[일문일답] 고학수 위원장 “AI 시대, 개인정보 보호 원칙이 중요”

[천지일보=손지하 기자] “챗GPT를 비롯한 인공지능(AI) 등 실시간으로 새로운 게 개발되는 IT 영역은 규정만으로 규율할 수 없습니다. 개인정보 보호 원칙이 중요합니다. 원칙을 중심으로 보고 사업자들의 의견을 받아 회색지대를 줄이겠습니다.”

고학수 개인정보보호위원회(개인정보위) 위원장은 24일 정부서울청사에서 열린 기자 간담회에서 이같이 말했다.

앞서 지난 14일 디지털플랫폼정부 실현 계획이 발표된 가운데 개인정보위는 오는 6월까지 ‘AI 데이터 안전 활용 정책방향’을 수립하겠다고 밝힌 바 있다.

이 자리에서 디지털플랫폼정부위원회는 챗GPT 등 민간의 초거대 인공지능(AI) 인프라에 정부 문서, 보도자료를 학습시켜 정부 전용 AI를 만들어 이를 복지, 민원 업무 전반에 적용하겠다는 계획을 내놓았다.

이에 개인정보위는 올해 6월까지 데이터 수집-AI 학습-서비스 제공 등 전 과정에서 지켜야 할 개인정보 보호 원칙과 데이터 처리기준을 제시할 방침이다. 특히 AI 학습을 위해 공개된 정보나 사용자가 생성한 데이터가 빈번하게 수집되고 있는 만큼 이에 대한 명확한 원칙을 세울 계획이다. 또 AI 학습 시 적절한 가명처리 기준을 제시하고 영상·음성 등 비정형 데이터의 가명처리 방법도 안내한다.

지난 3월 개인정보보호법 전면 개정으로 자신의 데이터를 원하는 곳으로 전송해 주도적으로 관리할 수 있는 개인정보 전송요구권이 도입된 데 따른 후속 전략도 6월까지 수립한다.

개인정보 전송요구권은 오는 9월부터 모든 분야에 적용된다. 개인정보 전송요구권 행사를 보장하기 위한 세부 제도와 온라인 플랫폼, 핵심 인프라가 구축되며 데이터가 서로 다른 산업 간에도 막힘 없이 이동하도록 데이터 형식을 표준화한다. 개인정보 전송을 안전하게 하도록 식별·인증·보안체계를 수립하고 형사처벌 등 제재로 데이터 유출·위변조 행위를 방지한다.

아울러 공공부문의 개인정보 처리 시스템 감독을 강화한다. 개인정보 보유량과 취급자 수를 기준으로 선정한 1515개 주요 시스템을 중심으로 강화된 개인정보 안전조치 기준을 적용한다. 현재 주요 시스템 중 접속관리 기능을 갖춘 건 67% 수준에 불과하다. 이에 접속기록 관리·점검 기능 도입을 의무화하고 이상 패턴이 탐지되면 자동으로 보고될 수 있는 체계를 갖추기로 했다.

다음은 이날 진행된 일문일답이다.

-LG유플러스 해킹 사태를 물어보지 않을 수 없다. 과학기술정보통신부에서 이번주에 발표하는데 범죄자(가해자) 쪽이 구체적으로 안 잡혀서 발표가 지연되는 걸로 알고 있다. 개인정보위의 발표 시기가 어떻게 되나.

고학수 위원장=LG유플러스 사건은 기본적으로는 진행 중인 사건이라 상세히 말하긴 어렵다. 이번주 실제 발표될지 모르겠지만 저희 쪽하고 어느 정도 조율하고는 있고 과기정통부에서 바라보는 대상과 우리가 바라보는 대상이 같지만 법적인 이슈와 관련해서는 다르기 때문에 개인정보법 위반 여부가 있는지 보고 있다. 조사 경과에 대해서는 현시점에서 말하기는 어렵다.

-다크패턴 차단 기준, 방법은 무엇인다.

고 위원장=다크패턴은 ‘눈속임 설계’라고 한국말로 표현한다. 공정거래위원회에서도 발표한 바가 있는데 공정거래법, 공정위 규율 측면도 있고 우리 (규율) 측면도 있다. 개별 사안에 대해서는 따로, 또 같이 보는 게 맞을 수 있다. 새로운 형태의 사회 부작용이라고 볼 수 있다. 개인정보법 체계 안에서 볼 수 있는 것에 대해서는 명확히 처분할 수 있다. 명확한 불법이 아닌 부분에 대해서는 경우에 대해서는 행정 지도를 할 수 있다. 향후에 정리해서 입법적인 보완을 할 생각을 갖고 있다. 국내도 그렇고 해외에서도 새롭게 나타나는 현상이라서 내부적으로 정리 중이었고 이미 우리가 내린 조사 처분 내역 중에도 다크패턴을 재조망해볼 수 있는 게 있다. 한 가지 예가 있다면 지난 가을에 구글·메타 조사·처분한 내역이 있는데 개인정보 처리 방침을 알려주고 동의받는 과정에서 동의 창을 바로 띄우지 않고 몇 단계 건너야 상세 내역이 보이고 내역에서도 이미 동의가 미리 표시돼 있는 그런 사례가 있었다. 이용자가 아주 적극적으로 하지 않는 이상 이용자가 모른채로 동의하게 되는 경우라고 할 수 있겠다. 앞으로 여러 사례, 상황에 대해 정리해 나갈 것이다.

