정부, AI 챗봇 '이루다' 개발사에 과징금·과태료 1억330만원(종합)
성차별 논란 AI 챗봇 '이루다' 개발사 과징금 처분
정부 AI 기술 기업의 개인정보 처리 제재 첫 사례
개인정보위 "이용자 개인정보 수집 목적 벗어나"
인공지능(AI) 챗봇 '이루다' (뉴시스DB)
[서울=뉴시스] 김성진 기자 = 정부는 28일 성희롱과 차별·혐오 논란을 일으킨 인공지능(AI) 챗봇 '이루다'의 개발사 스캐터랩에 1억330만원의 과징금(5500만원)과 과태료(4780만원)를 부과하고, 시정조치를 명령했다.
개인정보보호위원회(위원장 윤종인·이하 개보위)는 이날 오전 10시 정부서울청사에서 제7차 전체회의를 열고 이 같은 내용을 심의·의결했다. AI 기술 기업의 무분별한 개인정보 처리를 제재한 첫 사례다.
'이루다'는 20대 여대생을 캐릭터로 한 대화형 AI 챗봇으로 성희롱 발언, 소수자에 대한 차별 및 혐오 발언, 개인정보 침해 문제 등 논란에 휩싸여 출시 20일 만인 지난 1월12일 서비스를 중단했다.
'이루다' 서비스의 개인정보유출 피해를 주장하는 이용자들은 개발사인 스캐터랩을 상대로 2억원의 손해배상청구 소송을 제기한 상태며, 시민사회단체들도 정부에 민원 등을 통해 처벌 및 시정을 요청했다.
개보위 조사 결과에 따르면 스캐터랩은 자사의 앱 서비스인 '텍스트앳'과 '연애의 과학'에서 수집한 카카오톡 대화를 지난해 2월부터 올해 1월까지 페이스북 이용자 대상의 챗봇 서비스인 '이루다'의 AI 개발과 운영에 이용한 것으로 확인됐다.
스캐터랩은 '이루다' AI 모델 개발을 위한 알고리즘 학습 과정에서, 카카오톡 대화에 포함된 이름·휴대전화번호·주소 등 개인정보를 삭제하거나 암호화하지 않고, 약 60만명에 달하는 이용자의 카카오톡 대화문장 94억여 건을 이용했다.
또 '이루다' 서비스 운영 과정에서 20대 여성의 카카오톡 대화문장 약 1억건을 응답 데이터베이스로 구축하고, '이루다'가 이 중 한 문장을 선택해 이용자에게 응답할 수 있도록 운영했다.
특히 스캐터랩은 '이루다' 개발·운영 과정에서 이용자의 카카오톡 대화를 이용하기 위해 '텍스트앳'과 '연애의 과학' 개인정보처리 방침에 '신규 서비스 개발'을 포함시켰다.
[서울=뉴시스]김명원 기자 = 송상훈 개인정보보호위원회(개인정보위) 조사조정국장이 28일 서울 종로구 정부서울청사 합동브리핑실에서 '이루다' 개발사 스캐터랩 과징금·과태료 등 제재 처분 관련 브리핑을 하고 있다. 이날 개인정보보호위원회는 전체회의를 열고 챗봇 '이루다' 개발사 스캐터랩에 대하여 총 1억 330만원의 과징금과 과태료 등을 부과했다. 2021.04.28. kmx1105@newsis.com
개보위는 이에 대해 "이용자가 로그인함으로써 동의한 것으로 간주하는 것만으로는 이용자가 '이루다'와 같은 '신규 서비스 개발' 목적의 이용에 동의했다고 보기 어렵다"고 지적했다.
이어 "신규 서비스 개발이라는 기재만으로 이용자가 '이루다' 개발과 운영에 카카오톡 대화가 이용될 것에 대해 예상하기도 어렵다"고 설명했다.
그러면서 " 이용자의 개인정보 자기결정권이 제한되는 등 이용자가 예측할 수 없는 손해를 입을 우려가 있다"면서, 이용자의 개인정보를 수집한 목적을 벗어났다고 판단했다.
아울러 개보위는 스캐터랩이 코드 공유·협업 사이트인 깃허브(Github)에 지난 2019년10월부터 올해 1월까지 이름 22건과 지명정보 34건, 성별, 대화 상대방과의 관계 등이 포함된 카카오톡 대화문장 1431건과 함께 AI 모델을 게시했다고 밝혔다.
개보위는 깃허브에 공개된 가명정보에 대해 "불특정 다수에게 제공하면서 '특정 개인을 알아보기 위해 사용될 수 있는 정보'를 포함했다"며, 개인정보 보호법 28조의2를 위반한 것이라고 했다.
또 개보위는 공개된 카카오톡 대화 내용 등을 전혀 가명 처리하지 않았기 때문에 문제가 된 부분이 가명정보에 해당하지 않는다고 판단을 내렸다.
이와 함께 개보위는 스캐터랩이 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집한 행위에 대해서도 과징금·과태료 등을 부과하고 시정 명령을 내렸다.
이 밖에 개보위는 스캐터랩이 개발한 '텍스트앳'과 '연애의 과학'에서도 만 14세 미만의 아동의 개인정보를 수집한 행위를 확인했다.
특히 '연애의 과학' 앱에서는 "성 생활 등에 관한 개인의 민감한 정보를 처리하면서 별도의 동의를 받지 않아 과징금·과태료 부과 및 시정 명령을 내렸다.
