‘이루다’ 개발사 과징금 등 1억원…AI 기업 무단 개인정보 처리 첫 제재

By이유지

인공지능(AI) 챗봇 서비스 ‘이루다’의 개발사인 스캐터랩에 개인정보 무단 사용 등으로 과징금과 과태료 1억330만원이 부과됐다. AI 기술 기업의 무분별한 개인정보 처리를 제재한 첫 사례다.

개인정보보호위원회(위원장 윤종인)는 28일 전체회의를 열고 스캐터랩의 개인정보보호법 위반행위에 대해 과징금 5550만원과 과태료 4780만원 등 총 1억330만원을 부과하고 시정조치를 명령했다고 밝혔다.

개인정보위는 지난 1월 ‘이루다’ 논란이 불거지자 조사에 착수하고, AI 개발과 서비스 제공 과정에서의 개인정보 처리현황과 법리적·기술적 쟁점에 대해 산업계, 법·학계, 시민단체 의견을 수렴하며 논의과정을 거쳤다.

조사 결과 스캐터랩은 개인정보 처리 과정에서 개인정보보호법상 총 8건을 위반한 것으로 드러났다. 앱 서비스 ‘텍스트앳’과 ‘연애의과학’ 관련해 5건, ‘이루다’ 관련 2건, ‘깃허브(Github)’ 관련 1건이다.

스캐터랩은 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 카카오톡 대화를 2020년 2월부터 2021년 1월까지 페이스북 이용자 대상의 챗봇 서비스인 ‘이루다’의 AI 개발과 운영에 이용한 것으로 확인됐다. 이 과정에서 카카오톡 대화에 포함된 이름·휴대전화번호·주소 등 개인정보를 삭제하거나 암호화하는 조치를 취하지 않았고, 이용자 약 60만명의 카카오톡 대화문장 94억여건을 이용했다.

‘이루다’ 서비스 운영 과정에서는 20대 여성의 카카오톡 대화문장 약 1억 건을 응답 데이터베이스(DB)로 구축하고, ‘이루다’가 이 중 한 문장을 선택해 발화할 수 있도록 했다.

스캐터랩은 ‘신규 서비스 개발’이라는 데이터 수집 목적에 이루다가 해당된다고 주장했지만 받아들여지지 않았다.

개인정보위는 ’이루다‘ 서비스 개발과 운영에 이용자의 카카오톡 대화를 이용한 것에 대해, ’텍스트앳‘과 ’연애의 과학‘ 개인정보처리방침에 ‘신규 서비스 개발’을 포함시키는 것만으로는 이용자가 이루다 등 신규 서비스 개발 목적의 이용에 동의했다고 보기 어렵다”고 지적했다. 또 ’신규 서비스 개발‘이라는 기재만으로 이용자가 ’이루다‘ 개발과 운영에 카카오톡 대화가 이용될 것에 대해 예상하기도 어렵다고 봤다. 아울러 이용자의 개인정보 자기결정권이 제한되는 등 이용자가 예측할 수 없는 손해를 입을 우려가 있다는 이유로 스캐터랩이 이용자의 개인정보를 수집한 목적을 벗어나 이용한 것이라는 판단을 내렸다.

또 스캐터랩이 개발자들의 개발자들의 코드 공유`협업 사이트로 알려진 깃허브에 2019년 10월부터 2021년 1월까지 이름 22건, 지명정보(구·동 단위) 34건, 성별, 대화 상대방과의 관계 등이 포함된 카카오톡 대화문장 1431건과 AI모델을 게시한 것을 개인정보보호법 위반으로 판단했다. 가명정보를 불특정 다수에게 제공해 ‘특정 개인을 알아보기 위해 사용될 수 있는 정보’를 포함해 개인정보보호법(제28조의2제2항)을 위반했다는 것이다.

개인정보위는 조사 과정에서 정보주체가 명확히 인지할 수 있도록 알리고 동의를 받지 않은 사실 등 추가 위반사실도 확인했다.

이번 제재로 개인정보위는 기업이 특정 서비스를 목적으로 수집한 개인정보를 이용자의 명시적 동의 없이 다른 서비스를 위해 이용하는 것을 제한, AI 개발과 서비스 제공시 올바른 개인정보 처리 방향을 제시하는 사례가 될 것이라고 내다봤다.

앞으로 개인정보위는 AI 기술 기업이 스스로 개인정보 보호 역량을 높일 수 있도록 AI 개발자나 운영자가 현장에서 활용 가능한 ‘AI 서비스의 개인정보보호 자율점검표’를 발표하고 현장 컨설팅을 지원하는 등 AI 기술 기업이 국민의 개인정보를 보호하면서 AI·데이터 기반 산업을 발전시킬 수 있도록 적극 지원해 나갈 계획을 밝혔다.

윤종인 개인정보위 위원장은 “’이루다‘ 사건은 전문가들조차 의견이 일치되지 않아 그 어느 때보다도 격렬한 논쟁이 있었고, 매우 신중한 검토를 거쳐 결정됐다”라면서 “이번 사건은 기업이 특정 서비스에서 수집한 정보를 다른 서비스에 무분별하게 이용하는 것이 허용되지 않고, 개인정보 처리에 대하여 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 것을 분명히 하였다는 점에 의미가 있다”고 말했다.

윤 위원장은 이어, “이번 처분 결과가 AI 기술 기업이 개인정보를 이용할 때에 올바른 개인정보 처리 방향을 제시하는 길잡이가 되고, 기업이 스스로 관리·감독을 강화해 나가는 계기가 되기를 바란다”고 덧붙였다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다