이용자 개인정보 유출 챗GPT에 과태료 360만원 부과

개인정보위, 한국 이용자 정보 유출 확인
신고 의무 위반으로 과태료 360만원 부과
"보호조치 소홀히 했다고 보기 어려워"

이용자의 개인정보를 유출한 챗GPT가 과태료를 부과받았다.

개인정보보호위원회는 오픈AI에 대해 신고 의무 위반으로 과태료 360만원을 부과하고 개선권고 조치했다고 27일 밝혔다.

개인정보위는 지난 3월 오픈AI의 챗GPT 서비스에서 개인정보 유출이 있었다는 자체 공지 및 국내외 언론보도 등에 따라 직권으로 조사에 착수했다.

조사 결과 3월 20일 오후 5시부터 21일 오전 2시 사이 챗GPT 플러스에 접속한 전 세계 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에게 노출된 것으로 나타났다. 이 가운데 한국 이용자 687명도 포함됐다.

유출 원인은 서비스 속도 증가를 위해 오픈소스 기반 캐시(임시저장소) 솔루션에서 알려지지 않은 오류(버그)가 발생하면서다. 기술전문가 검토 회의 등을 통해 정밀 분석한 결과 오픈AI가 일반적으로 기대 가능한 보호조치를 소홀히 했다고는 보기 어려워 안전조치의무 위반으로는 처분하지 않았다.

오픈AI가 지난 3월 홈페이지에 올린 버그 관련 공지사항. (사진=오픈AI 홈페이지 캡처)

다만, 개인정보위는 유출 인지 후 24시간 내 신고하지 않은 신고 의무 위반에 대해 과태료를 부과하고, 개인정보처리시스템을 자체적으로 점검 후 재발 방지대책을 수립할 것을 개선권고 하기로 했다.

아울러 개인정보 처리방침과 실제 가입 절차 등을 검토한 결과, 처리방침을 영문으로만 제공하고 있는 것을 확인했다. 별도 동의 절차가 없으며(가입으로 대체 추정), 내용상 위·수탁 관계, 구체적 파기 절차 및 방법, 국내 대리인이 명확하지 않은 등 보호법상 의무 미흡 사항 등이 발견됐다.

또 13세 미만에 대해 가입을 제한하고 있어 국내 보호법상 법정대리인 동의 적용 연령 기준인 14세 미만과 다소 불일치하는 문제도 있었다.

다만, 오픈AI가 최근에 전 세계 서비스를 시작한 신규 사업자 임을 설명하며 개인정보위와 협력해 개정 보호법 시행(9월15일) 등에 맞춰 국내 보호법 준수 의견을 공식적으로 제출해 개인정보위는 개선을 권고하고 이행 여부를 지속적으로 점검·확인하기로 했다.

개인정보위는 챗GPT 포함 국내외 주요 AI서비스를 대상으로 사전 실태점검을 실시하여 개인정보 침해요인의 최소화를 추진할 계획이다.

이승진 기자 promotion2@asiae.co.kr