개인정보위 '생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드' "삭제 버튼 눌러도 완전히 제거되지 않을 수 있다"
'생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드' 내용
"민감한 정보의 경우에는 사후 삭제에만 의존하기보다 처음부터 입력을 최소화하는 것이 보다 안전합니다"
개인정보보호위원회는 19일 이 같은 내용이 담긴 QnA 형태의 '생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드'를 발간했다. 문서 작성과 검색, 일정 관리 등 AI 활용이 급속히 늘어나면서 이용자 스스로 개인정보 처리 방식을 이해하고 관리할 필요가 커졌다는 판단에서다.
생성형 인공지능(AI)이 일상 속으로 빠르게 파고들면서 개인정보 불안도 함께 커지고 있다. 정부가 처음으로 일반 이용자 대상 생성형 AI 개인정보 보호 가이드를 내놓은 것도 이런 배경에서다.
이번 가이드에는 이용자들이 실제로 가장 궁금해하는 내용들이 담겼다. 입력한 대화 내용이 AI 학습에 활용되는지, 삭제한 기록이 실제로 사라지는지, 해외 서버로 정보가 이전되는지, 플러그인이나 외부 서비스 연동 과정에서 어떤 데이터가 전달되는지 등을 설명하는 방식이다.
특히 개인정보위는 이번 가이드를 통해 "삭제 버튼을 눌러도 데이터가 즉시 완전히 제거되지 않을 수 있다"고 안내했다. 이용자 화면에서는 기록이 사라져도 서비스 운영·보안 대응·백업 등을 이유로 일정 기간 서버에 남아있을 수 있고, 삭제 전 AI 학습이나 품질 개선에 활용됐을 가능성도 있다는 설명이다.
사실상 생성형 AI 시대에는 기존 인터넷 서비스와 '삭제' 개념 자체가 달라질 수 있다는 점을 정부가 공식적으로 인정한 셈이다.
민감한 개인정보 입력 자제를 권고한 점도 눈에 띈다. 개인정보위는 주민등록번호와 계좌번호, 비밀번호, 인증코드 등은 아예 입력하지 않는 것이 바람직하다고 안내했다. 기업과 공공기관 전반에서 생성형 AI 업무 활용이 확대되는 상황에서, 정부가 동시에 "중요 정보는 넣지 말라"고 권고한 것이다.
최근 확산 중인 '에이전틱 AI'에 대한 경고성 메시지도 담겼다. AI가 메일·일정·결제·드라이브 같은 외부 서비스와 연결돼 이용자를 대신해 작업을 수행할 경우, 개인정보가 외부 서비스로 전달될 수 있다는 설명이다. 개인정보위는 이용자들에게 불필요한 연동 권한은 해제하고, 과도한 접근 권한 요청 여부를 확인해야 한다고 권고했다.
개인정보위는 이번 가이드가 국민 불안을 줄이고, 기업들에게도 서비스 설계 과정에서 참고자료 역할을 할 수 있을 것으로 기대하고 있다.
이번 가이드의 기획 및 집필을 맡은 'AI 프라이버시 민·관 정책협의회' 정보주체 권리 분과장 윤혜선 한양대 교수는 "생성형 AI가 일상화되었으나 이용자가 개인정보 처리 과정을 명확히 파악하기는 어려운 실정"이라며 "이번 가이드가 학습 활용 여부, 기록 삭제 등 주요 궁금증을 해소하고 이용자가 직접 자신의 개인정보를 점검하고 관리하는 첫걸음이 되기를 바란다"고 말했다.
