"너도나도 지브리 프로필, 원본 유출 괜찮을까"… 챗GPT와 개인정보 침해

요즘 챗GPT로 지브리풍 프로필을 만드는 게 유행이다. 귀엽고 따뜻한 그림체가 보는 순간 절로 미소를 짓게 하지만 원본 사진을 인공지능(AI)이 학습하고, 다른 데 쓸 수 있다고 생각하면 섬뜩해지기도 한다. 생성형 AI 챗GPT는 2022년 11월 출시 이후 개인정보 관리와 관련한 문제가 꾸준히 제기돼왔다. 서비스 이용 시 개인정보를 AI가 학습하고 저장된다는 점에서 개인정보 침해 문제에서 자유로울 수 없기 때문이다.

개인정보 보호에 있어 문제되는 부분은 AI 학습 과정에서 발생한다. AI는 텍스트, 이미지 등 비정형 데이터를 처리하면서 패턴, 구조, 배열 등을 학습한다. 이때 AI는 주민등록번호, 주소, 건강 정보 등이 민감한 개인 정보라는 사실을 잘 알지 못할 수 있다. 때문에 학습된 정보를 암기하고 다시 출력하는 과정에서 정보가 노출될 수 있다. 이같은 요소들로 인해 개인정보 유출 또는 정보주체의 권리 침해가 발생할 가능성이 생기는 것이다.


이와 관련한 법적 쟁점과 대응 방안에 대해 지식재산권 전문변호사의 이야기를 들어봤다. 김태환 법무법인 대륜 지식재산권전문 변호사와 주고받은 일문일답이다.

▶ AI 모델이 개개인의 정보를 학습하고 활용했다면 개인정보 보호법 위반에 해당할 수 있을까?

AI 모델이 개개인의 개인정보를 학습하고 활용한 경우, 이는 개인정보 보호법 위반으로 문제가 될 수 있다. 개인정보 보호법에 따르면 개인정보 수집·이용·제공하는 데 있어 정당한 법적 근거가 반드시 필요하다. 개인정보 보호법 제15조는 개인정보를 수집하고 이용할 때 정보주체의 동의나 법적 요건을 충족해야 한다고 규정하고 있다.


동법 제15조와 제17조는 개인정보를 목적 외로 이용하거나 제공하는 것을 제한하고 있다. 이번 사안에서 문제가 되는 부분은 '정보 주체의 동의'라고 볼 수 있다. 개인정보를 처리하기 위해서는 정보 주체의 동의가 선행돼야 한다. 다만, AI 모델이 학습하는 데이터에 포함된 개인정보가 이미 공개된 정보라면 동의 없이도 처리 가능한 사례가 존재할 수 있어 검토가 필요하다.

또 다른 쟁점은 개인정보처리자의 정당한 이익을 어떻게 인정하는지에 달렸다. 개인정보를 처리하려는 목적이 합리적이고 정당한 사업상 필요에 기반해야 하며, 그 목적이 정보주체의 권리나 이익보다 우선한다고 평가될 수 있어야 한다.

다시 말해 개인정보처리자의 이익이 아무리 크다 하더라도 정보주체에게 과도한 침해를 초래하거나, 정보주체가 예상하지 못하는 방식으로 개인정보가 사용될 경우 '정당한 이익'이 인정되지 않는다는 뜻이다. 이러한 상황에서 개인정보를 AI 학습시키거나 2차적으로 활용할 경우 개인정보 보호법 위반이 될 가능성이 높아진다.
개인정보 제공 고지 글씨, 지나치게 작아도 위법▶ 과학기술의 발달로 갈수록 개인정보 처리의 문제가 늘고 있다. 만약 개인정보 유출 피해를 입었다면 대응 방안은?

개인정보 유출 피해로 대응할 수 있는 법적 조치는 크게 행정기관으로부터의 벌금 또는 과징금, 민사손해배상청구, 형사고소와 같은 방식을 이용할 수 있다. 사실 AI와 관련한 대표적인 소송은 아직 우리나라에서 진행되지 않아 까다로운 사안이다. 개인정보와 관련한 사안으로는 대표적인 형사 사례인 홈플러스 사건(대법원 2017. 4. 7. 선고 2016도13263 판결)을 예시로 들 수 있겠다. 경품행사를 위해 개인정보를 수집하고 제공하는 과정에서 개인정보 보호법 제15조에 따른 고지사항을 제대로 이행하지 않았고, 개인정보 보호법 제17조에 관한 규정도 제대로 준수하지 않았던 사건이다.

특히 개인정보의 제공에 대한 고지가 작은 글씨로 기재돼, 소비자들이 충분히 읽고 동의할 수 있는 상황이 아니었다. 이는 정보주체의 동의를 받는 과정에서 필수적으로 명확한 고지와 동의가 있어야 한다는 법적 요구를 위반한 것이다. 결국 개인정보 보호법 제72조 제2호와 제59조 제1호에 의거, 홈플러스와 담당자는 형사책임을 지게 됐다. 해당 사건은 '동의의 불충족'과 '불명확한 고지'로 개인정보 보호법을 위반한 사례로 향후 유사한 사건들에 대해 법적 기준을 제시하는 중요한 판례라고 할 수 있다.

▶ 개인정보처리자인 AI 서비스 사업자의 경우 개인정보 보호법 등 관련 법을 준수하기 위해 어떤 전략을 세워야 할지?

AI 모델이 개인정보를 학습하고 활용하는 과정은 개인정보 보호법을 위반할 가능성이 존재한다. 따라서 AI 개발자와 서비스 제공자는 정당한 법적 근거를 명확히 하고, 안전성 확보 및 정보주체의 권리 보장을 철저히 해야 한다. 개인정보 보호법에 따라 공개된 개인정보를 처리하는 경우에도 그 법적 근거와 안전성 확보 기준을 준수해야 하며, 정보주체의 동의를 명확히 받는 것이 중요하다.

구체적으로 동의 절차를 마련하고 개인정보를 처리 목적 외로 사용하거나 제공하는 일이 없도록 철저히 관리해야 한다. 개인정보 유출을 방지하기 위해 안전성 확보 조치도 강화해야 한다. 안전성 확보는 개인정보 보호법 제29조에 명시된 대로 내부 관리 계획 수립, 접속기록 보관 등과 관련된 기술적·관리적·물리적 조치를 포함해야 한다.