“AI 상상도 못한 때 만든 ‘개인정보법’… 챗GPT 시대 맞춘 기준 마련”[파워인터뷰]

  • 문화일보
  • 입력 2024-06-19 09:04
  • 업데이트 2024-06-19 10:41
프린트

photo클릭하시면 더 큰이미지를 보실 수 있습니다 고학수 개인정보보호위원장이 지난 13일 서울 종로구 정부서울청사 4층 복도에서 개인정보위원회 간판을 가리키며 미소를 짓고 있다. 문호남 기자



■ 파워인터뷰 - 개인정보보호위원회 고학수 위원장

생성형 AI 서비스 분야에선
학습데이터 구축 과정 등에
개인정보 침해 여부가 관건
이달 가이드라인 제시 예정

韓, 정보 보호 규제 亞 선도
동남아 등서 자문받으러 와
빅테크도 정책 만들때 참조


인터뷰 = 유회경 경제부장 yoology@munhwa.com

개인정보보호위원회가 세간을 계속 놀라게 하고 있다. 카카오·골프존 등 유수의 기업들에 개인정보보호 위반 혐의로 거액의 과징금을 연달아 부과하고 있기 때문이다. 최근에는 세계적인 명품회사 프랑스 루이비통모에헤네시(LVMH)의 고급 시계 브랜드 ‘태그호이어’가 해킹 공격을 받아 2900여 건의 한국 고객 정보가 유출돼 개인정보위로부터 과징금과 과태료를 부과받은 사실이 뒤늦게 드러나기도 했다. 개인정보위는 지난 5월 카카오에 오픈채팅방에서 최소 6만5000여 명의 정보가 유출됐다며 국내 업체 역대 최대 과징금인 151억 원을 부과했다. 또 같은 달 개인정보 파일서버를 제대로 관리하지 않아 221만 건의 이름과 전화번호를 유출한 골프존에는 75억 원의 과징금을 부과하기도 했다.

―기업 활동과 개인정보 보호는 상치되는 경우가 많은 것 같은데 어떻게 보는가.

“트레이드 오프(두 개의 목표 가운데 하나를 달성하려고 하면 다른 목표의 달성이 늦어지거나 희생되는 경우의 양자 간의 관계)로 보지 않는다. 기회 있을 때마다 강조하는 키워드가 신뢰다. 기업은 시장에서 신뢰를 얻어야 하고 소비자들에게 신뢰를 얻어야 한다. 신뢰 유지 차원에서 리스크가 있으면 상응하는 수준으로 조심해야 한다. 리스크가 있음에도 기업 활동을 좀 더 자유롭고 편하게 할 수 있도록 규제를 풀어야 한다는 관점은 별로 좋은 것이라 생각하지 않는다. 개인정보위가 최근 과징금 처분을 잇달아 하면서 주목을 받았다. 하지만 개인정보 유출 신고가 들어와 이에 응한 것이지 기업을 괴롭히기 위해 작정하고 사건을 만든 것은 아니다.”

―개인정보 유출 문제가 갈수록 심각해지는 것 같다.

“좀 더 큰 틀에서 보면 개인정보와 얽혀 있는 비즈니스가 갈수록 늘어나는 게 가장 큰 이유라고 할 수 있다. 가령 카카오 같은 경우 슈퍼 앱이라고 한다. 앱을 통해 사람들이 여러 활동을 하지 않는가. 그러다 보면 민감한 개인정보가 들어갈 가능성은 점점 높아진다. 골프존 비즈니스를 한번 생각해보자. 골프존의 원형은 골프연습장이다. 10년 전 골프연습장을 생각하면 골프채 들고 기계에서 공이 나오면 휘두르는 곳이지 않은가. 골프존이 획기적인 서비스인 것은 개별적으로 골프 연습을 하는 사람들을 연결시켜 주는 것이라 할 수 있다. 또 과거 골프연습장의 공 나오는 기계에 소프트웨어를 얹어 개개인의 기록을 남겨서 볼 수 있도록 한 것도 좀 더 향상된 서비스라 할 수 있다. 만일 과거 10년 전 덩그러니 기계장치가 있는 골프연습장이라고 하면 우리가 조사할 일 자체가 없을 것이다. 개인정보와 얽혀있는 비즈니스들이 점점 늘면서 개인정보위의 사회적 역할도 점점 중요해지고 있는 것 같다.”

