[뉴스로드] AI챗봇 이루다 개발사 스캐터랩이 결국 개인정보보호법 위반으로 제재를 받게 됐다. 이번 제재로 IT기업들이 개인정보 관리 문제에 대한 경각심을 일깨울 것으로 예상된다.

개인정보위는 스캐터랩에 과징금과 과태료 총 1억 330만 원을 부과했다고 28일 밝혔다. 핵심 혐의는 ▲개인정보를 당초 수집 목적 외에 이용하면서 당사자에게 동의를 구하지 않고 ▲AI챗봇 지능 고도화 과정에 가명처리하지 않은 개인정보를 활용한 것이다.

AI챗봇은 이용자의 질문에 사람처럼 현실적인 답을 주는 서비스다. 정해진 응답을 하는 일반 챗봇과 달리, 실제 메신저 대화정보 학습을 통해 문맥에 근거한 적절한 대응을 하는 것이 특징이다.

스캐터랩은 자사 메시지 감정 분석 앱 ‘연애의과학’과 ‘텍스트앳’ 회원들이 제공한 메신저 대화내용을 이루다 지능 고도화에 활용했다. 대화내용에는 실명과 전화번호 등으로 회원들의 인간관계, 소속 등을 추정할 수 있는 민감한 개인정보가 속해 있었다.

메신저 대화내용은 AI챗봇 지능 고도화에 꼭 필요한 자료다. 그러나 스캐터랩은 대화 당사자들에게 수집 및 이루다 지능 고도화에 활용하는 데 대한 동의를 얻지 않았다.

실제로 과학기술정보통신부와 한국지능정보사회진흥원(NIA)은 메신저 대화내용 수집에 어려움을 겪는 AI챗봇 개발사들을 위한 공공데이터를 구축하기도 했다. 정부도 해당 대화내용 수집에 당사자들의 동의를 얻지 않았다는 의혹을 받고 있지만, 개인정보위는 이에 대해서는 언급하지 않고 있다.

스캐터랩에는 이 밖에도 ▲법정대리인 동의 없이 만 14세 미만 아동의 개인정보 수집 ▲성생활 등에 관한 정보를 처리하면서 별도의 동의를 받지 않은 행위 ▲회원 탈퇴했거나 1년 이상 휴면 이용자의 개인정보를 파기하지 않은 행위 ▲깃허브(글로벌 개발자 커뮤니티)에 메신저 대화문장 공유 등 혐의가 적용됐다.

IT기업이 법 위반 소지 없이 개인정보를 활용하려면 어떻게 해야 할까. 개인정보위는 ‘가명처리 가이드라인’을 수립, IT기업들이 참고할 수 있도록 제공하고 있다.

해당 가이드라인에 따르면 개인정보는 동의를 구하고 수집했더라도 비식별화 코드로 대체하는 등 가명처리하지 않으면 개인정보법 위반이 될 수 있다. 또한 기업 자체적으로 ▲활용 목적 및 대상 선정 ▲개인정보 식별 가능성 차단 ▲가명처리 정보 검수 ▲가명처리 인력과 가명정보 검수 인력을 분리 등 원칙을 준수해야 한다.

개인정보위 윤종인 위원장은 “IT기업의 무분별한 개인정보 처리를 제재한 첫 사례”라며 “이를 통해 AI 개발과 서비스 제공 시 올바른 개인정보 처리 방향을 제시할 수 있을 것으로 보인다”고 말했다.

윤 위원장은 이어 “이번 사례가 IT기업이 스스로 관리감독을 강화해 나가는 계기가 되기를 바란다”고 덧붙였다.

이루다 사태는 개인정보 활용 사업의 그릇된 전형을 잘 보여주는 사례다. 개인정보위는 IT기업들이 개인정보 보호 역량을 높일 수 있도록 현장에서 활용 가능한 자율점검표를 발표하고, 컨설팅을 지원하는 등 유사 사례 재발을 방지할 계획이다.