박창선 / Ncooper 대표
인공지능 경험의 시대 ② 혁신과 프라이버시의 조화
우리는 모두가 연결된 상태로 수많은 정보를 교환하는 시대에서 살고 있다. 이번 기획에서는 AI 활용에 적극적인 움직임을 보이는 세상에 발맞춰, 인공지능 서비스의 현주소와 새롭게 도입될 기술에 대해 다루고자 한다. 이를 통해 인공지능 경험의 시대를 살아가는 ‘유저’로서 반드시 알아야 하는 것에 대해 통찰해본다. 그와 더불어 빠르게 변화해가는 세상에서 인간이 생존을 위해 길러야 할 역량 역시 제안해본다. <편집자 주>
[글 싣는 순서] ① 우리가 경험하는 AI ② 혁신과 프라이버시의 조화 ③ 편향된 데이터는 불편(不便)하다 ④ 선택은 우리의 몫, AI 유토피아
AI 시대, 새로운 윤리와 관심의 필요성
박창선 / Ncooper 대표
인공지능(이하 AI)기술이 빠르게 일상으로 스미고 있다. 매일 마주하는 수많은 장치와 서비스 중 상당수가 이미 AI기술을 사용한다. 스마트폰 속 개인 비서, 거리 곳곳에 있는 지능형 CCTV, 소비자의 질문에 답하는 챗봇, 맞춤형 추천 서비스를 제공하는 쇼핑몰이나 금융 서비스 등 그 사례가 너무 많다. 이러한 디지털 시대를 맞아 전통 산업과 첨단 산업 모두 AI투자에 나서고 있어, 앞으로 AI기반 상품과 서비스는 더욱더 많아질 전망이다.
데이터 활용과 보호의 균형점 찾기
AI기술을 활용한 상품과 서비스의 발전은 여러모로 소비자에게 득이다. ‘나보다 나를 더 잘 아는’ 서비스가 주는 만족감은 클 수밖에 없다. 그러나 모든 것이 다 좋을 수는 없는 법이다. 실제로 AI가 주는 편익 속엔 숨은 어두움도 있다. 바로 사생활 침해, 개인정보 유출 등 윤리적인 문제가 그림자를 드리운 것이다. 그렇다고 AI를 포기할 수는 없다. AI는 데이터 경제 시대, 대한민국의 새로운 성장 동력이기 때문이다. 얼마 전까지만 해도 AI산업 활성화의 걸림돌로 ‘규제’가 꼽혔다. 소비자의 숨은 욕구까지 채우는 AI기반 상품과 서비스가 발전하려면 엄청난 양의 데이터가 필요하다. 양질의 데이터가 많으면 많을수록 AI의 정교함과 편리함은 커진다. 물론 적은 수의 데이터만으로도 AI를 구현할 수도 있지만 대개 데이터는 다다익선이다. 그러나 많은 데이터를 모아 활용하려면 규제라는 산을 넘어야 하는데, 이게 만만한 일이 아니다. 산업을 키우고 개인정보 보호 문제를 해결하려고 정부가 내놓은 카드가 개인정보보호법, 정보통신망법, 신용정보법 개정안이다. 일명 ‘데이터3 법’으로 통하는 이 개정안의 핵심은 규제들에 묶여 있던 데이터 활용의 고속도로를 뚫는 것이다. 이는 규제를 과감히 조정하면서 AI시대에 데이터 기반 산업을 육성할 수 있도록 체계적인 정책을 추진하는 일이기도 하다.
도마 위에 오른 데이터3법
데이터3법 국회 통과 소식에 산업계는 크게 환영하며 새로운 시장 기회에 대한 기대감을 드러냈다. 하지만 일명 이루다 사건이 터지면서 관련 업계는 기대와 달리 개인정보의 주체인 사용자의 차가운 시선과 마주하게 됐다. 스캐터랩의 AI기반 음성 인식 서비스인 ‘이루다’는 지금까지 우리가 알던 챗봇과 달리 진짜 사람과 이야기하는 느낌으로 화제를 모았지만, 개인정보 침해 의혹이 제기되면서 짧은 생애를 마감했다. 이루다의 AI모델 훈련에 사용한 데이터가 문제였다.
스캐터랩은 카카오톡 대화를 분석해 보고서를 제공하는 유료 서비스 ‘연애의 과학’을 통해 100억 건의 데이터를 수집했고, 이를 토대로 이루다의 AI모델을 훈련시켰다. 해당 데이터를 사용한 근거는 서비스 약관에 고지한 내용이었는데, 카카오톡 내용을 자사의 신규 서비스에서 사용할 수 있다는 것이었다. 이는 데이터3법의 ‘가명정보 도입을 통한 데이터 활용 제고’와 ‘동의 없이 처리할 수 있는 개인정보의 합리화’ 측면에서 보면 문제 될 것이 없다. 즉 이번 논란은 스캐터랩이 개인정보 가명 처리를 제대로 하지 않아 사용자들이 개인정보 유출 피해를 봤기 때문이 아니다. AI시대에서 데이터3법이 과연 우리의 개인정보와 사생활을 제대로 보호할 수 있는지 의구심을 갖게 한 사건이란 게 이슈의 초점이다.
