[이슈분석] “집 주소가 줄줄”…이루다 ‘개인정보 유출’ 논란, 처벌은?

AI챗봇 이루다(왼쪽, 사진=스캐터랩), 카카오맵(오른쪽, 사진=카카오맵))

[투데이e코노믹 = 이지혜 기자] 인공지능(AI) 채팅봇 서비스 ‘이루다’ 등을 비롯해 기업이 개인정보를 유출했다는 이슈가 연달아 불거지면서 개인정보 보호 원칙을 재정비해야 한다는 우려가 나오고 있다.

‘이루다’는 개발사 스캐터랩이 앞서 출시한 애플리케이션(앱) ‘연애의 과학’과 ‘텍스트앳’에서 수집한 카카오톡 대화 데이터를 활용해 만들어졌다. 이 과정에서 이용자들에게 개인정보 이용·활용 동의를 제대로 받지 않았다는 지적이 쏟아졌다.

카카오맵도 앱 내 즐겨찾기에 저장한 정보를 다른 이용자들이 볼 수 있어 주소, 군부대 위치 등 개인정보가 유출됐다는 의혹이 나왔다.

먼저 스캐터랩은 한국인터넷진흥원(KISA)와 개인정보보호위원회로부터 조사를 받고 있다. 개인정보위는 현재 개인정보보호법 제15조(개인정보의 수집·이용), 제18조(개인정보의 목적 외 이용·제공 제한), 제22조(동의를 받는 방법) 등과 가명정보 처리에 관한 특례 준수 위반 여부를 들여다보고 있다.

스캐터랩은 15일 조사가 종료되는 즉시 ‘이루다’의 데이터베이스(DB)와 학습에 사용된 딥러닝 대화 모델을 폐기하겠다고 밝혔다.

스캐터랩은 연애의 과학 로그인 시에 무조건 개인정보 취급 방침에 동의하도록 설정해뒀는데, 이는 개인정보 수집·이용 목적을 알리고 동의 필수·선택 여부를 구분해야 하는 개인정보보호법 제 15조 2항과 22조를 위반했다는 지적이 나온다. 대화 상대방에 대한 동의절차가 없었다는 사실도 정보 주체 동의를 받도록 하는 개인정보보호법 제15조1항 위반 소지가 있다.

또 수집된 카카오톡 대화를 활용하는 과정에서 개인의 주소, 실명, 계좌번호 등이 제대로 여과되지 않아 특정 대화에서 이들 정보가 노출되기도 했다.

개발소스 공유플랫폼 ‘깃허브(GitHub)’에 공개한 오픈소스에도 이용자 대화가 비식별화되지 않고 공개돼 논란이 확산됐다. 스캐터랩 측은 이에 대해 내부 테스트 샘플이 포함됐고, 실명을 자동화 비식별 처리했지만 필터링 과정에서 걸러지지 않은 부분이 일부 존재했다고 사과했다.

스캐터랩 측은 이날 이루다 DB가 비식별화 절차를 걸쳐 개별적이고 독립적인 문장 단위로 이뤄져 개인 식별이 가능한 데이터는 없다고 밝혔다. 또 딥러닝 대화 모델은 비식별화 절차를 거친 데이터를 토대로 대화 패턴만을 학습하고, 인공지능은 데이터를 벡터값으로 기억하기 때문에 개인정보가 유출될 위험이 없다고 해명했다.

그러나 연애의 과학 이용자 300여 명은 오픈채팅방을 통해 집단소송을 논의하고 있다. 법무법인 태림은 15일 공동소송 플랫폼 ‘화난사람들’을 통해 이루다 AI 개인정보 유출 피해자 집단소송 참여 접수를 시작했다.

카카오맵의 경우 이용자가 자신이 관심있는 장소 목록을 만들어 타인에게 공유할 수 있는 즐겨찾기 기능을 통해 일부 이용자들의 거주지, 자녀의 학교, 데이트 코스 등이 공개되면서 논란이 됐다.

또한 이를 통해 성매매 업소 리스트를 관리하거나 군부대 이름 및 위치를 노출한 이용자도 있었다. 새 폴더를 만들 때 정보 공개가 기본값으로 설정될 수 있어 이용자가 부지불식 간에 자신의 개인정보를 노출하게 된 것이다.

개인정보위는 15일 카카오맵에 기존 생성된 즐겨찾기 폴더를 모두 비공개로 전환하도록 요청했다. 이에 따라 카카오 측은 즐겨찾기 폴더 생성시 기본설정을 ‘공개’에서 ‘비공개’로 조치하고 기존에 생성된 즐겨찾기 폴더 내용도 비공개로 전환했다.

카카오 측은 당초 개인정보 유출 논란을 촉발한 즐겨찾기 목록의 공개에 대해 “장소 정보는 누구나 볼 수 있는 공개된 정보이며 이를 즐겨찾기 한 것은 개인정보로 보지 않아 디폴트 값을 비공개로 하지 않았다”고 해명한 바 있다.

개인정보 보호법 위반시 '총매출액 3%' 과징금으로...법 개정한다

현행 개인정보보호법에 따르면 개인정보를 침해해 문제를 일으킨 기업에 대한 과징금은 ‘법위반으로 거둔 매출액의 3%’다. 개인정보보호위는 법 개정을 통해 이를 ‘연간 총매출액의 3%’로 강화할 예정이다. 또 개인정보 유출 피해자들은 소송을 통해 정신적 위자료를 청구할 수 있다.

이명진 개인정보보호위원회 사무관은 17일 본지와의 통화에서 법 개정 방향과 관련해 “관련 매출액이라고 하면 기업, 특히 다국적 기업들의 경우 관련 매출액 자체를 산정하기에 상당히 애로가 있다. 기업에서 정확한 자료를 주지 않으면 당국이 조사하고 파악하기 어렵지만, 전체 매출의 경우 회계보고서를 확인하면 명확히 나온다”고 이유를 설명했다.

더불어 “국제적 기준과의 정합성 측면이 있다. EU GDPR 같은 경우 전체 매출의 4%를 과징금으로 낸다. 세계 각 국가가 그런 방향으로 가고 있어 우리나라도 그 방향에 맞춘 것”이라고 덧붙였다.

한편 연이은 논란에 사용자들이 명확히 개인정보 취급 방침을 인지하고 결정권을 행사할 수 있도록 약관 등을 고지해야 한다는 지적도 많다. 더불어 개인정보의 경우 결합할수록 개인이 특정될 수 있다는 점을 고려해 단순 비식별화에서 그치지 않고 삭제권을 보장해야 한다는 목소리도 나온다.

민주사회를위한변호사모임(민변), 사단법인 정보인권연구소, 진보네트워크센터, 참여연대 등 진보단체는 13일 공동성명을 통해 “개인정보 침해를 당했음에도 불구하고 그 사실조차 모르는 정보주체가 다수 존재할 것”이라면서 “정보주체의 권리를 보장하기 위해서는 현 가명정보에 면제한 열람권, 삭제권 등을 보장하는 방향으로 법개정이 있어야 할 것”이라고 비판했다.

LIFE platform