분야는 머신 언러닝을 이용한 개인정보 보호 기술이다. 머신 언러닝은 AI 모델이 학습한 특정 데이터를 선택적으로 삭제할 수 있도록 하는 기술이다. 보통 모델이 학습 과정에서 방대한 정보를 내부에 저장하지만, 어떤 정보가 어떤 결과에 영향을 미쳤는지 알기 어렵다. 이에 개인이 자신의 개인정보를 삭제해 달라고 요구해도 기존 AI 모델에서는 이를 정확히 반영하기가 거의 불가능하다. 머신 언러닝은 이 문제를 해결하기 위한 기술이다. 최근 그는 이를 실제 개인정보 보호에 적용할 수 있도록 기술을 업그레이드했다. 기존 방식은 특정 데이터를 삭제하기 위해 해당 데이터를 제외한 나머지 데이터로 모델을 재학습해야 했다. 이는 초거대 AI 모델 환경에서 시간·비용 측면에서 사실상 불가능하다. 그는 "기존 언러닝 기법은 연구실에선 가능했지만 실제 서비스에 적용하기에 매우 비효율적"이라고 주장했다. 우 교수 연구팀은 이 문제를 해결하기 위해 새 접근법을 제시했다. 핵심은 원본 데이터를 보관하지 않아도 모델 성능과 삭제 정확도를 동시에 유지하는 방식이다. 이에 원본 데이터를 보관하거나 재학습을 별도로 진행하지 않아도 모델 성능을 유지할 수 있다. 그는 "원본 데이터 대신 통계적으로 유사한 합성 데이터를 생성·활용해 한계를 극복했다"고 강조했다. 그는 삭제 대상 데이터가 다른 데이터와 섞여 변형된 경우에도 제거 가능하다고 설명했다. 그는 "실제 데이터는 단독 존재하지 않고 여러 문장이나 문서, 다른 데이터와 연결돼 학습된다"며 "이를 그래프 구조로 표현하면 어떤 정보가 다른 정보에 어떻게 영향 미쳤는지 추적할 수 있다"고 말했다. 그러면서 "특정 이름이나 문장, 파생 정보까지 한 번에 제거할 수 있는 이유"라고 덧붙였다. 이 연구 성과는 지난해 12월 미국 샌디에고 컨벤션 센터에서 열린 국제 AI 분야 학회 NeurIPS(Neural Information Processing systems)에 발표됐다. 이 연구는 올해 과학기술정보통신부 재원과 정보통신기획평가원(IITP) 지원으로 추진 중이다. 연구 과제명은 '개인정보보호 관련 정책 변화를 유연하게 반영하여 준수하는 AI 플랫폼 연구 및 개발'이다. 우 교수는 해당 기술이 향후 기업과 정부 시스템에도 유용할 수 있을 것으로 봤다. 그는 "기업은 고객 개인정보나 저작권 있는 문서·이미지, 책 내용을 AI 모델에 학습시키기만 하면 된다"며 "삭제 요청이 들어오면 이를 기술적으로 반영하면 된다"고 설명했다. 그는 현재 여러 국내 기업과 협력해 챗봇이나 검색, 문서 분석, 법률 AI 등 서비스에 해당 기술을 적용하는 연구를 진행하고 있다. 그는 "개인정보나 저작권 삭제 요구가 많은 분야일수록 실무적 가치가 큰 기술"이라며 "언러닝 성능을 AI 안전성 평가 지표로 활용하는 방안도 고려 중"이라고 덧붙였다. 