Home > 전체기사

[이슈칼럼] 개인정보 보호법이 AI 챗봇 ‘이루다’를 내린 이유

  |  입력 : 2021-01-15 16:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
잘 만든 ‘이루다’ 한 순간에 삐끗...익명처리를 잘 했다면 어땠을까

[보안뉴스= 전승재 법무법인 바른 변호사] ‘이루다’는 잘 만들어진 챗봇 AI였다. 출시 직후 80만 명의 이용자가 몰렸다. 일부 사람들은 ‘이루다’를 교묘히 다루었다. 특정 집단을 비하·혐오하는 말을 걸면 ‘이루다’가 대답을 하지 않으니, 그 자체로는 큰 문제가 없어 보이는 단어를 선택하되 맥락 속에 비하·혐오의 의미를 넣어서 ‘이루다’의 동조를 이끌어내는 수법이었다. 이것을 ‘이루다’가 모두 차단하지 못한 이유로는 여러 가지가 있겠지만, 아무튼 법의 잣대를 들이대어 딱 떨어지는 결론을 내리기는 무척 어려워 보인다.

[이미지=스캐터랩 홈페이지 캡처]


한편, ‘이루다’ 서비스를 중단시킨 직접적인 계기는 따로 있다. 바로 개인정보 보호법 위반 의혹이다. 이 부분에 대해서 정부당국의 조사가 진행되고 있다.

‘이루다’를 개발한 회사는 ‘연애의 과학’이라는 별도의 서비스를 운영하고 있었다. 여기에는 이용자가 애인 또는 이른바 ‘썸남·썸녀’와 주고받은 카카오톡 대화를 입력하면 애정도를 분석해주는 일종의 심리 테스트 기능이 있었다. 이것이 어찌나 홍보가 잘 되었던지, 결혼 7년차인 필자 또한 처와의 카톡 대화를 넣어보면 어떤 분석결과가 나올지 궁금해질 정도였다. 이렇게 수집된 남녀간 대화들이 이루다의 인공지능 학습 데이터로 쓰인 것이다. 덕분에 ‘이루다’는 마치 연인처럼 달콤한 언어를 구사할 수 있게 되었다.

이처럼 ‘이루다’는 이용자들이 기부한 프라이버시를 자양분 삼아 고품질의 AI를 구현할 수 있었다. 그 사람들이 자신이 제공한 프라이버시가 어디에서 어떻게 쓰이는지 ‘알고’ 자발적으로 기부를 했다면 아무런 문제가 없었을 것이다. 그렇지 않았다는 의혹이 이는 것이 문제의 본질이다.

개인정보가 어떻게 쓰이는지 이용자가 알게끔 하려면 크게 두 가지 방법이 있다. 하나는 글로써 설명을 해주는 것인데, 이것은 하책(下策)이다. 다른 하나는 설명 없이도 저절로 알 수 있도록 해주는 것인데, 이것이 상책(上策)이다.

후자의 전형적 예는 온라인 쇼핑몰에서 배송주소를 수집하는 것이다. 구매자는 본인 주소가 택배 송장에 쓰일 것이라고 당연히 기대한다. ‘이루다’에서 이 방법을 쓸 수 있었을까. 만약 ‘연애의 과학’과 ‘이루다’ 챗봇이 실과 바늘처럼 붙어 다니는 서비스라고 이용자가 인식했다면, 예컨대 ‘연애의 과학’ 앱에서 남녀간 카카오톡 대화가 입력되었을 때, 그 내용을 기반으로 챗봇 ‘이루다’ 가 말을 걸어오는 것이 주요 기능이었다고 하면, 이 경우 이용자는 자신의 카카오톡 대화가 AI 학습 데이터로 쓰일 것이라고 예견할 수 있으며, 이를 전제로 서비스를 쓸지 말지를 결정할 것이다.

한편, 실제 사례에서는 챗봇 ‘이루다’와 ‘연애의 과학 애정도 분석’이 외견상 서로 독립된 별개 서비스였기 때문에 이용자로서는 두 서비스 간 데이터가 교류될 수 있다고 생각하지는 않았을 것이다.

전자의 설명 수단으로 ‘개인정보 처리방침’, ‘동의서’ 등이 쓰인다. 이것은 일종의 약관이다. 우리는 수많은 서비스를 소비하지만 깨알 같은 약관(fine print)을 꼼꼼히 읽어보는 경우는 드물다. 그래서 글로써 설명하는 것은 하책이지만, 이 방법이 필요할 때도 자주 있다. 만약 ‘연애의 과학’ 약관에서 ‘챗봇 AI 학습 데이터로 활용됩니다’라고 명시했다고 가정하면? 이것을 잘 보이는 곳에 써 놓는다면 이용자에게 개인정보 처리목적을 알게끔 해 주고 동의를 받은 것이니 ‘적법’쪽으로 저울이 기운다. 반면, 이용자가 좀처럼 안 읽는 구석에 깨알 고지문을 슬쩍 끼워 넣는다면 ‘위법’쪽으로 기울어진다.