-마이데이터 관련해 우리나라에는 큰 대형병원뿐 아니라 소형병원이 많은데 어떻게 전송 시스템을 만들 수 있는지.

고 위원장=투트랙으로 고민 중이다. 중장기적으로는 인프라(법, 사회, 전산 투자)를 구축하려고 한다. 의료 데이터가 어떻게 구성되고 있는지 A라는 의료 기관으로 전송된다고 할 때 어떤 경로를 거치고 어떤 표준화 과정을 거치는지, 전산 시스템이 충분하지 않은 곳에서는 어떤 식의 도움이 필요할지, 위원회가 코디네이터 역할을 해갈 것이고 전산망이라던가 투자가 필요한 부분이 있으면 당연히 기획재정부, 보건복지부 등과 추가적인 협의를 통해 진행할 것이다. 시범 사업 같은 맥락에서는 추가적인 투자나 큰 부담 없이 할 수 있는 준비가 돼 있고 의향이 있는 곳을 우선으로 해서 소규모로 했을 때 ‘되는 구나, 가능하구나’ 하는 곳에서 시범 사업을 발굴할 것이다. 지금부터 필요한 변화의 정도가 상대적으로 작은 곳, 국민 체감도가 높은 곳을 빠르게 발굴해서 진행하려고 한다.

양청삼 국장=의료 분야에는 다양한 수준의 병원 기관이 있고 물론 인프라 마련이 쉽지 않은 곳이 있는 게 사실이다. 보건복지부는 이를 개선하기 위한 대책을 꾸준히 진행하고 있고 거점 병원의 전송 가이드를 만드는 등 진행 중이다. 노력들을 하고 있는데 보호법상 전송요구권이 생김으로 양 부처가 협력해서 앞으로 마이데이터를 어떻게 설계해 나갈지 논의할 예정이다.

-마이데이터 도입 세부 실현 전략에 보면 사업자들에게 부여할 능동적 참여 인센티브가 무엇인지.

고 위원장=내부적인 고민 중이다. 초기 단계인데 큰 방향성은 흔히 정부가 개입하면 탑다운으로 반강제로 명령처럼 느껴지는 뭔가가 내려오고 싫건 좋건 투자해야 하고 수익 모델이 생길지 불투명한데도 그런 부담감을 드리진 않으려고 하고 있다. 거꾸로 얘기하면 참여 기업들한테는 나름의 유인이 제공될 걸 전제로 한다. 넓게 보면 두 가지다. 투자 수익이 확보될 것이냐다. 기업 현장, 데이터를 바라보는 시각 또는 데이터에 기반한 의사결정, 업무 패러다임이 변화할 것을 기대한다. 디지털 전환이라는 것은 시대적인 흐름인데 현장에서는 변화를 가져온다라는 게 쉽지 않은 면이 있기 때문에 이를 촉진시키는 방향으로 잡고 있다. 시행 단계에서 더 구체화될 것이다. 그런 면에서는 과금을 어떻게 할지도 고민이다. 마트에서 물건 사듯이 데이터에 대해서는 가치 측정을 할 수가 없다.

-국회에서 AI 법안이 전체회의 통과를 앞두고 있다. 위원회의 역할이 축소될 것이라는 얘기가 있는데 이에 대해 어떻게 생각하나.

고 위원장=AI 관련 영역은 리스크에 기반한, 리스크에 상응하는 통제 장치가 제가 생각하기엔 적절한 방향인 거 같다. 구체적인 상황에 따라서 일상생활의 부작용이 상당히 큰 경우도 있고 혹은 전혀 없는 경우도 있을 것이고 리스크가 없으면 별도 통제도 필요 없을 것이다. 리스크를 기반으로 통제하려면 머릿속으로 낼 수 있는 게 아니고 실제 경험이나 실험 과정이 필요하다. 그런 점에서는 제한적인 형태라도 실험이나 새로운 시도를 해볼 수 있는 게 필요하다. 그런 맥락에서 개인정보위는 데이터 또는 관련된 개인정보 침해 여부에 대해 지금껏 해온 역할의 연장에서 바라볼 것이다. AI 법이 실제로 통과돼 입법된다면 개인정보위의 역할이 축소될 가능성은 0이라고 생각한다. 오히려 더 확대될 것이다. AI가 더 많은 고민거리를 안겨줄 것이다. 데이터 관여에는 개인정보위가 더 많은 역할을 할 것이라고 생각한다.

