금감원 "금융사 챗봇 개인정보보호 미흡… 보호장치 마련하라"

26개사 운영…일부서 개인정보 암호화 안 되고 통제절차 미흡

금융회사들이 앞다퉈 챗봇을 도입하고 있지만, 개인정보보호 차원에서는 미흡한 부분이 많은 것으로 나타났다.

챗봇은 사람 대신 컴퓨터가 채팅 방식으로 고객 상담을 해주는 서비스다.

금융감독원은 개인 고객을 대상으로 업무를 취급하는 352개 금융회사를 상대로 챗봇 운영현황과 개인정보 안전 관리 여부, 정보주체 권리보장 여부 등을 점검했다고 31일 밝혔다.

점검결과에 따르면 6개 은행, 10개 보험사, 3개 저축은행, 7개 금융투자·여신전문회사 등 26개 회사가 챗봇을 운영하고 있으며 2019년까지 21개사가 추가로 도입할 계획이다.

26개사 중 18개사는 인공지능 기술 기반의 챗봇을, 8개사는 시나리오 기반의 챗봇을 각각 운영 중이다.

챗봇은 인건비를 절약하고 업무시간과 상관없이 고객에게 서비스할 수 있다는 장점이 있다.

그러나 보안대책이 미흡하면 개인정보 유출 등 부작용이 발생할 수 있다.

인공지능이 이상 작동하면 서비스 제공이 원활하지 않을 우려도 있다.

실제로 금감원 점검결과 일부 금융사는 챗봇과 대화 시 이용자의 개인정보가 수집될 수 있음에도 이를 암호화하지 않고 있었다.

또 챗봇을 통해 수집된 개인정보에 업무별, 관리자별로 차등해 접근권한을 부여하는 통제절차가 제대로 되지 않았고, 챗봇에서 수집한 개인정보를 파기할 구체적인 기준을 수립하지 않은 곳도 있었다.

일부 회사는 챗봇 이용자의 개인정보 열람·정정·삭제 관련 권리보장 방법을 찾기 어려워 정보주체의 권리행사가 쉽지 않기도 했다.

금감원은 개인정보보호를 위해 챗봇 상담 시 수집하는 개인정보를 암호화하도록 지도했다.

개인정보 접근통제 정책을 엄격히 수립하고, 업무별로 구체적인 보존기한을 설정해 그 기한이 지나면 개인정보를 지체 없이 파기하도록 개선했다.

챗봇 도입 설계 시점부터 개인정보 열람·정정·삭제 기능을 마련해 정보주체 권리를 보장하도록 지도했다.

금감원은 올해 하반기에 예정된 금융회사 개인신용정보보호 교육 시 챗봇 운영 관련 유의사항을 전달하고 내년에는 '금융분야 개인정보보호 가이드라인' 개정 때 챗봇 도입 관련 개선사항이 반영되도록 관계부처와 협의할 계획이다.

권민수 금감원 신용정보평가실장은 "주기적으로 점검해 개인정보의 안전한 관리와 법규위반 여부를 확인하겠다"고 말했다.

/연합뉴스