KISA "챗GPT 대비 개인정보 보호 대책 상반기 중 공개"

한국인터넷진흥원 개인정보조사단 차윤호 단장이 '개인정보 유출사고와 판례로 본 주요 쟁점'에 대해 발표하고 있다. 한국인터넷진흥원 제공

한국인터넷진흥원(KISA)은 생성형 인공지능(AI) 챗GPT 시대를 대비한 개인정보 보호 원칙을 상반기 중에 개인정보보호위원회와 함께 공개할 예정이라고 밝혔다.

7일 관련 업계에 따르면 차윤호 KISA 개인정보조사단장은 지난 4일 서울 광화문에서 ‘개인정보 유출사고와 판례로 본 주요 쟁점’을 주제로 한 발표 자리에서 앞으로 챗GPT 등 생성AI로 인해 개인정보 유출 위험이 더 커질 수 있다는 질문에 이 같이 답했다.

차 단장은 “KISA 차원에서 챗GPT 관련 별도 전략을 수립하진 않고 개보위와 함께 하는 전문기관으로서 공동 전략을 수립해야 할 것”이라며 “고학수 개보위원장이 말했던 것처럼 챗GPT에 개인정보 침해 여지가 확연하게 보이는 만큼 개인정보 보호를 위해 상반기 중에 대책을 마련해 개보위와 공동 발표할 것”이라고 말했다.

개인정보 유출은 법령 또는 처리자의 자유로운 의사에 의하지 않고 개인정보에 대한 통제를 상실하거나 권한 없는 접근을 허용하는 것을 말한다. 1000명 이상 정보주체의 개인정보가 유출된 경우 지체없이 개보위 또는 KISA에 신고해야 한다.

차 단장은 개인정보 유출사고 발생시 KISA와 개보위의 역할 분담에 대해 “개인정보보호법 63조에 따라 개보위가 유출신고 접수, 자료제출 요구, 자료 확인 및 분석, 현장조사 등의 권한을 갖고 있다”며 “KISA는 사고 정황 확인, 필수 확인사항 구성, 원인 분석, 증적 확보 등 기술적 지원을 한다”고 설명했다.

판례로 본 개인정보 보호 의무 위반 판단 기준은 △정보보안 기술 수준 △업종, 영업 규모와 취하고 있는 보안조치 내용 △정보보안에 필요한 경제적 비용 및 효용 정도 △해킹 기술 수준과 보안기술 발전 정도에 따른 피해발생 회피 가능성 △수집한 개인정보 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치 등이다.

차 단장은 “데이터베이스와 연동·처리하는 웹서버 등도 보호조치 대상에 포함해야 하고, 지속적으로 설계에 반영된 보안기술의 적정성을 검증하고 개선조치를 실시해야 한다”며 “이상행위에 대한 탐지와 대응 등 실질적인 활동이 이뤄지는 것은 물론 사회통념상 합리적으로 기대 가능한 기술적 보호조치를 해야 한다”고 조언했다.