[보안 따라잡기]페이스북서 이루다까지…IT기업 개인정보보호 `비상`

스캐터랩, 이루다 서비스 전면 중단…이루다 DB·딥러닝 모델 폐기
‘동의 제대로 받았나’ 관건…페이스북은 67억원 과징금 부과받아
잇단 논란에 IT기업 위축 우려…`전체 매출액의 3%` 추진도 부담

등록 2021-01-16 오후 3:58:09

수정 2021-01-16 오후 3:58:09
가 가

스캐터랩 사무실(사진=이후섭 기자)

[이데일리 이후섭 기자] 스마트폰의 출현과 소셜네트워크서비스(SNS) 등장으로 전 세계의 일상을 변화시켰던 IT기술은 인공지능(AI) 챗봇까지 등장시키며 발전을 거듭하고 있다. 하지만 IT 기술의 발전과 함께 개인정보 보호 이슈가 사회적 문제로 떠오르고 있다. 지난해 개인정보보호법 위반으로 과징금을 부과받았던 페이스북, LG유플러스에 이어 최근 AI 챗봇 `이루다`에 대한 조사까지 개인정보 보호를 둘러싼 논란이 계속되면서 IT 기업들에 경고등이 울리고 있다.

지난 13일 개인정보보호위원회는 이루다 개발업체인 스캐터랩에 대한 조사에 본격적으로 착수했다고 밝혔다. 이루다 개발 과정에서 개인정보 수집·이용 동의를 제대로 받았는지, 비식별화 처리는 제대로 이뤄졌는지 등 개인정보보호법 위반 여부를 점검하는 것이다.

스캐터랩은 이루다를 개발하는 과정에서 회사가 제공하고 있는 또다른 서비스 `연애의 과학`으로 수집한 메시지를 데이터로 활용했다. 연애의 과학은 유료 서비스로, 실제 연인과 나눈 카카오톡 대화 내용을 바탕으로 연인과의 친밀도를 분석해 제공한다.

스캐터랩은 이루다 개발을 위해 사용된 연애의 과학 데이터는 이름, 이메일 등 구체적인 개인정보는 삭제하고, 성별과 나이만 인식이 가능한 상태로 이용했다고 설명했으나, 이루다를 통해 실명 일부가 노출되면서 연애의 과학 이용자들이 법적 대응을 준비하고 있는 것으로 알려졌다.

(그래픽=이데일리 문승용 기자)

스캐터랩은 논란이 커지면서 결국 이루다 서비스를 전면 중단하고 이루다의 DB 및 이루다의 학습에 사용된 딥러닝 대화 모델을 폐기하기로 결정했다. 기존 연애의 과학과 텍스트앳 데이터에 대해 활용을 원하지 않는 이용자로부터 신청을 받아 개인정보위 및 KISA의 조사가 종료되는 즉시 해당 데이터를 모두 삭제할 예정이다.

개인정보위는 개인정보보호법의 제15조(개인정보의 수집·이용), 제18조(개인정보의 목적 외 이용·제공 제한), 제22조(동의를 받는 방법) 등과 더불어 가명정보 처리에 관한 특례 준수 여부 등을 자세히 들여다볼 방침이다. 연애의 과학 이용자에게 이루다 개발에 개인정보가 사용된다고 알렸는지, 이를 위한 동의를 제대로 받았는지, 이용자가 명확히 인지할 수 있는 동의방법을 따랐는지 등을 따져보겠다는 것이다.

특히 정보주체의 동의를 받지 않고 제3자에게 제공할 수 없으며, 동의를 받을 때에는 각각의 동의 사항을 구분해 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다는 제18조와 제22조의 위반 여부가 관건이다. 개인정보 제3자제공 동의 위반은 중대한 위법 행위로, 페이스북은 해당 행위로 인해 67억원의 과징금을 부과받았다.

페이스북은 최소 330만명의 개인정보를 당사자 동의없이 다른 사업자에게 넘긴 것으로 나타나 역대 최대 규모의 과징금 철퇴를 맞았으며, 위법행위의 중대함과 거짓자료 제출 등 조사를 방해하는 행위까지 더해져 형사 고발 조치도 당했다. LG유플러스에 대한 제재 처분에서도 해당 행위에 걸린 매집점이 가장 많은 과징금을 부과받았을 정도로 개인정보 제3자제공 동의 위반은 중대한 위법 행위로 여겨지고 있다.

(자료=개인정보보호위원회 제공)

개인정보위는 지난 15일 카카오 지도 애플리케이션 `카카오맵` 서비스 이용자의 즐겨찾기 폴더 기본설정이 `공개`로 이뤄져 있어 폴더에 포함된 개인정보가 다른 사람들에게 공개되고 있다는 지적이 제기됨에 따라 카카오에 기존에 생성된 카카오맵 즐겨찾기 폴더를 모두 비공개로 전환하도록 요청하기도 했다.

개인정보위는 해당 건에 대해서는 사실관계 확인 후 위법사항이 발견될 경우 검사할 계획이라고 밝혔다. 카카오는 카카오맵 즐겨찾기 폴더에 개인을 식별할 수 있는 정보가 담긴 것은 아니기 때문에 개인정보보호법을 위반한 것은 아니라고 보고 있다.

잇단 개인정보를 둘러싼 논란으로 AI 뿐만 아니라 일상과 밀접한 서비스를 개발해 선보이고 있는 IT기업 입장에서는 조심스러울 수 밖에 없는 눈치다. 대부분의 IT 서비스가 일상에서의 각종 활동을 대신해 주거나 편의성을 높여주는 방식이라 개인정보를 데이터로 활용해야 하기 때문이다. 일각에서는 이번 사태로 인해 개인정보 보호 규제가 강화되면서 AI 등 관련 산업이 위축될 것을 우려하고 있다. 개인정보위는 개인정보 보호법 2차 개정을 추진하고 있는데, 과징금 부과기준을 `위반행위 관련 매출액의 3%`에서 `전체 매출액의 3%`로 강화하는 내용이 포함돼 기업 입장에서는 최대 수천억원에 이르는 과징금도 부과될 수 있어 부담스럽다는 반발이 나오고 있다.