―유럽의 경우 개인정보 보호 수준이 굉장히 높다고 들었다. 우리나라는 어떤 편인가.

“그런 인식이 많이 퍼져 있지만 어느 국가나 지역이 높다, 낮다 평가할 수 있는 종류의 사안은 아닌 것 같다. 유럽의 경우 일반데이터보호규칙(GDPR)이 있어 개인정보 영역을 조율하는 완성된 패키지가 있다고 흔히 언급된다. 그래서 개인정보 보호 수준이 높다는 평가가 나오는 것 같다. 미국의 제도는 훨씬 복잡하다. 미국에는 연방 개인정보법이 따로 없다. 어떤 영역에선 규제나 규율이 복잡하고 어떤 영역에선 아예 없는 등 개별 영역에 따라 다르다. 주별로도 개인정보 보호 관련 규제 차이가 많다. 최근 1∼2년 사이 미국 주 중 10군데 정도에서 원래 없던 법이 만들어졌다. 단순 비교가 어려울 뿐 아니라 굉장히 변화무쌍한 상황이라고 보면 된다. 세계적인 흐름도 비슷하다. 최근 10년 동안 세계 어지간한 나라에서 개인정보 보호 관련 법이 모두 만들어졌다. 다만 국가별로 편차는 있는데 유럽이나 미국에서 이 문제에 대해 일찌감치 고민했고 아시아 등 다른 곳에선 관련 법은 만들어졌지만 전문 기관이 설립돼 법을 실제 집행하고 운용하는 곳은 많지 않다. 우리나라는 조금 빠른 편이다. 그래서 해외 당국자들을 만나면 한국 상황에 대해 많이 궁금해하고 찾아오기도 하는 상황이다. 유럽의 개인정보 보호 수준이 높다는 건 GDPR의 과징금 수준이 높기 때문이다. GDPR은 전 세계 매출 기준 4%까지 상한선을 정해놨다. 싱가포르의 경우 전년도 국내 매출액의 10%까지 과징금을 부과할 수 있도록 했다. 중국은 전년도 전체 매출의 5%다. 주요 국가의 경우 전반적으로 과징금 수준이 높다고 보면 된다.”

GDPR은 기존 유럽연합정보보호법을 대폭 강화한 규정으로 2018년부터 적용됐다. 유럽연합(EU) 거주자의 개인정보를 다루는 기업이나 기관이 개인정보 보호와 관련된 광범위한 규정을 준수하도록 강제하는 것을 주 내용으로 한다.

―지난해 9월 보호법 개정으로 과징금 기준이 대폭 강화됐는데 글로벌 스탠더드에 따라가는 면이 있는 건가.

“맞다. 과징금 상한액을 상향한 것은 글로벌 법제와의 정합성을 확보하고 기업의 책임을 강화하기 위한 것이라고 할 수 있다. 개정 전에는 과징금 규모가 위반행위 관련 매출액의 3% 이하였는데 개정 이후에는 전체 매출액의 3% 이하로 하되 ‘위반행위와 관련 없는 매출액’을 제외한 매출액을 기준으로 과징금을 산정하고 있다. 경미한 위반사항까지 업무 담당자 개인에게 형사처벌 책임을 묻던 사항을 기업 차원에서 책임질 수 있도록 하는 과징금으로 전환한 것 역시 기업 차원의 관심과 투자를 촉진하도록 한 것이다. 개인정보 침해에 대한 예방적 보호를 도모하고자 했다.”

photo클릭하시면 더 큰이미지를 보실 수 있습니다 고학수 개인정보보호위원장이 정부서울청사 위원장 집무실에서 진행된 인터뷰에서 개인정보 보호 관련 우리나라와 해외 사례를 비교하며 설명하고 있다. 문호남 기자



“정보보호-기업활동 상충관계 아냐… ‘신뢰 리스크’ 발생땐 규제 필요”

개인정보 얽힌 비즈니스 늘어
유럽 일반데이터보호규칙 세워
美서도 1~2년새 법 제정 잇따라

데이터 자유-보호무역 대립
큰 틀에선 자유롭게 맡기되
개별 불안 요소는 통제해야


―사실 개인정보를 가장 많이 활용하는 기업은 미국 빅테크들이라 할 수 있을 것 같다. 이들에 대한 규제는 원활히 이뤄지고 있는 편인가.

