게티이미지뱅크
게티이미지뱅크
“자율주행차 개발하러 들어온 인력이 포토샵만 만지고 있으니 줄줄이 퇴사자가 나올 수밖에요.”

자율주행 스타트업 언맨드솔루션 개발진은 요새 도로 주행 과정에서 찍힌 사람 얼굴을 일일이 블러(흐리게 하는 필터) 처리하느라 밤을 새우기 일쑤다. 자율차는 주행 과정에서 불가피하게 지나가는 사람을 인식하는데, 고지하고 찍어도 그대로 학습 프로그램에 들어가면 현행법 위반 소지가 있다. 회사 관계자는 “정확도 문제로 외주나 자동화 프로그램 사용도 어렵다”며 “블랙박스나 폐쇄회로TV(CCTV)가 셀 수 없는 세상인데, 법에 막혀 중국에 고객을 다 뺏길 판”이라고 전했다.

국내 자율차, 드론 개발 업체의 인공지능(AI) 자율주행 기술 개발이 모호한 법 규정에 발목이 붙잡힐 위기에 처했다. 자율주행 기술 상용화를 위해선 AI 솔루션이 사람 얼굴을 있는 그대로 학습할 필요성이 제기된다. 사람의 이목구비 인식률도 기술 완성도에 영향을 주기 때문이다. 하지만 현행 개인정보보호법과의 상충 문제로 국내 업체는 사람 얼굴이 지워진 영상밖에 사용하지 못한다. 기술 경쟁력은 물론 실제 자율주행차가 도로를 돌아다닐 때 안전 문제에 허점이 생길 것이라는 지적이 나온다.

윤주경 국민의힘 의원이 개인정보보호위원회에 제출받은 ‘개인정보 관련 규제 샌드박스 실증 특례 처리 현황’에 따르면, 2020년 8월 개보위 설립 이후 3년간 허용된 실증 특례 61건 중 82%(49건)가 영상장치 관련 사업이었다. 특히 이 중 73%(36건)는 드론, 자율차 등 이동형 영상처리 업체였다.

길에서 촬영된 사람 영상은 이름, 나이 등 추가 정보와 결합하지 않는 이상 인적 사항을 특정 짓기 어렵다. 이 때문에 사전 고지하고 데이터 관리에 책임을 지는 조건으로 자율차 등이 사람을 찍는 행위까진 허용하는 규제 샌드박스가 시행돼 왔다. 지난달에는 이런 내용이 법 조항에 반영되어 정식 공포되기도 했다. 하지만 이렇게 찍은 원본 데이터는 연구 목적으로도 활용할 수 없는 상태다. AI가 인간의 눈·코·입을 배울 방법은 없는 셈이다.

AI의 원본 학습 기준, 아무도 모른다

지난 달 공포된 개인정보보호법 개정안은 이동형 영장정보처리기기의 법적 정의를 다루고 있다. AI의 안면 등 개인정보 촬영 금지를 원칙으로 하되, 조건에 부합할 경우 촬영 행위를 허가하고 있다. 하지만 AI의 학습 행위를 정의하진 못한다. 법제처 홈페이지 캡처
지난 달 공포된 개인정보보호법 개정안은 이동형 영장정보처리기기의 법적 정의를 다루고 있다. AI의 안면 등 개인정보 촬영 금지를 원칙으로 하되, 조건에 부합할 경우 촬영 행위를 허가하고 있다. 하지만 AI의 학습 행위를 정의하진 못한다. 법제처 홈페이지 캡처
2020년 시행된 개인정보보호법은 ‘적법한 수집 절차’와 ‘목적에 부합하는 개인정보 사용’을 대원칙으로 내세운다. 다만 이동형 영상장치가 원본 영상을 수집하고 학습하는 행위가 적법한지는 지난 3월 공포된 개정법에서도 전문가마다 의견이 나뉜다. 현행법은 AI 원본 학습 행위를 명확히 정의하지 않은 채, 연구 목적의 데이터 활용에선 사람 얼굴을 지우는 비식별화 조치를 취해야 한다는 규정을 내세우고 있다. 결국 업체가 ‘주행 목적’에 AI 학습 행위가 필요하다고 주장하면 원본 데이터를 사용할 수 있지만, 연구 목적이면 비식별화 조처를 해야 한다는 식의 모호한 해석도 가능하다. ‘목적성’을 각자가 어떻게 해석하냐에 따라 합법 기준이 달라지는 셈이다.

