AI 생애주기별 개인정보 처리기준 첫 공개
개인정보위, ‘생성형 AI 개발·활용을 위한 개인정보 처리 안내서‘ 마련
생성형 AI 넘어 에이전트 AI 시대의 프라이버시 대비해야
생성형 인공지능(AI) 기술이 단순한 챗봇을 넘어 스스로 일을 처리하는 AI 에이전트까지 빠르게 발전하는 가운데, 개인정보 처리와 관련된 불확실성도 커지고 있다.
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 이를 해소하기 위해 ‘생성형 AI 개발·활용을 위한 개인정보 처리 안내서’를 마련하고, 6일 서울 중구 정동에서 ‘생성형 AI 프라이버시 오픈 세미나‘를 열었다.
이날 세미나에서는 개인정보 보호와 AI 기술 혁신의 균형을 어떻게 잡을 것인지에 대한 다양한 논의가 이뤄졌다.
고학수 위원장, ”글로벌 AI 경쟁속 프라이버시 가드레일 세워야”
고학수 개인정보위 위원장은 “AI 고속도로 위에 제도적 가드레일을 세우는 것이 우리의 역할”이라며, “국내 논의가 국제사회에서 주목받고 있는 만큼, 글로벌 AI 경쟁 속에서 혁신과 신뢰를 함께 확보해야 한다”고 강조했다.
이어 고 위원장은 “AI 발전의 핵심은 데이터”라며 “의료, 금융, 통신 등에서 생성되는 양질의 데이터를 어떻게 AI에 활용할 수 있을지, 동시에 프라이버시를 어떻게 보호할지에 대한 제도적 고민이 필요하다”고 말했다. 그는 최근 G7 개인정보 감독기구 회의와 파리 AI 서밋 등에서 한국이 논의를 주도하고 있다고도 언급했다.
이러한 논의 속에서 개인정보위는 AI 기업들이 실질적으로 따를 수 있는 기준을 제시하고자 가이드라인을 마련했다. 이날 공개된 ‘생성형 AI 개발·활용을 위한 개인정보 처리 안내서’는 AI가 개발되는 초기부터 실제 운영까지, 각 단계에서 개인정보를 어떻게 다뤄야 할지를 체계적으로 설명한 문서다.
개인정보위가 공개한 안내서는 생성형 AI의 개발과 활용 과정에서 개인정보가 어떻게 처리돼야 하는지를 전 주기에 걸쳐 설명한 문서다. ▲목적 설정 ▲전략 수립 ▲AI 학습·개발 ▲시스템 적용·관리까지 4단계로 구성됐으며, 각 단계에서 고려해야 할 사항이 구체적으로 제시됐다.
먼저 ‘목적 설정’ 단계에서는 AI 서비스가 처리할 개인정보의 범위와 사용 목적을 명확히 규정해야 한다. 개인정보위는 실제 사례로 AI 디지털교과서 서비스에서 수집한 학습 이력 데이터가 어떤 목적에 쓰이는지 불분명했던 점을 들며, 수집 항목과 목적을 명시하도록 시정했다고 말했다.
이어 ‘전략 수립’ 단계에서는 AI 개발 방식(서비스형 대규모언어모델[LLM]·기성 LLM·자체 개발 LLM)에 따라 개인정보 보호 전략이 달라져야 한다. 특히 외부 API를 사용하는 경우, 이용자의 입력값이 해외 서버로 전송될 수 있어 라이선스 계약이나 약관을 통해 안전성을 확보해야 한다고 권고했다. 실제로 한 의료기관이 환자 상담 대화를 AI로 요약하는 서비스에 엔터프라이즈 API를 활용한 사례가 언급됐다.
‘AI 학습·개발’ 단계에서는 데이터를 학습에 활용하기 전 출처와 적법성을 따져야 하며, 전처리나 가명처리, 익명처리 같은 개인정보 보호 강화기술(PET)을 적극적으로 활용할 것을 제안했다. 예컨대 사용자 프롬프트 데이터를 모델 학습에 활용하려는 경우 ▲LLM 성능 개선과의 관련성 ▲이용자의 예측 가능성 ▲옵트아웃 기회의 제공 여부 등을 종합적으로 고려해 적법성을 판단할 수 있다는 실제 사례도 소개됐다.
마지막으로 ‘시스템 적용·관리’ 단계에서는 배포 전 위협사 점검과 테스트, 배포 후 개인정보 처리방침의 투명한 공개와 옵트아웃 기능 제공 등을 통해 신뢰를 확보할 수 있다.
이외에도 개인정보위는 기본적으로 기업 내부의 AI 프라이버시 거버넌스 체계 구축, 최고개인정보보호책임자(CPO)의 초기 기획 단계 참여, 내부 감사 로그 관리 등이 장기적으로 필요하다고 덧붙였다.
