[이슈칼럼] 인간중심 관점에서 바라본 생성형 AI 시대의 개인정보보호

놀라운 AI의 발전, 하지만 인간 기본권에 대한 도전 등 새로운 문제도 대두
설명 가능한 AI와 차등 프라이버시 등 새로운 방법 찾아야

[보안뉴스= 유도진 극동대학교 교수] 오늘날 생성형 인공지능(AI)의 발전은 놀라움의 연속이다. 학습한 데이터를 기반으로 그와 유사한 새로운 데이터를 생성하는 생성형 AI는 음악, 그림, 사진, 문장 등 다양한 형태의 콘텐츠를 생성하는 데 사용되며, 그 활용 범위는 단순 광고나 잡담을 넘어 사람들의 생활, 관계, 직업 등을 광범위하게 변화시키고 있다.

이처럼 사회 전반의 많은 부분이 생성형 AI에 의존하고 있는 현 시점에서, 기술 발전에 대한 환호와 동시에 개인정보보호의 필요성 또한 점증하고 있는데, 이는 AI가 단순 문답 기능에서 벗어나 정교한 창작의 영역으로 진입하면서 딥페이크(Deepfake) 등 인간 기본권에 대한 도전 등 새로운 문제가 대두되고 있기 때문이다. 이 외에도 지식재산권(Intellectual Property Rights) 분쟁 등 다양한 부분에서 AI 관련 갈등이 발생하고 있으므로 AI 시스템이 정보주체의 자기결정권을 존중하고 개인정보를 보호하는 것은 인간중심의 IT 관점에서 절대적 의무가 되어야 한다.

[이미지=gettyimagesbank]

이에 따라 AI 개발자와 서비스 플랫폼 제공 기업들은 기본권 침해에 대한 경각심과 책임감을 가지고, AI 기술 사용자의 기본권을 보호 및 존중하는 것을 최우선적으로 고려해야 하며, 규제당국은 사용자의 권리를 보호하기 위해 적절한 조치를 취해야 한다.

이를 위한 정책적 방법으로는 원칙기반 접근과 리스크 기반 접근이 강조되어야 한다. 특히, 리스크 기반 접근을 위해 다음과 같은 리스크 평가 기준을 마련해야 하는데, 영향평가 등 높은 리스크를 가진 AI 시스템은 데이터 거버넌스, 투명성, 통제성, 정확성, 견고성, 보안성 등의 요건들을 갖춰야 하며, 이를 담보하기 위해 리스크 관리 시스템, 기술문서, 기록보존 등 프로세스를 마련해야 한다.

데이터 거버넌스는 AI 시스템이 사용하는 데이터의 출처, 수집방법, 처리방법, 보관방법 등을 명확하게 기록하고 관리하는 것을 의미한다. 투명성은 AI의 결정 과정이 어떻게 이루어지는지, 어떤 변수가 결정에 영향을 미치는지 등을 명확하게 설명할 수 있어야 한다는 원칙이다. 통제성은 AI의 동작을 적절하게 통제하고, 필요한 경우 수정하거나 중단할 수 있는 메커니즘이 있어야 함을 의미한다. 정확성과 견고성은 AI가 제공하는 결과나 서비스가 정확하고, 일관된 성능을 보여야 하며, 다양한 상황에서도 안정적으로 작동해야 함을 의미한다. 보안성은 AI 시스템과 그 데이터가 외부 공격으로부터 안전하게 보호되어야 함을 의미한다. 이러한 요건들을 담보하기 위해 리스크 관리 시스템을 구축하고 기술문서를 작성하는 등의 과정을 통해 기록을 보존하고 추적·검증하는 프로세스를 마련해야 한다

또한, AI 규제에 있어서는 IT 분야 뿐만 아니라, 인권, 공정경쟁, 금융, 국방 및 치안 등 각 유관기관 간의 협력이 필요하며, 이를 조정하는 정부 개인정보 컨트롤타워의 역할이 중요하다. 이와 같은 협력을 통해 규제당국은 AI 갈등 관련 가이드라인 제정 등의 행정조치 역량 및 조사 능력을 확보하고 민간기업이나 입법부 및 타 기관에 규제 관련 자문을 제공하며, 이를 통해 AI가 야기하는 분쟁에 대비할 수 있다. 더 나아가 이러한 논의가 국제적으로 계속 이어질 수 있도록, 국제 다자회의를 정기적으로 개최해야 한다. AI가 정보주체의 기본권을 침해하는 문제에 협력으로 대응하는 시작하는 시스템을 구축해야 하며, 만약 새로운 회의체를 구성하는 것이 어렵다면, 기존의 서울안보대화(SSD) 및 아세안국방장관확대회의(ADMM-PLUS) 등과 같은 다자 안보회의 분과 주제로 포함하는 방법도 고려해볼 수 있을 것이다. 중요한 것은 이러한 AI 관련 갈등의 해결을 위해 방법에 얽매이지 않고 조속히 정보를 공유해야 한다는 것이다.

