개인정보위, ‘정보 유출 미신고’ 오픈AI에 과태료 360만원 부과

유료 서비스인 ‘챗GPT 플러스’
지난 3월 일부 이용자 정보 노출돼
한국 이용자도 687명 포함
‘안전조치의무 위반으로 보기는 어려워’

구독 기반의 유료 서비스인 ‘챗GPT 플러스’ 공식 웹사이트 [사진 = 챗GPT 플러스 웹사이트 캡처]

개인정보보호위원회가 챗GPT 서비스를 운영하는 오픈AI에 과태료 360만원을 부과했다. 이용자들의 개인 정보가 유출되었음에도 개인정보위에 신고하지 않은 데에 따른 것이다.

개인정보위는 26일 전체 회의를 열고 이같은 내용을 심의·의결했다고 27일 밝혔다. 이와 함께 재발 방지대책 수립, 국내 보호법 준수, 개인정보위의 사전 실태점검 적극 협력 등을 내용으로 하는 개선 권고를 의결했다.

개인정보위 조사에 따르면 오픈AI의 유료 서비스인 챗GPT 플러스에서 지난 3월 20일 17시부터 21일 2시 사이(한국시간)에 이용자 일부 데이터가 노출되는 사고가 발생했다. 한국 이용자 687명의 정보도 포함된 것으로 확인됐다.

이용자가 개인정보를 확인하는 페이지에서 본인이 아닌 다른 사람의 개인정보로 바뀌어서 보이는 현상이 발생해 이용자의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에게 노출된 것이다.

남석 개인정보위 조사조정국장은 27일 브리핑에서 “유출 원인은 서비스 속도 증가를 위해 사용한 오픈소스 기반의 솔루션에서 알려지지 않은 오류가 발생한 것이었다”고 설명했다.

유출 과정에서는 필요한 안전조치 의무를 소홀히 했다고 보기는 어렵다고 판단해 안전 조치 의무 위반으로는 처분하지 않았다. 남 국장은 “이번은 그동안 알려지지 않은 오류에 해당하며 사전에 오픈AI가 기대 가능한 의무는 이행했다”고 말했다.

대신 개인정보위는 오픈AI에 대해 개인정보처리시스템을 자체 점검하고 재발 방지대책을 수립할 것을 개선 권고했다.

오픈AI가 개인정보 처리방침을 영문으로만 제공하고 별도 동의 절차가 없는 등 국내 보호법 의무 미흡 사항도 발견돼 마찬가지로 개선을 권고했다.

또한 개인정보위는 챗GPT를 시작으로 주요 AI 서비스를 대상으로 사전 실태점검을 실시할 예정이다. 남 국장은 “프라이버시 침해 요인을 점검하기 위해 개인정보를 포함한 데이터 수집과 활용, 한국어 학습데이터 출처, 윤리 문제 예방 노력 등에 대해 자료를 요구했으나 오픈AI의 설명은 일반적이고 포괄적인 수준에 그쳤다”고 설명했다.

AI 서비스 실태 점검은 명확한 대상은 확정되지 않았으며, 조사 개시 전에 구체적 대상을 설정하고 공개할 예정이다.