“원칙적인 이야기라고 할 수 있지만 우리는 개인정보 침해 여부를 따질 때 기업의 국적을 따지지 않는다. 우리는 구글과 메타에 1000억 원 수준의 과징금을 부과한 적이 있다. 최근 국내 기업들을 제재하니까 역차별하는 것 아니냐는 말이 나오고 있지만 결코 그렇지 않다. 우리는 우리나라 소비자들, 즉 정보 주체 관점에서 상황을 보고 있다. 미국의 빅테크 회사들도 한국이 비교적 중요한 시장이기 때문에 우리 법·제도에 맞춰, 적어도 개인정보 관련 법제에 맞춰 사업하겠다는 태도는 기본적으로 갖고 있는 것 같다.”

개인정보위는 해외 사업자라 하더라도 우리의 개인정보를 수집하고 처리하는 데 있어 국내 기업과 동일하게 취급한다는 것을 주내용으로 하는 ‘해외사업자의 개인정보 보호법 적용 안내서’를 공개한 바 있다. 한편 구글과 메타는 우리 정부를 상대로 행정소송을 제기한 상태다. 개인정보위가 지난 2022년 무분별한 개인정보 수집을 사유로 구글과 메타에 과징금 약 1000억 원을 부과하자 이에 반발해 제기한 소송이다. 아직 결론은 나지 않았다. 구글과 메타는 정보 수집 동의를 받아야 할 주체는 플랫폼 사업자인 자신들이 아닌, 웹사이트·앱서비스 사업자라고 주장하며 해당 처분 취소를 요구하고 있다.

―해외 사업자 입장에서 우리나라가 중요한 시장이라고 할 수 있나.

“시장 규모가 아주 크진 않지만 무시할 정도로 작은 시장은 아니다. 더욱이 얼리어답터가 많아 역동적인 데다 한국시장 반응을 참조할 필요를 느끼고 있는 것 같았다. 또 다른 한편으로는 적어도 개인정보와 관련해선 아시아권에선 우리 개인정보 관련 규제가 여러 면에서 선도하고 있는 게 사실이다. 개인정보위가 정책 방향을 제시하고 법 집행을 하며 이러저러한 경험이 많이 축적되면서 우리나라는 단연 앞서고 있다. 빅테크들도 한국 상황에 맞춰 개인정보 정책을 만들어가면 다른 아시아 국가에서 통할 것이다, 이런 생각을 하는 게 아닌가 싶다. 중요한 사안이 있으면 빅테크 본사 임원들이 우리를 찾는다. 우리가 이런 사업을 하고 있다는 것을 설명하려 노력한다. 알리·테무·쉬인 등 중국 이커머스 회사들도 한국 비즈니스를 제대로 하고 싶어 한다. 법을 제대로 못 지킨 게 있다면 처분받고 법에 맞춰가면서 사업을 하려고 하는 태도를 갖고 있다. 조사하는 데 회피하거나 도망가려 하지 않는다.”

―해외 교류도 원활한 편인가.

“굉장히 활발한 편이다. 아시아권에서 개인정보 분야 주요 국가라고 하면 한국·일본·중국 등 동아시아 3개국에 싱가포르 정도를 포함시키면 된다. 동남아시아 국가들은 최근 몇 년 동안 관련 법을 만들고 기관을 설립하고 있는 중이다. 개인정보위에 와서 어떻게 일하는지 자세히 문의하기도 한다. 일본은 다소 특이한 편이다. 우리는 조사와 처분 그리고 과징금 부여 등 행정 시스템이 명확한 편인데 그들은 간단한 행정지도로 대체하는 경우가 많다. 라인야후 건에서도 일본은 행정지도 형태로 문제 해결에 나선 것으로 알고 있는데 그러한 행태가 보편적인 것 같다. 만일 제3국에서 개인정보 관련 행정 업무를 벤치마킹한다면 우리를 선호할 수밖에 없지 않겠나. 더욱이 중국은 개인정보 관련 국제회의에 거의 참여하지 않는 편이다.”

―중국이 디지털 전체주의를 지향해서 그런가.