KT·스캐터랩·엘박스, 산업별 ‘프라이버시 기반 기술 혁신’ 사례 발표
이날 기업 발표자로는 스캐터랩, 엘박스, KT가 나섰다. 발표에서는 각 기업들이 프라이버시 문제를 단순히 규제가 아닌 기술 혁신의 동력으로 활용하고 있다는 점이 강조됐다.
하주영 스캐터랩 변호사는 “2021년 개인정보 이슈로 이루다 1.0이 중단된 이후, 전사적으로 비정형 데이터의 가명처리 기술 개발에 집중했다”며 “이후 생성형 AI 방식으로 전환하면서 제타(ZETA) 서비스까지 확장했지만, 지금까지 단 한 건의 프라이버시 사고도 없었다”고 밝혔다. 그는 이를 ‘프라이버시 드리븐 이노베이션’이라고 명하며, “프라이버시가 산업 경쟁력을 좌우할 수 있는 시대”라고 강조했다.
이어, 법률 분야에서의 사례도 소개됐다. 법률처럼 고정밀 AI가 요구되는 영역에서는 AI 환각(hallucination)을 줄이기 위해 신뢰도 높은 데이터와 개인정보 보호 기술이 중요해지고 있다.
리걸테크 기업 엘박스의 이진 대표는 “LLM은 이제 단일 모델이 아닌 멀티 LLM, 멀티 에이전트 전략으로 진화하고 있다”며 “이용자 참여형 서비스가 많아지는 만큼 개인정보 익명화 기술의 중요성이 더욱 커지고 있다”고 설명했다. 실제로 최근 엘박스는 대법원의 재판지원 AI 사업을 수주한 데 이어, 공공기관과 민간 기업에서 판결문 데이터 익명화 요청도 받았다.
AI가 사회적 위협에 대응하는 사례로 보이스피싱 방지 기술도 소개됐다. 안태진 KT 네트워크AI연구담당 팀장은 ”고객의 통화 내용을 분석해 피싱 가능성을 탐지하는 과정에서 개인정보위와 긴밀히 협력했다”고 설명했다. 그는 “통화 전, 중, 후 단계별로 통화 데이터를 가시화해 AI로 분석한 후, 실시간으로 대응이 가능한 보이스피싱 예방 시스템을 개발하고 있으며, 통신 데이터 활용에 대한 사전 적정성 검토를 통해 개인정보를 안전하게 처리하고 있다”고 덧붙였다.
AI 에이전트 시대, 프라이버시 감수성 중요
이어진 패널토론에서는 생성형 AI가 가져올 프라이버시 위협의 구체적 양상과, 제도와 기술이 어떤 방식으로 대응해야 하는지에 대한 의견이 오갔다. 패널들은 특히 ‘AI 에이전트’처럼 자율성이 높은 시스템에서 정보 주체의 권리 보장 방식이 달라질 수밖에 없다는 데 의견을 모았다.
김도엽 김앤장 변호사는 “AI 에이전트처럼 스스로 판단하고 실행하는 AI에서는 이용자가 자기 정보를 통제할 수 있는지 여부가 핵심 쟁점이 될 것”이라고 지적하며, 기존 법률 체계의 적용 방식에 대한 재검토가 필요하다고 강조했다.
정지연 한국소비자연맹 사무총장은 “AI 활용에 대한 우려가 높지만 동시에 혁신에 대한 기대도 크다”며 “정보 수집의 목적과 방식에 대해 소비자 신뢰를 얻는 것이 중요하다”고 말했다. 이어 “딥페이크, 불법 촬영물 유포 등 프라이버시 침해 우려가 사회 전반으로 확산되고 있다. AI 규제는 기술보다 신뢰에 기반을 둬야 한다”고 덧붙였다.
최경진 가천대 교수는 “AI를 기반으로 데이터가 빠르게 결합되는 시대에는 AI 문해력, 즉 프라이버시에 대한 감수성을 높이는 교육이 필요하다”며 “기술 못지않게 교육, 문화적 접근이 중요하다”고 강조했다.
양청삼 개인정보위 개인정보정책국장은 패널들의 의견을 종합하며, AI 생태계에서의 개인정보 처리가 단일 포인트가 아닌 ‘학습·적용·출력’ 전 과정에 얽혀 있다는 점을 강조했다. 그는 “이제는 개발 단계에서 프라이버시 위가 발생할 수 있는 구조로 바뀌고 있다”며 “내년에는 예산을 투입해 AI 프라이버시 위협 평가 방법론을 개발하고, 실증 프로젝트도 추진할 계획”이라고 말했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