우 교수는 이달 시행될 국내 AI기본법과 연구 성과가 깊이 연결될 것으로 내다봤다. 그는 "그는 유럽 일반정보보호규정(GDPR)처럼 한국 AI기본법은 개인의 데이터 삭제 권리를 보장하는 것이 필수일 것"이라며 "우리 방식은 이런 법적 요구를 실제 AI 모델에 기술적으로 반영할 수 있는 현실적 해법"이라고 강조했다. "딥페이크도 '문맥'으로 잡아야"...기술력 전 세계 2위 기록 우 교수는 딥페이크 감지 기술 분야에서도 활발한 연구를 이어가고 있다. 특히 최신 생성형 AI가 만들어내는 새로운 형태의 딥페이크까지 탐지하는 기술 개발에 주력하고 있다. 그는 현재 다수 딥페이크 탐지 모델 성능이 최신 AI 기술을 따라가지 못하는 점을 꼬집었다. 모델 학습에 사용된 데이터와 실제 딥페이크 확산 형태가 다르다는 점을 근본 원인으로 짚었다. 그는 "최신 AI가 만드는 딥페이크는 기존 데이터와 특성이 전혀 다르다"며 "탐지 모델 성능이 실제 환경에서 급격히 떨어질 수밖에 없다"고 말했다. 우 교수 연구팀은 이런 문제를 해결하기 위해 새 방법론을 적용한 딥페이크 탐지 모델을 제시했다. 연구팀은 'DINO'와 'CLIP-ViT' 계열 모델로 이미지와 텍스처, 의미적 패턴을 폭넓게 이해할 수 있는 모델을 구축했다. DINO는 대규모 웹 데이터 기반으로 사전 학습된 모델이다. CLIP-ViT는 텍스트와 이미지 간 의미 관계를 학습한 모델이다. 연구팀은 이를 딥페이크 탐지에 맞게 재학습해 이미지 백본으로 활용했다. 이후 이 모델 위에 딥페이크 전용 어댑터 모듈도 추가했다. 이에 모델은 영상과 이미지에 포함된 미세한 위조 흔적까지 포착할 수 있다. 우 교수는 해당 모델이 단순 이미지 분류를 넘어서 의미론적 개념을 이해하도록 설계된 것을 핵심 기능으로 제시했다. 그는 "이 모델은 특정 유형 딥페이크에 과적합 되지 않는다"며 "여러 위조 콘텐츠를 안정적으로 탐지할 수 있다"고 설명했다. 해당 연구는 지난해 과기정통부 재원으로 IITP 지원을 받아 '디지털역기능대응기술개발'사업으로 수행됐다. 사업명은 '악의적 변조 콘텐츠 대응을 위한 딥페이크 탐지 고도화, 생성 억제, 유포 방지 플랫폼 개발'이다. 해당 모델로 성과도 얻었다. 지난해 국제 컴퓨터비전 학술대회(ICCV)가 주최한 딥페이크 탐지 'SAFE 챌린지'에서 이탈리아 나폴리대 연구팀에 이어 전 세계 2위를 기록했다. 또 지난해 성균관대와 한국정보과학학회가 공동 주최한 '성균관대x한국정보과학학회 딥페이크 경진대회'에서 대상과 우수상을 각각 수상했다. 우 교수는 향후 딥페이크 연구 방향도 제시했다. 그는 "실제 환경에 가까운 조건에서 모델을 연구·평가할 것"이라며 "특히 메신저와 소셜미디어(SNS) 환경처럼 저화질·압축 영상이 많은 환경서도 안정적으로 딥페이크를 탐지할 수 있는 모델을 구축할 것"이라고 덧붙였다.