-장애인이나 마이데이터 전송요구권을 활용 역량이 부족한 사람들이 보호자가 이를 대신하는 상황에서는 타인이 대리할 수 있는지 궁금하다.

양 국장=원칙적으로는 개인정보법상의 정당한 위임을 받을 수 있는 사람이 대리할 수 있도록 돼 있다. 동의 의사를 표현하기 어려운 부분에 대해서는 어떻게 안전하게 이를 확인할 건가에 대한 이슈는 남아 있다. 계속 고민해야 할 부분이다.

-AI 관련 국제 규범 논의가 있다. 우리나라가 선도적으로 해야 하는 게 아니냐는 의견에 대해서는 어떻게 생각하나.

고 위원장=외국에서도 법안 논의가, 학계에서도 산발적으로 일어나고 있고 적어도 OECD 국가라던가 경제적으로 선진국 내지는 선도국가라는 곳에서는 동시적으로 나타나고 있다. 초기 단계에서는 여기저기에서 논의를 같이 하는 그게 출발점이 될 것 같다. 실제 국내에서 이뤄지는 건 추상화해서 보면 마찬가지인 면이 있다. 국제적으로도 논의를 주도하는 그룹이 자연히 형성되고 그들과 교류를 적극적으로 하고, 논의의 가닥이 잡히게 되고, 논의의 장이 형성되고, 더 나아가서 명문화된 작업을 추진하는 단계가 되기도 한다. 국제적인 논의가 몇몇 군데에서 진행되고 있는데 저희가 적극적으로 참여해서 목소리를 내는 단계라고 보면 된다.

-챗GPT 결제 정보 유출 이슈에 대해 어떻게 움직이고 있는지, 어떻게 움직일 것인지.

고 위원장=챗GPT는 우리 법상 어떻게 처리했는지 AI 모델 개발이 또 다른 건 결제 정보의 한국과 관련된 이슈가 있는지, 그에 관해서는 아까 말씀드린 것과 같이 상황 파악을 하는 중이다. 이미 언론에 많이 보도됐듯이 유럽에 있는 감독 기관 몇 군데에서 적극적인 관심을 표명하고 지난주에는 EU 차원의 기구에서 TF를 만들어서 같이 조율하고 있다. 그들과 소통하는 중이다. 실제로 사실을 파악한다거나 조사할 경우의 조율 그 정도로 가고 아직까진 가고 있지 않다. 소통 창구가 있고 커뮤니케이션을 하고 있기 때문에 필요하면 좀 더 적극적인 조율을 하게 될 가능성은 있지만 아직 그 정도 단계는 아니다.

-마이데이터 확산되면 정보주체가 활용할 정보가 늘어나는 만큼 범죄 악용 우려도 있다. 대처는 어떻게 할 것인가.

고 위원장=사실 마이데이터 관련 제도적인 인프라뿐 아니라 ICT 시스템 관련 인프라도 중요하다. 개개인의 데이터가 제3의 곳에 전송되든지 의사와 관계 없이 활용되면 문제다. 마이데이터는 가장 기본은 정보주체 당사자의 의사를 반영하는 방향으로 데이터가 옮겨져야 하는 것이다. 의사에 반해서, 무관하게 되면 그 자체가 문제다. 범죄에 활용되면 더더욱 문제다. 본인의 정보인지, 본인 인증이라던가 본인의 선호를 정당하게 반영하고 있는지, 보안 맥락에서의 고민도 필요하고 다크패턴이나 이런 형태로 활용될 수 있지 않도록 제도를 짜려고 하고 있다. 그런 문제는 만약에 생기면 데이터 생태계 전반의 신뢰도가 훼손될 것이다. 신뢰가 가장 큰 키워드다. 편리하다고 느끼게끔 제도를 설계할 것이다.

-플랫폼 등 사업자들이 제도의 불확실성이 없었다면 좋겠다고 했지만 기술적으로 너무 옭아매지도 않았으면 좋겠다고 하는데 이에 대한 위원회의 중심은 무엇인가.

고 위원장=불확실성을 줄여달라고 하면 방법은 간단하다. 규정을 정확하게 만들면 된다. 그렇게 규정을 만들고 나면 제일 현장과 동떨어지고 경직적인 규정이 만들어진다. 이율배반적인 측면이 있다. 이쪽 영역은 너무나 빠르게 기술 발전이 이뤄지기 때문에 실시간으로 개발·상용화가 이뤄져서 규정 중심으로는 IT 영역을 제대로 규율하는 게 불가능하다. 원칙 중심으로 가려고 하고 있다. 원칙을 잘 세워야 한다. 원칙을 개별 상황에 적용하고 판단할 때의 역량을 키워가는 과정이 회색지대를 줄여가는 방법이 될 것이다. 구체적인 질문을 사업자들이 주면 위원회가 회색지대를 줄여가는 방법으로 가려고 한다.