학습을 통해 성장하는 AI는 두 영역을 구분 짓기 어렵다. 사람 얼굴을 지워버리는 선택지는 논란을 최소화할 당연한 선택지로 자리했다. 개보위가 최근까지 비식별화 조치를 원칙으로 안내한 이유도 여기에 있다. 뚜렷한 판례가 있는 것도 아니라, 업체들도 막연한 두려움을 갖고 비식별화 조치에 집중해 왔다. 자연히 사람 얼굴을 지워버리는 프로그램이 생겨나고, 스타트업 딥핑소스처럼 비식별화 기술 전문업체도 나타났다. 회사는 지난해 5월 170억원 규모의 프리 시리즈B 투자를 유치하기도 했다.

업계는 비식별화 조치가 당연시되면 안 된다는 입장이다. 안전성 이유에서다. 한 자율차 업체 연구원은 “비식별화에 드는 비용 부담보다 업계가 더 걱정하는 건 AI 성능”이라고 말했다. 얼굴의 이목구비가 지워진 사람 이미지를 토대로 불완전한 학습을 한 자율주행차와 배달 로봇이 도로에서 인명 사고를 낼 경우 더 큰 사회적 비용으로 돌아올 것이란 지적이다. 정부는 2025년 운전자 개입이 없는 완전자율주행(레벨4) 버스·택시 출시를, 2027년 레벨4 승용차 상용화를 목표로 세운 상태다.

데이터 안심구역·암호와 조치 ‘시동’

서울시 마포구 상암동 자율주행자동차 시범운행지구 일원에서 운영 중인 자율주행차 운송 서비스. 이 같은 특구는 업체들이 주행 데이터를 모으는 주요 방법이다. 사진=한경DB
서울시 마포구 상암동 자율주행자동차 시범운행지구 일원에서 운영 중인 자율주행차 운송 서비스. 이 같은 특구는 업체들이 주행 데이터를 모으는 주요 방법이다. 사진=한경DB
시민단체가 우려하는 점은 개인정보 오·남용이다. 오병일 진보네트워크센터 대표는 “궁극적으론 법원에 가서 판단될 문제”라며 “정보 수집 목적인 주행을 위해 AI 학습이 필요하다고 해도, 민감 정보인 사람 얼굴 활용을 광범위하게 허용할 수는 없다”고 했다. 그는 “업체가 원본 데이터를 활용하고 싶다면 안전조치를 충분히 해야 할 것”이라며 “추후 법원에서 소명 자료가 될 것”이라고 말했다.

영역은 다르지만, 시민단체와 산업계는 2021년도에도 비슷한 문제로 큰 갈등을 겪었다. 2021년 법무부와 민간 업체는 AI 식별추적 시스템 구축사업을 위해 공항 카메라가 찍은 1억7000만 건의 안면 데이터를 학습에 사용했다. 대표적 고정형 영상장치인 폐쇄회로TV(CCTV)는 법에서 사용 목적과 범위를 상세히 열거하고 있다. 개보위는 이런 고정형 영상장치 관련법을 근거로 ‘출입국 목적의 정보 활용에 해당한다’며 문제가 없다고 판단했다. 하지만 시민단체의 반발이 이어지며 해당 사업은 결국 중단됐다. 이동형 영상장치는 촬영에 대한 공간 제약이 덜하기 때문에, CCTV에 비해 더 엄격한 잣대가 필요하다는 것이 시민단체 입장이기도 하다.

국회와 주무부처가 구상하는 해결책은 다양하다. 우선 검토되는 것이 ‘데이터 안심구역’이나 자율주행 특구 확대다. 데이터 관리에 안전조치를 한 업체에만 제한된 공간에서 영상 원본을 활용할 수 있도록 길을 열어주는 것이다. 신규 입법으론 암호화 조치가 언급된다. 원본 데이터엔 컴퓨터와 같은 기계만 접근하도록 암호를 걸고, 사람에겐 접근을 제한한다는 내용이다. 관련 내용을 발의한 윤주경 국민의힘 의원은 “연구목적 데이터의 보관기간 설정 등 안전한 활용을 위한 장치를 만들어 개인정보 유출 우려를 줄여야 한다”며 “미래산업 육성을 위해 국회가 나서 논의할 문제”라고 말했다.

