'이루다' 개인정보 유출 없다지만..개인정보위 조사 착수

이후섭 2021. 1. 13. 05:31
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
개인정보위 "스캐터랩에 자료 제출 요구할 것..최대한 빨리 진행"
'연애의 과학' 데이터 활용.."충분히 소통하지 못한 점 책임 통감"
'동의 제대로 받았나' 관건..위반행위 사실이면 과징금 불가피

[이데일리 이후섭 기자] 인공지능(AI) 챗봇 `이루다`에 대한 개인정보 유출 논란이 불거지면서 개인정보보호위원회와 한국인터넷진흥원(KISA)이 조사에 착수했다. 무분별하게 개인정보가 수집됐는지, 제대로 된 동의 절차를 거쳐 AI 개발에 데이터가 쓰였는지, 개인정보 암호화 조치가 제대로 이뤄졌는지 등 제기되고 있는 의혹에 대한 사실 확인에 들어갈 방침이며, 조사 결과 개인정보보호법 위반 행위가 발견되면 과징금 부과, 형사 고발 등의 제재로 이어질 수 있다.

개인정보위 “스캐터랩에 자료 제출 요구할 것…최대한 빨리 진행”

12일 개인정보위에 따르면 이루다의 개발 업체인 스캐터랩에 조만간 개인정보보호법 위반 조사와 관련한 자료 제출을 요구할 예정이다. 이를 토대로 개인정보위는 개인정보보호법의 제15조(개인정보의 수집·이용), 제18조(개인정보의 목적 외 이용·제공 제한), 제22조(동의를 받는 방법) 등과 더불어 가명정보 처리에 관한 특례 준수 여부 등을 자세히 들여다볼 방침이다. KISA는 개인정보위의 조사를 위한 기술 지원에 나선다.

개인정보위 관계자는 “(개인정보)비식별화 조치가 제대로 이뤄졌는지도 확인해야 한다. 기타 개인정보보호법 상 다른 조항에 대한 위반 여부도 조사하면서 살펴봐야 할 것”이라며 “최대한 빨리 조사를 진행할 계획”이라고 말했다.

`연애의 과학` 데이터 활용…“충분히 소통하지 못한 점 책임 통감”

스캐터랩은 이루다를 개발하는 과정에서 회사가 제공하고 있는 또다른 서비스 `연애의 과학`으로 수집한 메시지를 데이터로 활용했다. 연애의 과학은 유료 서비스로, 실제 연인과 나눈 카카오톡 대화 내용을 바탕으로 연인과의 친밀도를 분석해 제공한다. 이루다가 학습한 100억건의 카카오톡 대화에 연애의 과학 데이터가 사용되면서, 이루다와의 대화를 통해 이름, 집 주소, 계좌 정보 등의 개인정보가 유출됐다는 주장이 제기되고 있다. 연애의 과학 이용자들은 법적 대응을 준비하고 있는 것으로 알려졌다.

스캐터랩 측은 “사전에 동의가 이뤄진 개인정보취급방침의 범위 내에서 활용했다”면서도 “연애의 과학 사용자분들께 이 점을 명확히 인지할 수 있도록 충분히 소통하지 못한 점에 대해 책임을 통감하며 진심으로 사과드린다”고 밝혔다.

다만 데이터 활용 시 사용자의 닉네임, 이름, 이메일 등의 구체적인 개인정보는 이미 제거했고, 숫자·영어정보 삭제 등 데이터 비식별화 및 익명성 조치를 강화했기에 개인을 특정할 수 있는 정보는 유출되지 않았다고 반박했다.

또 “사내 대화방에서 수집된 대화를 직원끼리 돌려봤다”는 전(前) 직원의 증언과 관련해서도 진상조사위원회를 구성해 전 팀원이 참여하고 있는 카카오톡 대화에 대한 조사를 진행했지만, 해당 내용이 발견되지 않았다고 밝혔다. 또다른 사내 메신저 채널 슬랙에 대해서는 현재 조사를 진행 중이다.

개인정보보호위원회가 발간한 `개인정보 보호법` 해설서 화면 캡처.

개인정보보호위원회가 발간한 `개인정보 보호법` 해설서 화면 캡처.


[이데일리 문승용 기자]

[이데일리 문승용 기자]


◇`동의 제대로 받았나` 관건…위반행위 사실이면 과징금 불가피

이번 조사에서 관건은 연애의 과학 이용자에게 이루다 개발에 개인정보가 사용된다고 알렸는지, 이를 위한 동의를 제대로 받았는지, 이용자가 명확히 인지할 수 있는 동의방법을 따랐는지 등이다. 개인정보보호법 제15조에 따르면 개인정보처리자는 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간을 정보주체에게 알려야 하며, 해당 사항이 변경되는 경우에도 이를 알리고 동의를 받아야 한다.

또 제18조와 제22조에 따르면 정보주체의 동의를 받지 않고 제3자에게 제공할 수 없으며, 동의를 받을 때에는 각각의 동의 사항을 구분해 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. 개인정보 수집·이용 목적, 항목 등은 개인정보위가 고시하는 방법에 따라 명확히 표시해 알아보기 쉽게 해야 하며, 정보주체 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분하도록 규정하고 있다. 이에 더해 개인정보 안전조치의무, 개인정보의 파기 등에 대한 위반 여부도 살펴볼 수 있을 것으로 보인다.

특히 개인정보 제3자제공 동의 위반은 중대한 위법 행위로, 조사결과 사실로 확인되면 스캐터랩 입장에서는 과징금 부과 등의 제재를 피할 수 없게 된다. 앞서 지난해 12월 페이스북과 LG유플러스의 대리점으로부터 개인정보를 재위탁받은 매집점은 개인정보 제3자제공 동의 위반 행위로 인해 각각 67억원, 1520만원의 과징금을 부과받았다. 페이스북의 경우 위법행위의 중대함과 거짓자료 제출 등 조사를 방해하는 행위까지 더해져 형사 고발 조치도 당했다.

이후섭 (dlgntjq@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
이데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.