보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

개인정보위, AI 서비스 사전 실태점검 결과... LLM 사업자 대상 개인정보 보호 취약점 개선 권고

입력 : 2024-03-28 15:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
공개 데이터 학습 시 중요 개인 식별정보 제거 및 개인정보 침해 최소화 노력 강화
개인정보 처리방침 구체화 및 취약점 발견 시 신속 대응


[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 27일 제6회 전체회의를 열고, 대규모 언어 모델(Large Language Model, 이하 LLM)을 개발·배포하거나 이를 기반으로 AI 서비스를 제공하는 6개 사업자에 대해 개인정보 보호의 취약점을 보완하도록 개선권고를 의결했다.

▲사전 실태점검 결과에 대한 개선권고 사항 요약[이미지=개인정보보호위원회]


개인정보위는 초거대·생성형 AI 서비스의 급속 확산으로 프라이버시 침해 우려가 증대됨에 따라, 국민 불안 조기 해소와 안전한 서비스 활성화를 위해 지난해 11월부터 한국인터넷진흥원(원장 이상중, 이하 KISA)과 함께 주요 AI 서비스를 대상으로 사전 실태점검을 진행했다.

이에 따라 AI 단계별 개인정보 보호 취약점 점검 결과, 전반적으로 △개인정보 처리방침 공개 △데이터 전처리 △정보주체의 통제권 보장 등 보호법상 기본적 요건들은 대체로 충족한 것으로 나타났다. 다만, 세부적으로 △공개된 데이터에 포함된 개인정보 처리 △이용자 입력 데이터 등의 처리 △개인정보 침해 예방·대응 조치 및 투명성 등과 관련해 일부 미흡한 사항이 발견돼 개인정보위는 개선조치를 다음과 같이 권고했다.

공개된 데이터에 포함된 개인정보의 처리 관련
AI 서비스 제공사업자는 인터넷에 공개된 데이터를 수집해 AI 모델 학습데이터로 사용하는데, 이 과정에서 주민등록번호·신용카드번호 등 국내 정보주체의 중요한 개인정보가 포함될 수 있는 것으로 밝혀졌다.

이와 관련해 오픈AI·구글·메타는 개인정보 집적 사이트를 AI 모델 학습에서 배제하고, 학습데이터 내 중복 및 유해 콘텐츠 제거조치와 AI 모델이 개인정보를 답변하지 않도록 하는 조치는 적용하고 있다. 하지만 학습데이터에서 주민등록번호 등 주요 식별정보를 사전 제거하는 조치가 충분하지 않은 것으로 확인됐다.

이에 대해 개인정보위는 AI 서비스 제공 단계별 보호조치 강화를 요구하는 한편, 최소한 사전 학습단계(pre-training)에서 주요 개인식별정보 등이 미리 제거될 수 있도록 인터넷에 우리 국민의 개인정보가 노출된 것을 탐지한 데이터(URL)를 AI 서비스 제공사업자에게 제공할 계획이다.

이용자 입력 데이터 등의 처리 관련
LLM 기반 AI 서비스 제공사업자는 AI 모델이 정확한 답변을 하도록 다수의 검토 인력을 투입해 이용자 질문 및 이에 대한 AI 모델의 답변 내용을 직접 열람·검토해 수정하는 방법으로 데이터셋을 만들고 있으며, 이를 AI 모델 학습 및 프롬프트 등 서비스 개선에 활용하고 있는 것으로 확인됐다.

그러나 이용자 관점에서는 본인이 입력한 데이터를 검토 인력이 투입되는 ‘인적 검토(processed by human reviewer)’ 과정 자체를 알기 어렵고, 중요 개인정보·이메일 등 민감한 내용을 입력하거나, AI 서비스 제공자가 식별자 및 개인정보 제거 등 조치 없이 해당 정보를 DB화할 경우 사생활 침해로 이어질 위험이 있다.

개인정보위는 AI 모델 등 개선 목적으로 이용자 입력 데이터에 대한 인적 검토과정을 거치는 경우 이용자에게 관련 사실을 명확하게 고지하는 한편, 이용자가 입력 데이터를 손쉽게 제거·삭제할 수 있도록 해당 기능에 대한 접근성을 제고하도록 권고했다.

개인정보 침해 예방·대응 조치 포함 서비스 전반 관련
AI 서비스는 종전의 서비스와 처리하는 △개인정보의 항목 △처리 방법 및 목적 △보유 및 이용 기간 등에 있어 현격한 차이가 존재한다. 또한 LLM 복제 모델 또는 오픈 소스 형태로 배포되는 경우 LLM에 취약점이 발견돼도 후속 조치가 즉시 개선되기 어려운 사례들이 확인됐다. 아울러 동일 LLM 기반 AI 서비스라도 사업자에 따라 개인정보 및 아동·민감정보에 대한 답변 등 침해 예방 조치 정도가 다른 것으로 확인됐다.

개인정보위는 AI 서비스와 관련된 내용을 종합해 개인정보 처리방침 등에 보다 구체적으로 안내하고 부적절한 답변에 대한 신고 기능을 반드시 포함시키는 것은 물론, AI 서비스 및 LLM 취약점 발견 시 신속하게 조치할 수 있는 프로세스도 갖추도록 개선권고 했다. 참고로 AI 서비스를 만 14세 미만 연령 확인절차 없이 운영하는 사례도 발견됐으나, 이번 점검 과정에서 모두 개선됐다.

이번 AI 점검은 ‘개인정보 보호법’ 개정으로 개인정보 보호의 취약점을 선제적으로 해소하기 위해 도입된 사전 실태점검 제도를 민간 부분에 처음으로 적용한 사례로, 급변하는 AI 기술변화에 맞춰 초기 단계인 AI 산업의 활성화를 고려하면서도 개인정보 보호를 위해 개선이 시급한 취약점을 확인·보완하도록 유도했다는 데 의의가 있다.

개인정보위는 진행 중인 AI 서비스에 대한 사전 실태점검을 조속히 마무리하고, 향후 AI 모델의 고도화와 오픈 소스 모델 확산 등 새로운 AI 기술 및 산업 변화에 맞춰 정보주체의 개인정보를 안전하게 보호할 수 있도록 지속적인 모니터링과 함께 AI 관련 6대 가이드라인 등의 정책 방향을 마련하고 개인정보 강화 기술(PET : Privacy Enhancing Technologies) 개발·보급 등의 후속 조치도 차질없이 추진할 계획이다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)