오픈AI·구글 등 6개 사업자에 '개인정보보호 취약점' 보완 개선 권고
개인정보위 "AI 사업자, 학습데이터 상 주민번호 사전제거 부족"
오픈AI·구글 등 6개 사업자가 인공지능(AI) 모델 학습데이터에서 주민등록번호 등 주요 식별정보를 사전 제거하는 조치를 충분하게 하지 않은 것으로 확인돼 개인정보보호위원회가 개선을 권고했다.

개인정보보호위원회는 27일 제6회 전체회의를 열고 대규모 언어 모델(Large Language Model·LLM)을 개발·배포하거나 이를 기반으로 인공지능(AI) 서비스를 제공하는 6개 사업자에 개인정보 보호의 취약점을 보완하도록 개선 권고할 것을 의결했다고 28일 밝혔다.

개인정보위가 각 기업의 AI 단계별 개인정보 보호의 취약점을 점검한 결과 개인정보 처리방침 공개, 데이터 전처리, 정보주체의 통제권 보장 등 보호법상 기본적 요건은 대체로 충족했으나, 세부적으로는 부족했던 것을 파악됐다.

개인정보위 "AI 사업자, 학습데이터 상 주민번호 사전제거 부족"
먼저 AI 서비스 제공사업자가 인터넷에 공개된 데이터를 수집해 AI 모델 학습데이터로 사용할 시 주민등록번호, 신용카드번호 등 한국 정보주체의 중요한 개인정보가 포함될 수 있는 것으로 분석됐다.

지난해 기준 20만999개 페이지에서 주민번호, 여권번호 등 개인정보 노출이 탐지됐다.

기업들은 개인정보 집적 사이트를 AI 모델 학습에서 배제하는 등의 조치를 하고 있으나, 학습데이터에서 주민등록번호 등 주요 식별정보를 사전 제거하는 조치가 충분하지 않은 것으로 확인됐다.

이에 개인정보위는 AI 서비스 제공 단계별 보호조치 강화를 요구하는 한편 최소한 사전 학습 단계에서 주요 개인식별정보 등이 제거될 수 있도록, 인터넷에 우리 국민의 개인정보가 노출된 것을 탐지한 데이터(URL)를 기업에 제공할 계획이다.

아울러 해당 기업들은 AI 모델이 정확한 답변을 하도록 다수의 검토 인력을 투입해 이용자 질문 및 이에 대한 AI 모델의 답변 내용을 직접 열람해 수정하는 방법으로 데이터 세트를 만들고, 이를 서비스 개선에 활용하고 있는 것으로 확인됐다.

그러나 이용자 관점에서는 본인이 입력한 데이터가 '인적 검토'되는 과정 자체를 알기 어렵기 때문에 중요 개인정보 및 이메일 등 민감한 내용을 입력하거나 기업에서 개인정보 제거 등 조치 없이 해당 정보를 데이터베이스화할 경우 사생활 침해로 이어질 위험이 있다.

이에 개인정보위는 AI 모델 등을 개선할 목적으로 이용자 입력 데이터에 대한 인적 검토과정을 거치는 경우 이용자에게 관련 사실을 명확하게 고지하는 한편 이용자가 입력 데이터를 손쉽게 제거 및 삭제할 수 있도록 해당 기능에 대한 접근성을 제고하도록 권고했다.

LLM이 복제 모델 또는 오픈 소스 형태로 배포되는 경우 LLM에 취약점이 발견돼도 후속 조치가 즉시 이뤄지기 어려운 사례도 확인됐다.

아울러 동일 LLM 기반의 AI 서비스라도 사업자에 따라 개인정보 및 아동·민감정보에 대한 답변 등 침해 예방 조치의 정도도 달랐다.

개인정보위는 AI 서비스와 관련된 내용을 종합해 개인정보 처리방침 등에 더 구체적으로 안내하고, 부적절한 답변에 대한 신고 기능을 반드시 포함하라고 권고했다.

AI 서비스 및 LLM의 취약점을 발견할 시 신속히 조치할 수 있는 프로세스도 갖추라고 강조했다.

AI 서비스를 만 14세 미만 연령 확인 절차 없이 운영하는 사례도 발견됐으나, 이번 점검 과정에서 모두 개선됐다.

개인정보위는 진행 중인 AI 서비스에 대한 사전 실태점검을 조속히 마무리하고, 새로운 AI 기술·산업 변화에 맞춰 정보 주체의 개인정보를 안전하게 보호할 수 있도록 지속적인 모니터링할 예정이다.

이와 함께 AI 관련 6대 가이드라인 등의 정책 방향을 마련하고 개인정보 강화 기술을) 개발해 보급하는 등 후속 조치도 차질 없이 추진할 계획이다.

/연합뉴스