OECD의 AI 및 데이터 거버넌스 작업반이 이러한 협력의 중요한 예시로 제시될 수 있다. 여기서는 인권, 인간 중심, 투명성, 안전성, 책임성 등을 중심으로 한 원칙을 통해 개인정보보호를 위한 AI 기술의 안전한 사용을 지향하고 있다. 이러한 원칙들은 AI 학습 데이터의 종류와 출처 등을 투명하게 공개하는 데 중요하며, AI 설계 단계에서부터 개인정보보호를 위한 원칙을 철저히 적용해야 한다는 것을 강조한다.

이와 같이 기본권을 중심으로 한 인간중심의 접근 방식은 EU AI 법안에서도 찾아볼 수 있다. 이 법안은 AI에 대한 통제, 인간의 감시 및 책임성, 데이터 거버넌스에 대한 포괄적인 접근 방식을 제공하며, 앞서 설명한 고위험 AI에 대한 분명한 대응조치를 명시하고 있다. 특히, 우리가 유심히 바라봐야 할 부분은 이 법안이 사용자에게 AI 시스템에 의한 결정에 이의를 제기할 수 있는 권리를 명확하게 보장하고 있다는 점이다.

한편, 기술적 방법으로는 ‘차등 프라이버시(Differential Privacy)’가 AI에 의한 개인정보보호 이슈를 해결하기 위한 기술적 방법 중 하나로서 주목받고 있다. 이 기술은 개인정보보호를 위한 통계적 방법론 중 하나로, 개인 데이터를 사용하여 통계적 분석을 수행할 때 개인의 정보를 보호하는 방법이다. 이 방법은 데이터 집합에 개별 데이터 포인트의 추가 또는 제거가 결과에 미치는 영향을 제한함으로써 개인 데이터를 사용해 얻은 통계적 결과는 개별 개인의 정보를 노출시키지 않으면서도 유용한 정보를 제공하는 등 정보주체의 권리를 보장하는데 기여한다. 이 기술은 구글, 애플 등의 기업에서 사용자 데이터를 수집하고 분석하는 데 이미 사용되고 있지만, 특히 국내에서 이 기술을 AI 반도체 개발에 적용한 성공사례가 있으며, 이는 차등 프라이버시 기술이 생성형 AI에서도 활용될 수 있음을 시사하므로 주목할 필요가 충분하다.

▲유도진 극동대학교 해킹보안학과 교수[사진=유도진 교수]

그러나, 이런 노력들이 효과를 발휘하기 위해서는, 결국 AI 관련 산업에서의 투명성이 필수적으로 요구된다. AI 기업 및 개발자들은 데이터의 출처와 그 처리방법을 명확하게 공개하고, AI의 동작 원리에 대해서 사람이 쉽게 이해할 수 있도록 하는 ‘설명 가능한 AI’를 추구해야 한다. ‘설명 가능한 AI’는 이러한 ‘블랙박스’ 문제를 해결하는 데 중요한 역할을 한다. ‘블랙 박스’ 문제는 AI가 어떻게 특정 결정을 내렸는지를 이해하거나 설명하기 어렵다는 문제를 의미하므로, 설명 가능한 AI는 이러한 문제를 해결하고, AI의 결정 과정에 대한 투명성을 제공하여 신뢰성을 높이고, 잠재적인 편향을 감지하고 수정하는 데 기여한다. 즉, AI의 결정 과정과 그 원리를 이해하고 설명할 수 있는 AI를 의미하며, 이는 AI의 투명성을 높이는데 중요한 역할을 한다.

생성형 AI의 발전과 개인정보보호 사이의 균형을 맞추는 것은 쉽지 않을 수 있다. 그러나 인간 중심의 원칙에 기반을 두고, 정보주체의 자기결정권을 존중하며, 투명성을 높이는 방향으로 개발이 진행된다면, 우리는 AI의 혁신적인 가능성을 극대화하면서도 사용자의 데이터 프라이버시 등 정보인권을 보호할 수 있는 미래를 구축할 수 있을 것으로 기대된다.
[글_ 유도진 극동대학교 해킹보안학과 교수(dhy8906@naver.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)