달리 가정해, 만약 ‘연애의 과학’ 약관에서 ‘신규 서비스 개발 및 맞춤 서비스 제공 목적으로 개인정보가 처리됩니다’는 식으로 추상적으로 설명하는데 그쳤다면? 이것을 이용자가 읽었다 해도, ‘연애의 과학’ 앱에 입력한 카카오톡 대화가 애정 심리 테스트 목적을 넘어, 성질이 다른 서비스인 챗봇 개발을 위해 쓰이리라고 예견하기는 어려울 것이다.

요컨대 ‘이루다’의 경우 이용자에게 개인정보가 어떻게 처리되는지 설명을 잘해 주었다면 법적 리스크를 상당히 줄일 수 있었을 것이다. 반면에, 그 설명을 제대로 해주지 않았다면 그 대가를 이제부터 호되게 치를 듯하다. 법의 영역에서 설명을 어떻게 했느냐는 매우 중요하다. “내가 무엇을 말했나가 아니라 상대방이 무엇을 들었나가 중요하다”는 격언이 이 분야에서도 통용된다. 마지막으로 몇 가지 관련된 쟁점을 간략히 정리하고자 한다.

첫째, 일각에서는 ‘이루다’가 대화자 중 한 사람의 동의만 얻었기 때문에 그 반쪽짜리 동의 자체로 개인정보 보호법에 저촉된다고 지적한다. 그러나 여기에는 선뜻 찬성하기 어렵다. A와 B의 카카오톡 대화를 A가 ‘연애의 과학’ 앱에 올려서 애정도 분석을 해보았다면, 이것은 A가 상대방이 한 말을 혼자서 곱씹던 중 ‘연애의 과학’이라는 지인에게 상담을 청한 경우와 그리 다르지 않다. A는 B와 말을 주고받은 사람으로서 대화 데이터를 이용할 일종의 권리가 있고, A가 ‘연애의 과학’에게 개인정보 수집동의를 한 것은 그 데이터 이용권을 행사한 셈이므로 그 적법성을 함부로 부정할 수 없다. 물론 A는 대화 내용을 공개함으로써 B의 명예를 훼손하거나 B의 사생활 또는 비밀을 침해하지 않아야 한다. 여기서 ‘연애의 과학’ 앱에 카카오톡 대화를 올리는 것이 이를 ‘공개’ 또는 ‘사생활을 침해’하는 행위에 해당하는지 여부, 나아가 A가 그런 줄 알고 올렸는지 여부는, 곧 A가 개인정보 처리 목적을 어떻게 설명 들었는지의 문제와 맞닿아 있다.

둘째, 익명처리의 문제이다. ‘이루다’ 개발에 쓰인 카카오톡 대화 데이터에서, 등장인물이 누구인지 알아보거나 추측할 수 있도록 하는 정보, 예컨대 이름, 전화번호, 주소, 직장명, 특이한 언행이나 취향 등이 모두 삭제되었다면 어땠을까. 익명처리가 제대로 된 데이터는 원래의 수집 목적을 넘어서 인공지능 학습 등 다른 용도로 활용하는 것이 허용되므로, 설명의무의 구속을 받지 않는다. 그런데 인터넷상에서는 ‘이루다’의 익명처리가 불충분했다는 지적이 제기되고 있다. 익명화 기술이 아직까지 완벽하지 못하기 때문이다. ‘이루다’ 학습 데이터로 쓰인 1억여 개의 문장을 사람이 일일이 검수할 수 없으니 실명 등 개인정보를 자동 필터링하는 프로그램을 썼는데, 미처 걸러지지 못한 것이 소수 있었던 듯하다. 완전무결한 익명처리를 요구할 경우 신기술 서비스의 새싹을 잘라버릴 수 있다. 그래도 남녀간 카카오톡 대화처럼 내밀한 프라이버시가 포함된 데이터에는 엄격한 잣대를 들이대야 하지 않을까. 그러니 ‘이루다’로서는 익명처리에만 의존할 것이 아니라, 개인정보 해당 여부에 대해 보수적으로 접근해 개인정보 처리에 관한 설명의무를 충실히 이행했어야 한다.

셋째, 인공지능의 윤리성과 개인정보 처리약관에 대한 설명의무는 논의의 축이 다르다. 전자는 아직까지 사회적 논의의 문제이고, 후자는 당면한 법집행의 문제이다. ‘이루다’의 법적 책임은 설명의무 부분이 중심이 되어야지, 이에 편승하여 윤리성에 대해서까지 엄격한 법의 잣대를 들이대는 것은 지나치게 성급한 것일 수 있다.
[글_ 전승재 법무법인 바른 변호사]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비