[서울=뉴시스]윤종인 개인정보보호위원회 위원장이 28일 오전 서울 종로구 정부서울청사 4층 대회의실에서 개최된 개인정보보호위원회 제7회 전체회의 개의를 선언하고 있다. 2021.04.28. (사진=개인정보보호위원회 제공) photo@newsis.com *재판매 및 DB 금지
다만 개보위는 개인정보 보호법에 따라" 원칙적으로 서비스 탈퇴를 요구한 이용자들의 개인 정보를 파기해야 하지만, 소송 등을 위해 정보를 보존할 필요가 있어 개발사가 즉시 파기하지 못하도록 조치했다.
개보위 관계자는 "시민사회단체나 소송에 참여하거나 소송에 참여할 예정인 사람들의 개인정보가 보존될 필요가 있다는 주장이 있어서 검토했다"며 "원칙적으로 보호법 규정에 따라서 파기되는 것이 맞다는 판단을 하고 있다"고 밝혔다.
이 관계자는 그러면서도 "다만 (스캐터랩이) 시정조치를 할 때 여러 사정을 고려해서 개보위와 협의해서 (개인정보) 파기 조치를 이행하도록 하는 절차를 마련했기 때문에 그런 모든 사정들을 협의 하에 진행하려고 하고 있다"고 전했다.
김종윤 스캐터랩 대표는 이날 전체회의에 참석해 "'이루다' (딥러닝) 학습 과정에서 개인정보와 관련한 많은 이슈를 만든 점에 대해 물의를 일으켜 죄송하다"며 "개인정보 이해가 부족한 점에 대해 책임을 통감한다"고 밝혔다.
김 대표는 "처음부터 엄격한 규제를 적용하면 많은 문제가 생길 수도 있다"면서 ""한국 AI 발전에 있어 걸림돌을 만드는 거 아닐까 하는 고민도 있다. AI는 이제 시작하는 초기 단계 기술이라 본다. 토론과 합의를 통해 함께 사례를 만들어나가는 게 좋지 않을까 싶다"고 말했다.
윤종인 개보위 위원장은 "이번 사건은 "기업이 특정 서비스에서 수집한 정보를 다른 서비스에 무분별하게 이용하는 것이 허용되지 않고, 개인정보 처리에 대해 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 것을 분명히 했다는 점에 의미가 있다"고 밝혔다.
윤 위원장은 ""본 건에 대한 처분 결과가 AI 기술 기업이 개인정보를 이용할 때에 올바른 개인정보 처리 방향을 제시하는 길잡이가 되고, 기업이 스스로 관리·감독을 강화해 나가는 계기가 되기를 바란다"</고 덧붙였다.
온라인 플랫폼이나 SNS 등에 개인정보를 무단 수집해 유출한 사례가 종종 있었지만,
AI 기술 기업이 개인정보 보호법으로 처벌받은 것은 이번이 처음
개인정보를 보호하면서도 AI 산업을 발전시킬 수 있는 방안은?
정보기술(IT) 기업이 개인정보를 제대로 가명 처리하지 않고 수집할 수 있다는 우려
4차 산업혁명이 촉발한 이른바 '초연결 시대'에 개인들의 개인정보 보호는 더 어려워질 수밖에 없는 상황
가명정보 처리 필수 + 엄격한 개인정보처리 기준/규제 필요
사용자에게 데이터 사용 목적을 구체적으로 제시
가명 처리 기준에 대한 불확실성
AI 발전 속도를 늦출 수 있음
데이터베이스의 정해진 규칙(Rule)에 맞게 데이터를 들어간
일정한 규격이나 형태를 지닌 숫자데이터 (데이터 중에 수치 만으로 의미 파악이 쉬운 데이터들)
값이 의미를 파악하기 쉽고, 규칙적인 값으로 데이터가 들어갈 경우
Gender 컬럼에 male, female 값은 성별 +
Age 컬럼에 20, 45 와 같은 값디 들어가 있으면 나이를 의미함을 알아차릴 수 있음
형태와 구조가 다른 구조화 되지 않은 데이터
정해진 규칙이 없어서 값의 의미를 쉽게 파악하기 힘든 경우
흔히, 책, 잡지, 문서의료기록, 음성 정보, 영상 정보와 같은 전통적인 데이터
+이메일, 트위터, 블로그처럼 모바일 기기와 온라인에서 생성되는 데이터
ex. DB에 저장된 글의 제목
빅데이터의 탄생 : 의미를 분석하기 힘들었던 대용량에 속한 비정형 데이터를 분석
완전한 정형이 아니라 약한 정형 데이터
일반적인 데이터 베이스는 아니지만 스키마를 가지고 있는 형태
대표적으로 HTML이나 XML, JSON과 같은 포맷
개인정보에 대한어느정도의 제제는 필요하고 한정된 자원을 가지고 기술력을 키우는 것도 기술 : 개발자는 힘들겠지만..
현재 개인정보보호법에서는 기술적으로 쉽지 않은 부분이 있어 개인정보보호위원회가 스타트업들의 AI 개발을 위해 어느정도의 합리적인 기준을 열어줘야할 필요성은 있음
비즈니스 모델을 개발하는 과정에서 투자 유치에 치중하다 보니 먼저 (데이터를) 이용하고 이런 (법률적인) 건 나중에 체크하자는 부분이 있는데 이건 스타트업에 다니느 사람들 마인드부터 바꿔야 함
'이루다 사태' 개인정보법 위반 '일단락'…남은 숙제는
스타트업이라고 안 봐준다…AI 기업 '개인정보 부실처리' 첫 철퇴