“글쎄(웃음). 중국 당국이 어떻게 생각하는지는 언론 등을 통해 간접적으로 파악한 수준에 불과하다. 직접적인 접촉은 쉽지 않은 상황이다. 약간은 특이한 점이 있어 보인다.”

―데이터 자유무역과 데이터 보호주의가 대립하고 있는데 어느 쪽에 더 맞다고 보나.

“데이터에 관해 자유무역의 관점에서 볼 거냐, 아니면 우리나라 데이터는 우리나라 안에 있어야 하고 다른 나라로 나가면 안 된다는 보호무역의 관점에서 볼 것이냐, 이것은 굉장히 중요한 문제이자 난제다. 현재는 데이터 자유무역과 데이터 보호무역 관점이 사안에 따라 원칙 없이 뒤섞여 나타나고 있다. 그렇다 보니 많이 불편하다. 열어놓고 가자는 쪽으로 합의가 이뤄지면 그렇게 하면 되는데 불쑥 데이터 보호무역이 터져 나오기 일쑤다. 반대의 경우도 마찬가지다. 기본적으로 우리나라는 과거 1970·1980년대 자유무역에 의지해 큰 나라다. 그러한 대원칙에 따르면 데이터 영역도 자유롭게 흐르고 거기에 편입해서 우리가 챙길 수 있는 것들을 최대한 챙기는 게 맞다. 다만 개별 건에 대해선 불안요소가 있고 이를 어떻게 통제할 것인가 하는 고민은 상시 있는 것 같다.”

―데이터 자유무역의 이점에 대해 말해달라.

“AI가 활용되는 중요한 영역 중 하나가 보건의료 영역이다. 의학 새로운 분야 연구·개발(R&D)의 경우 한 나라에만 있는 데이터만으로는 충분하지 않은 경우가 많다. 그래서 국제 공동연구가 진행되는 것이다. 특정 목적을 위해 전 세계 데이터를 공유하고자 하는 욕구는 어찌 보면 당연한 것이다. 아무래도 데이터가 많으면 보다 보편적인 결과를 낼 수 있기 때문이다. 하지만 한국의 데이터가 다른 나라에 그렇게 쉽게 가도 되는 건가. 이러한 종류의 불안감이 주기적으로 나타나는 것은 역시 자연스럽다.”

photo클릭하시면 더 큰이미지를 보실 수 있습니다 고학수 개인정보보호위원장이 지난 12일 개인정보보호위원회 제10회 전체회의에서 발언하고 있다. 뉴시스



―지난해 9월 보호법을 개정했지만 워낙 변화가 많은 영역이라 보완해야 할 점이 바로 생겼을 것 같다.

“어렵다. 기술이 너무 빠르게 변화하고 있기 때문이다. 기본적으로 개인정보보호법은 인공지능(AI) 시대를 상정하고 만들어진 것은 아니다. AI를 상상할 수도 없는 시절의 프레임 속에서 만들어진 것인데 AI 시대를 맞아 가능한 선에서 맞춰 가려고 애쓰고 있는 상황이다. 가령 개인정보보호법에선 정보를 수집하고 처리한다는 말을 쓰는데 상식적 차원에서 개인정보를 수집하기 위해선 정보 주체의 동의를 받아야 한다. 물론 한 명 한 명 일일이 설명하고 동의를 받는 게 가장 좋겠지만 현실적으로 그게 가능한가. 일반적인 상황은 아니다. 아날로그 시대의 패러다임과 너무 다르다. AI 기술을 활용한 안면 인식, 차량 이동에 따라 전방위로 주변을 촬영하는 자율주행차량 카메라 등은 4∼5년 전만 해도 생각하기 힘들었다. 정책부서에서 이런 부분을 계속 고민하고 있다.”

―챗GPT 등 생성형 AI 서비스가 나왔을 때 개인정보위도 이 서비스를 눈여겨봤을 것 같다.

“개인정보 맥락에선 생성형 AI 서비스 분야에서 학습 데이터를 어떻게 구축했는지와 답 제시 과정에서 개인정보 침해가 이뤄지지는 않았는지 등이 중요하다. 학습 데이터 구축에 대해선 이번 달에 가이드라인이 제시될 예정이다. 인터넷 공간에 있는 데이터를 끌어올 때 그 어딘가에 개인정보가 섞여 있을 수 있다. 이를 발라내야 하는데 두 가지 방법이 있을 수 있다. 최대한 다 긁어온 다음에 개인정보를 찾아 빼내는 방법과 긁어올 때 구인구직사이트 같은 개인정보가 많이 있을 법한 웹사이트는 처음부터 배제하는 방법이다. 두 가지 방법을 조합할 수도 있다.”

