IT

이데일리

진보넷 "이루다, 100억건의 개인정보 침해가 빚어낸 참사"

김현아 입력 2021. 01. 13. 19:20

기사 도구 모음

음성 기사 옵션 조절 레이어
번역beta

Translated by kakao i

번역할 언어 선택
글자 크기 조절 레이어
"신뢰할 수 있는 인공지능, 기업 자율규제만으로 안돼"
"구체적이고 명료한 법적 규범 필요"
[이데일리 김현아 기자]
출처: 이루다 인스타그램
[이데일리 문승용 기자]

진보네트워크센터와 민변 디지털정보위원회, 사단법인 정보인권연구소, 참여연대 등이 최근 성희롱과 차별·혐오 논란 끝에 서비스를 중지한 스캐터랩의 대화형 챗봇 ‘이루다’ 사태는 100억 건의 개인정보 침해가 빚어낸 참사라며, 신뢰할 수 있는 인공지능(AI) 세상을 만드려면 기업의 자율규제만으로는 안된다는 입장을 밝혔다.

진보넷 등은 “이루다는 사용자들의 성희롱과 폭언 등의 남용, 혐오표현에 대한 미온적 대응 등 보호받아야 할 사회적 가치를 훼손하는 알고리즘은 물론이고, 개인의 사적인 대화나 개인정보가 심각하게 수집되고 유출된 것으로 드러나 당혹감을 안겨주고 있다”고 지적했다.

이어 “국내 자본 뿐 아니라 해외에서도 많은 투자를 받은 이 회사의 이번 논란을 해외 시장과 경쟁하려는 국내 청년 스타트업의 불가피한 시행착오로 포장하려는 일부 언론의 보도에 대해 우려한다”면서 “이루다 논란은 기업의 인공지능 제품이 일으킬 수 있는 문제의 한 단면일 뿐이며 이에 대한 대책을 기업 자율에만 맡겨둘 수 없다. 구체적이고 명료한 법적 규범을 마련할 것을 촉구한다”고 부연했다.

이루다 학습 데이터 모집 법 위반 소지

특히 진보넷은 이루다의 학습 데이터 모집 과정이 개인정보보호법 위반 소지가 있다고 밝혔다.

스캐터랩은 2013년 텍스트앳, 2016년 연애의 과학 등의 어플리케이션을 운영하며 카카오톡 등 메신저의 대화 내용을 수집해왔고 이를 자사 다른 제품인 대화형 챗봇 ‘이루다’의 학습용 데이터로 이용했다.

진보넷은 “회사 측은 카톡 대화 내용 내보내기 기능을 통해 특정 상대방과 나눈 대화를 전부 수집하면서 사전 동의가 이뤄진 개인정보취급방침의 범위 내에서 이용했다고 주장했으나, 연애의 과학 로그인 페이지에서 “로그인함으로써 개인정보 처리방침에 동의합니다”로 간주하는 것은 각각의 사항을 알리고 명시적으로 동의를 받도록 한 개인정보 보호법 위반“이라고 꼬집었다.(제15조 제2항 또는 제39조의3제1항 및 제22조 위반).

또 “카카오톡 대화 수집에 동의한 사용자들에게 해당 비공개 대화가 챗봇 서비스 학습 데이터로 이용된다고 적정하게 고지되었는지도 의문”이라며, 각 어플리케이션의 개인정보 취급방침에는 ‘신규 서비스 개발 및 마케팅·광고에의 활용’ 정도의 내용만 있다고 했다.

즉, 해당 방침을 읽고 본인이 제공한 대화 내용이 챗봇의 학습 데이터로 이용될 거라고 예상한 사람이 어디 있을지 의문이라는 것이다.

진보넷은 또 “‘신규 서비스 개발과 마케팅·광고 활용’이 유료 어플리케이션을 이용하는데 ‘필수정보’인지도 의문”이라며 “필수정보가 아닌 개인정보 수집·이용에 대해서는 이용자의 선택권을 보장해야 한다. 그렇지 않으면 법 위반”이라고 비판했다.(제16조 제2항과 제3항 또는 제39조의3제3항 위반).

대화 상대방의 동의도 없어

진보넷은 또 사용자들이 분석을 위해 제공한 카카오톡 대화는 2인 이상의 대화인데, 개인정보 보호법 제15조 또는 제39조의3제1항에 따라 마땅히 받아야 할 대화 상대방에 대한 동의 절차는 어디에도 없었다고 비판했다.

지난 12일 스캐터랩은 논란이 지속되자 서비스를 중지하고 사과의 뜻을 밝혔지만 대화 상대방의 동의 부존재에 대해선 한 마디 언급도 없었다(제15조 제1항 또는 제39조의3제1항 위반)는 얘기다.

이에따라 진보넷은 자신의 사적인 대화 내용이 수집되고 분석되며 이후 챗봇의 학습에 이용되었다는 사실을 인지도 못한 피해자가 무수히 존재할 것이며 이러한 데이터는 원본과 가명 정보 모두 폐기돼야 마땅하다고 했다.

대화 내용에 포함된 민감정보, 고유식별정보

‘텍스트앳’, ‘연애의 과학’ 서비스는 카카오톡 등 메신저를 통한 사적인 대화 내용을 수집하는 바, 이에는 이름과 연락처, 주소 등 개인의 신원이 드러날 수 있는 다양한 개인정보와 더불어 더 민감한 다른 정보도 포함돼 있다.

진보넷은 “민감정보와 고유식별정보는 정보주체의 명시적인 동의나 법령상 허용조항 없이는 누구도 수집하거나 이용할 수 없는데 연애의 과학은 이에 대한 별도 동의를 받지 않았으며 실제로 성생활 등에 대한 정보가 수집 이용된 것으로 보인다”고 비판했다.

개인정보에 대한 이용자의 권리 무시

스캐터랩은 이루다가 학습한 대화내용에서 숫자와 영문, 실명 정보 등은 삭제하였기 때문에 개인정보에 대한 비식별화가 충분히 이뤄졌다고 주장하나, 이름, 주소 등이 노출되는 사례가 등장하고 있는 것은 이 회사의 비식별화 또는 가명처리의 수준이 적정하지 않았다는 점을 분명히 드러내고 있다는 게 진보넷 입장이다.

AI 윤리, 법으로 규제해야

진보넷은 “이번 이루다 논란은 기업을 위한 데이터3법이 자초한 문제이기도 하다”며 “기업의 상업적인 제품 개발을 위해 정보주체의 기본권을 무시하며 가명정보를 무제한적으로 이용하는 것은 위헌적이다. 정보주체의 권리를 보장하기 위해서는 현 가명정보에 면제한 열람권, 삭제권 등을 보장하는 방향으로 법개정이 있어야 한다. 무엇보다 새로운 사회적 흐름으로 등장한 인공지능 제품에 대한 명확한 법규범은 필수”라고 부연했다.

과학기술정보통신부의 ’인공지능(AI)윤리기준’ 에 대해서도 “인공지능 제품과 그 학습 데이터의 편향성의 문제는 윤리가 아니라 법률 규범의 문제”라면서 “국민의 안전과 기본권을 보호할 수 있는 인공지능 규제법을 고민해야 할 때”라고 강조했다.

김현아 (chaos@edaily.co.kr)

ⓒ종합 경제정보 미디어 이데일리 - 무단전재 & 재배포 금지

포토&TV

    이 시각 추천뉴스