모든 이해관계를 만족시키는 완벽한 규제는 없다. 특히 첨단 분야에서 나타나는 규제는 늘 기술 발전의 뒤를 따른다. 따라서 이루다 사고 같은 문제가 발생한다고 해서, 원인을 데이터3법의 실효성으로만 돌릴 수는 없다. 데이터3법은 기술 발전 흐름을 잘 반영한 최신 가이드라인을 제시한다. 이때 기존의 규제 1.0 시대의 법은 IT 기술이 기업과 기관 운영의 중추로 자리 잡을 수 있도록, 개인정보 관리 감독의 틀을 제시한 것이다. 이는 사전 고지에 대한 동의를 받은 개인정보를 기업이 안전하게 보호하는 의무를 수행하기도 했다. 한편 데이터3법은 규제 2.0 시대의 법으로, AI와 데이터 중심의 디지털 전환이 이뤄지는 변화에 따라 기존 규제를 하나로 묶어 개정한 것이다. 그러나 규제 2.0 시대는 법만으로는 부족하다. 정보의 주체인 사용자의 관심과 AI상품 및 서비스를 제공하는 기업의 자발적 노력이 어우러져야 한다.
사용자와 기업의 역할
이제 사용자는 개인정보 사용 동의를 할 때 더욱 꼼꼼하게 약관을 볼 필요가 있다. 개인정보를 수집하는 첫 단계는 사전 고지를 통해 동의를 구하는 것인데, 일반적으로 소비자가 직접 선택하는 동의 모델을 사용한다. 그러나 사람들은 대부분 사전 고지 내용을 제대로 읽지 않고 동의한다. 지금까지 해 오던 대로 약관을 무시하고 개인정보 사용에 ‘동의’를 누른다면 제2, 제3의 이루다 사건은 다시 일어날 수 있다. 데이터3법이 통과됨에 따라 이제 기업은 적시한 수집 목적에 크게 벗어나지 않는 범위 내에서 개인정보의 추가적인 이용 및 제공이 가능하다. 이루다 사고처럼 사전 동의를 바탕으로 별도 공지 없이 사용했다고 하면 자신의 개인정보가 만천하에 공개돼도 할 말 없는 상황을 마주할 수도 있다.
따라서 개인정보의 주체인 나의 권리를 챙길 때 확실히 알아 둬야 할 것이 있다. 먼저 데이터3법이 분류한 개인정보의 종류다. 데이터3법은 개인·가명·익명으로 정보를 나눈다. ‘개인정보’는 특정 개인이 누구인지 식별할 수 있는 정보로 사전에 구체적인 동의를 받은 범위 내에서만 활용할 수 있다. 반면에 ‘익명정보’는 개인을 식별할 수 없는 정보다. 그러나 이 중 주목해 볼 것은 ‘가명정보’다. 가명정보는 이번에 새로 적용된 개념인데, 특정 개인을 추가 정보 없이 알아볼 수 없도록 처리한 것이다. 주로 통계 작성, 과학적 연구, 공익적 기록 보존 목적으로 동의 없이 활용할 수 있는 성격을 가진다. 해당 개념엔 산업 활성화에 대한 정부의 의지가 담겨 있다고도 볼 수 있지만, 우려의 목소리도 적지 않다.
데이터3법 개정 전의 규제들은 사실상, 개인정보 사용 사전 고지를 읽지 않아도 큰 문제가 될 것이 없었다. 반면 가명정보는 그 사용 범위가 다양하게 해석될 수 있으며, 여러 데이터를 조합해 보면 해당 사용자가 누구인지 알 수 있는 정보로 변환될 우려도 존재한다. 즉 개인정보 오남용 우려와 함께 관리 소홀로 인한 개인정보 유출 위험이 있다. 개인정보 보호와 관리 의무는 여전히 기업과 기관에 있지만, 결국 개인 역시 적극적으로 감시하는 자세가 필요하다. 자신의 정보가 어디서 활용되는지, 윤리적 기준은 잘 지켜지고 있는지를 우리 스스로 확인해야만 하는 것이다.
물론 기업 역시 사용자와 마찬가지로 새로운 측면의 노력이 필요하다. 기존에는 가이드라인에 맞춰 개인정보 보안 체계를 갖추는 데 주력했다. 개인정보를 잘 보호하고 있는지 관리하는 데에만 집중한 것이다. 그러나 데이터3법은 사용자 보호에 더해 산업 육성까지 고려하고 있다. 또한 AI기반 상품과 서비스에서 데이터를 이용하는 방식은 기술적 보호 조치뿐만 아니라, AI윤리에 대한 선언과 해당 기준을 벗어나지 않기 위한 노력도 요구된다. 따라서 기술적 보호 조치도 단순히 중요 데이터를 암호화하고 외부 유출을 막는 정도로는 부족하다. 설명 가능한 AI(Explainable AI) 역량과 데이터 거버넌스 체계를 만들어야 한다. 이후 합법적인 데이터만 수집하고, 법이 정한 테두리 안에서 데이터를 활용한다는 투명성과 AI윤리를 잘 준수한다는 신뢰성을 부각할 필요가 있다. 이런 측면에서 볼 때, 최근 국내 주요 디지털 플랫폼 기업의 AI윤리 관련 발표는 반가운 일이다.
한국판 뉴딜 성공의 전제 조건
한편, 혁신과 프라이버시의 조화는 개인과 기업의 시야에서만 바라볼 사안이 아니다. 이는 한국 정부가 전략적으로 추진 중인 디지털 뉴딜 사업이 성공할 수 있는 전제 조건이기도 하다. 디지털 뉴딜 사업 중 가장 많은 예산을 투입하는 것은 D·N·A(Data·Network·AI) 생태계 강화 정책이다. 무려 31.9조 원을 투입하는 해당 정책이 성과를 거두려면 최신 기술과 시장 트렌드에 맞는 개인정보 보호 방안이 필요하다. 데이터3법 개정이 혁신과 프라이버시의 조화를 위한 출발점이란 데 이견을 달 사람은 없을 것이다. 다만, 법에 모든 것을 맡길 수는 없다. 개인·기업·기관 모두의 관심 속에서 기술적 보호 조치를 위한 가이드라인과 함께 AI윤리 기준에 대한 합의가 이뤄져야 더 큰 가치를 만들 수 있을 것이다.