―인터넷상에서 정보를 긁어오는 행위 자체도 문제가 될 수 있지 않을까.

“이와 관련해서 중요한 대법원 판례가 있다. 한 대학교수가 인터넷상에 공개된 자신의 정보를 법률 사이트가 가져가 쓰는 것은 문제가 있다며 소송을 제기한 바 있다. 이 교수는 인터넷상에 올리긴 했지만 긁어가라고 허용한 것은 아니라고 주장했다. 하지만 대법원에선 이에 대해 인터넷상에 개인정보를 올린 것은 가져가도록 실질적으로 동의한 것이라는 판결을 내렸다. 더욱이 이러한 판결을 내리면서 6가지의 기준을 제시했다. 대법이 제시한 기준을 AI 학습 맥락으로 옮겨와서 가이드라인으로 준비하고 있다.”

―글로벌 서비스를 하는 사업자 입장에선 나라마다 규제가 다르면 사업상 애로가 있을 수 있을 것 같다.

“불편한 점이 있을 것이다. 개별 국가마다 다른 요구를 하면 하나하나 맞추기가 쉽지 않을 수도 있을 것 같다. 하지만 빅테크 역시 각각 자신의 원칙에 따라 데이터를 구축한다. 자신들은 어떻게 학습 데이터를 구축하는지 설명을 하고 우리는 개선 권고를 했다. 한국인터넷진흥원(KISA)을 통해 개인정보가 다량 포함돼 침해 사고가 날 만한 인터넷 주소들을 제공했다. 이 리스트를 참조해 선택적으로 데이터를 수집하라는 것이다. 해외 사업자 모두 이를 받아들이고 우리와 계속 협의하고 있다.”

―기업들 입장에선 개인정보 보호 강화 움직임이 굉장히 낯설고 불편할 수 있다. 개인정보 관련 사회적 컨센서스가 중요한 것 같다.

“중요한 지적이다. 예전에 한 기업에서 개인정보 침해 사건이 터질 경우 그 담당자는 늘 총알받이 역할만 했다. 회사에서 주목받지도 못하면서 사건이 터지면 무한 책임을 져야 하는데 누가 그 부서에서 근무하려 하겠나. 그래서 우리는 ‘회사 차원에서 관심과 투자를 진행해야 하고 개인이 총알받이가 되는 건 안 된다’는 메시지를 계속 내고 있다. 과징금을 상향 조정한 것도 기업 전체의 경각심을 높이기 위해서다.”

―합성 데이터와 비정형 데이터 가이드라인이 개인정보위의 자랑거리라고 들었다.

“합성 데이터는 지난 5년 동안 연구 단계에서 머물렀던 영역이다. 합성 데이터는 진짜 데이터와 최대한 비슷하게 만든 건데 너무 비슷해도 안 되고 그렇다고 너무 달라도 안 되는 딜레마를 안고 있다. 우리가 최근 발표한 것은 합성 데이터의 효용성과 침해 가능성 평가 기준을 만든 것이다. 이런 평가절차를 거치면 실제 현업에서 써도 된다는 것을 보여줬다. 비정형 데이터 가이드라인도 만들어냈다. 가령 단층촬영(CT)이나 자기공명영상(MRI) 촬영을 할 때 한 번에 수백 장을 찍는데 약간 옮겨가면서 찍기 때문에 모아놓고 보면 합쳐서 3D 입체를 만들 수 있다는 정보를 접하고 얼굴에 대해 블러 처리를 하라고 권고했다. 하지만 그렇게 일률적으로 블러 처리를 하면 이비인후과에선 아무 쓸모가 없게 된다. 가이드라인을 내면서 이비인후과면 코나 이 주변은 남기도록 하는 등 쓸 곳과 필요하지 않은 곳을 신축성 있게 구별하는 사례들을 담았다. 구체적 사례를 제시할 테니 이를 응용해 쓰라는 의미였다.”
관련기사
유회경
주요뉴스
기사댓글
AD
count
AD
AD
AD
AD
ADVERTISEMENT