SKT·네이버, 뭐 했길래…개인정보 실태점검서 '시정·개선' 권고

개인정보위, AI 서비스 실태점검
에이닷, 개인정보시스템 접속기록無
스노우, 외부 SDK 안전성 검토 부족
SK텔레콤 인공지능(AI) 개인비서 '에이닷'으로 통화 녹음·요약 서비스를 이용하는 모습. 사진=SK텔레콤 제공
SK텔레콤이 인공지능(AI) 개인비서 '에이닷' 이용자 개인정보 관리 과정에서 미흡한 대목이 나와 개인정보보호위원회로부터 시정권고 조치를 받았다. 생성형 AI를 활용해 'AI 프로필' 등의 이미지를 생성하는 네이버 스노우 서비스에 대해서도 개선권고가 이뤄졌다.

13일 개인정보위에 따르면 전날 제10회 전체회의에선 에이닷 등 AI 응용서비스를 제공하는 기업을 대상으로 한 사전 실태점검 결과가 심의·의결됐다.개인정보위는 지난해 11월부터 거대언어모델(LLM) 사업자와 AI 응용서비스 제공사업자에 대한 사전 실태점검을 진행해 왔다.

개인정보위는 에이닷의 통화 녹음·요약, 실시간 통역 서비스를 들여다 봤다. 점검 결과 통화 녹음·요약 서비스 제공을 위해 텍스트 파일을 보관하는 시스템 등에 접속기록이 보관되지 않은 것으로 드러났다.

개인정보보호법은 개인정보가 분실·도난·유출·위조·변조·훼손되지 않도록 개인정보처리자가 접속기록을 보관해야 한다고 규정하고 있다. 에이닷 통화 녹음·요약 서비스는 이용자 기기에서 녹음이 이뤄지면 이를 SK텔레콤 서버로 옮겨 텍스트로 변환한다. 이를 마이크로소프트(MS) 클라우드를 통해 챗GPT로 요약한 다음 이용자 기기에 전달하는 구조다.

그러나 SK텔레콤은 텍스트 파일을 보관하는 개인정보시스템을 드나드는 접속기록을 남기지 않았다. 이에 개인정보위는 접속기록 보관·점검 등 법상 안전조치 의무를 준수하도록 시정권고에 나선 것.

강대현 개인정보위 조사1과장은 이날 브리핑에서 "접속기록은 개인정보처리시스템에 무단으로 누가 접속하는 것들을 방지하기 위해 접속기록을 1년 이상 보관하게 돼 있고 접속기록 여부에 대해 월 1회 이상 점검하도록 돼 있다"며 "시정권고 조치를 수용하지 않으면 정식 조사로 전환돼 안전조치 위반에 대한 법적 제재 조치가 부과될 수는 있다"고 설명했다. 다만, SK텔레콤은 전날 개인정보위에 출석해 시정권고 내용을 수용하고 조치를 취했다는 의사를 밝혔다.

스노우에 대해선 개선권고가 이뤄졌다. 개선권고의 경우 법 위반이 발생하진 않았지만 개인정보나 정보주체를 보호하기 위해 관행·행태를 개선할 필요가 있을 때 취해지는 조치다. 권고적 성격인 만큼 사업자가 이를 따를 필요는 없다.

스노우는 이미지를 서버로 전송해 사용·처리하면서 이용자가 처리방침을 알기 어려운 형태로 공개하고 있다. 이미지 필터링 등을 위한 외부 개발도구(SDK)의 안전성을 충실하게 검토하지 않은 사실도 확인됐다. 개인정보위는 개인정보를 서버로 전송해 처리할 경우 이용자가 이를 쉽게 알 수 있도록 개선할 것을 권고했다. 또 외부 SDK를 사용해 개인정보를 처리·전송할 땐 의도하지 않은 처리·전송 가능성이 발생하지 않도록 점검하는 방안을 제안했다.

개인정보위는 "AI를 도입하는 산업과 서비스가 확대되는 상황에서 개인정보 처리 과정의 취약점을 미리 점검하고 개선을 유도했다는 데 의의가 있다"며 "AI 응용서비스에 대한 지속적인 모니터링을 실시하고 AI 시대의 개인정보 보호 대책·안전한 개인정보 활용 방안을 마련할 계획"이라고 했다.

김대영 한경닷컴 기자 kdy@hankyung.com