국가 주도의 비식별 소프트웨어(SW) 표준 기술을 개발하자는 의견도 나온다. 산업계와 시민단체의 간극을 좁히기가 쉽지 않을 것이란 분석에서다. 개인정보보호 분야 전문가인 백대용 법무법인 세종 변호사는 “반발 여론으로 원본 데이터를 완전히 활용하는 것이 어려우니, 합리적 선을 찾는 것이 중요한 단계”라며 “정부가 연구과제 형태로 비식별 처리를 자동화하는 SW를 만들고 보급하면 기업의 비용부담은 줄일 수 있을 것”이라고 전했다.

개보위 관계자는 “산업계와 시민단체 사이의 합리적인 균형점을 찾도록 하겠다”고 전했다.

참 한 가지 더

"데이터 유출, 책임만 확실히"…美·EU AI 날개 달았다
사진=REUTERS
사진=REUTERS
이동형 영상장치의 데이터와 개인정보보호 문제는 해외에서도 첨예하다. 접근 태도는 다르다. 이른바 ‘네거티브 규제’다. 미국과 유럽연합(EU)에선 법률이나 정책에서 금지한 행위가 아니면 허용하고, 데이터 관리에 문제가 생기지 않도록 사업자 스스로가 주의를 기울인다. 법에 따른 책임만 지면 원본 데이터 활용도 가능하다.

미국의 ‘자동차 연구 보안 및 사생활 보호법’은 자율주행차의 데이터 관리를 정의한다. 수집된 데이터의 전송과 보존, 사용에 대해 명확하고 쉬운 언어로 눈에 띄게 알림을 고지할 것을 강조한다. ‘셀프 드라이브법’에선 제조사가 개인정보보호 정책을 마련하지 않으면 자율차를 판매하지 못하도록 한다. 제조업체가 정보의 수집 및 공유, 저장 절차를 사용자가 이해할 수 있도록 해설하는 기능을 겸한다.

실제로 테슬라의 ‘프라이버시 공지’ 안내에 따르면, 테슬라 차량은 ‘운전 중 생성된 차량 데이터와 사용자 ID 또는 계정을 연결하지 않는다’고 강조한다. 영상 데이터 원본의 경우, ‘차선이나 도로 표지판 등을 인식하기 위해 촬영할 뿐이고 데이터는 차 안에서 직접 처리된다’고 구체적으로 언급한다. 처벌도 이 기준에 맞춰 처리된다. 테슬라는 지난 6일(현지 시각) 원본 고객 영상을 유출해 직원들끼리 돌려봤던 일이 집단 소송을 당한 상태인데, 거액의 손해배상금을 지급할 것으로 전망된다.

EU 역시도 ‘전면 금지’는 없다. 과거 안면 데이터 활용을 전면 금지하는 방안이 추진되기도 했지만, 기술 효용성을 따져야 한다는 산업계 의견이 적극 수용됐다. 이런 결정을 내리기까진 수많은 법안과 가이드라인 정비가 있었다. 2018년부터 시행된 일반개인정보보호법(GDPR)을 기반으로, 자동차 업계가 참여한 ‘개인정보 보호 원칙’, EU 네트워크 및 정보보안청의 스마트 자동차의 사이버 보안 가이던스(ENISA 가이던스)’ 2021년 ‘AI 규제 가이드라인’ 등 다양한 발표가 있었다.

공통적으로 최소한의 개인정보를 수집하고 데이터 보호를 위한 합리적 조치를 수립할 것, 수집 정보를 필요 이상 보관하지 말 것을 원칙으로 내세운다. 별도 마련된 ‘안면인식 기술 이용 가이드라인’도 이와 유사하다. 드론의 경우 초기 단계부터 프라이버시 보호를 위한 적합한 수단을 채택할 것, 적합한 보호를 보장하기 위한 기술 및 관리적 조처를 할 것이라고 언급됐다.

중국은 2021년까지 개인정보를 규율하는 포괄 법률이 없었다. 공공 부문에서 예산이 투입돼 안면인식 데이터 활용을 장려할 정도였다. 기술력은 세계 최고 수준을 확보했지만, 자국 내에서도 논란이 따랐다. 현재는 불법 취득 개인정보에 7년 이하 징역형을 내리는 수준의 규정이 세워진 상태다.

이시은 기자 see@hankyung.com