2026.01.14 15:36김미정 기자

EU, 틱톡에 8400억 과징금…"개인정보 무단 유출"

틱톡이 유럽연합(EU) 일반개인정보보호법(GDPR) 위반 혐의로 거액의 과징금을 부과받았다. 아일랜드 개인정보보호위원회(DPC)가 EU 이용자 개인정보를 중국으로 전송한 혐의로 틱톡에 5억3천만 유로(약 8천400억원) 과징금을 부과했다고 씨넷을 비롯한 주요 외신들이 2일(현지시간) 보도했다. DPC는 틱톡이 6개월 내에 시정하지 않을 경우 중국으로의 데이터 전송을 전면 중단해야 할 것이라고 경고했다. EU가 2018년 5월부터 시행한 GDPR에 따르면 개인정보 유출 사고가 발생할 경우 신속하게 감독기관에 통보하도록 규정하고 있다. 특히 개인정보 유출 정도가 심각할 경우에는 72시간 내에 통보해야만 한다. 이런 규정을 위반할 경우 글로벌 매출의 4%까지 벌금을 부과할 수 있다. DPC는 “틱톡은 중국에 있는 직원들이 EU 지역 이용자들의 개인정보에 원격 접속하지 못하도록 적절한 보호 조치를 취하고 있다는 사실을 입증하지 못했다”고 밝혔다. 또 DPC는 틱톡 측이 U 이용자 정보를 중국 내 서버에 저장했는지 여부에 대해 정확하지 않은 정보를 제공한 사실도 발견했다고 덧붙였다. 그 동안 틱톡은 중국 서버에 EU 이용자 정보를 저장하지 않았다고 주장해 왔다. 하지만 틱톡은 이달 들어 “지난 2월 일부 EU 이용자의 개인 정보가 중국 서버에 저장돼 있었던 사실을 알게 됐다”고 보고했다. 아일랜드 DPC는 틱톡의 이 같은 대응도 심각하게 보고 있다고 밝혔다. 이에 따라 어떤 추가 규제 조치를 취할 지 여부에 대해 검토하고 있다고 덧붙였다.

2025.05.03 07:30김익현 미디어연구소장

"GDPR 장벽 넘었다"...메타, EU 사용자 공개 콘텐츠로 AI 학습

메타가 유럽 사용자 데이터로 인공지능(AI) 학습을 본격화해 유럽 각국 언어와 문화, 지역 특성을 반영한 AI 고도화를 추진한다. 메타는 유럽연합(EU) 내 성인 사용자가 페이스북, 인스타그램 등에 올린 게시물과 댓글 등 공개 콘텐츠를 활용해 생성형 AI 모델을 학습한다고 15일 공식 블로그에서 밝혔다. EU가 제공 중인 메타 AI 서비스에 대한 질문과 쿼리도 학습 자료로 수집할 방침이다. 이번 조치는 지난달 메타 AI 서비스를 EU에 출시한 후, 지역 맞춤형 AI 성능 향상을 위한 후속 절차다. 메타는 이번 주부터 EU 사용자에게 앱 내 알림과 이메일을 통해 데이터 활용 방침을 알릴 예정이다. 이에 거부할 수 있는 선택권도 제공한다. 학습 대상에서 개인 간 메시지와 18세 미만 미성년자 공개 콘텐츠는 제외다. 메타는 "AI 서비스가 유럽 사용자에게 적합한 방식으로 동작하도록 하기 위해 지역 언어와 방언, 유머, 표현 방식 등 다층적인 문화적 요소를 이해하는 능력을 키우는 것이 중요하다"고 설명했다. 그러면서 "텍스트뿐 아니라 음성, 이미지, 영상 등 다양한 형태의 데이터를 처리할 수 있는 멀티모달 AI의 발전이 목표"라고 덧붙였다. 앞서 EU 규제 당국은 일반개인정보보호법(GDPR)상 '개인정보 처리 정당성'과 '이용자 권리 보호' 요건이 불분명하다는 이유로 메타의 EU 사용자 데이터 수집을 금지했다. 2023년 말 EU 규제 기관의 해석이 나오기 전까지 법적 리스크를 피하기 위해 데이터 수집이 잠정 중단됐다. 지난해 12월 유럽데이터보호이사회(EDPB)가 관련 법적 요건을 충족했다는 의견을 낸 후 아일랜드 데이터보호위원회(IDPC)와 협의를 이어오고 있다. 메타는 "우리는 AI를 유럽에 제공하는 데 그치지 않고, 유럽을 위해 설계된 AI를 만들 책임이 있다"며 "앞으로도 유럽 사용자가 생성형 AI의 혜택을 충분히 누릴 수 있도록 노력하겠다"고 밝혔다.

2025.04.15 09:49김미정 기자