아이폰 사용자에게 통화녹음·통화요약을 제공하는 SK텔레콤(SKT)의 인공지능(AI) 개인비서 서비스 '에이닷'이 개인정보보호법상 안전조치의무를 다하지 않아 개인정보보호위원회로부터 '시정권고'를 받았다. SK텔레콤은 개선을 약속했지만, 개인정보위는 앞으로 꼼꼼히 사안을 따지겠다고 밝혔고 국회 역시 재발 방지를 요구했다.
개인정보위는 12일 전체회의에서 2023년 11월부터 이어온 에이닷 실태점검 결과를 결론짓고 13일 발표했다.
이번 발표에 따르면 SK텔레콤은 에이닷 이용자가 녹음한 음성 파일에서 전환된 텍스트 파일을 보관하는 시스템 등에 접속기록을 보관하지 않은 것으로 조사됐다. 에이닷의 경우 이용자의 기기에서 통화 녹음이 이뤄지면 음성파일이 SK텔레콤 서버에서 텍스트로 변환되고, 이를 다시 마이크로소프트(MS)의 클라우드에서 요약해 이용자에게 전달하는 방식으로 진행된다.
현행 개인정보보호법 제29조(안전조치의무)는 '개인정보처리자는 접속기록 보관 등 개인정보가 유출되지 않도록 접속기록 보관 등을 이행해야 한다'고 명시한다. 개인정보위에 따르면 개인정보 처리 시스템에 무작위로 접속하는 것을 방지하기 위해 개인정보처리자는 접속 기록을 최소 1년 이상 보관하고 이를 잘 이행하는지 월 1회 이상 점검해야 한다.
개인정보위의 이번 실태점검 과정에서 논란이 된 것은 크게 두 가지였다. 개인정보위가 기업의 신기술 활용을 혹시 억제하는 게 아닌지, 녹음 주체인 에이닷 사용자가 아니라 통화 상대방의 프라이버시가 침해되는 것은 아닌지였다.
개인정보위는 먼저 이번 에이닷 실태점검은 정식 조사 전 개인정보보호법 위반 사안이 없는지 선제적으로 알아보는 절차였다며, 법 위반 사안이 확인돼 시정 권고 조치를 했을 뿐 SK텔레콤 제재만을 목적으로 한 조치는 아니라고 강조했다.
실태점검은 정식 조사와 달리 기업의 개인정보보호법 위반 혐의가 인지되지 않은 상태에서 개인정보 침해 위험성이 있을 때 선제적으로 진행되는 점검을 뜻한다. 법 위반 시 과징금·과태료 등이 부과되는 정식 조사와 달리 법 위반이 확인돼도 시정 기회를 부여한다.
통화 상대방의 목소리가 본인 의도와 상관없이 SK텔레콤 서버로 흘러들어가는 문제는 개인정보위 전체회의에서도 논쟁이 된 것으로 알려졌다.
다만 개인정보위는 개인정보보호법상 개인정보처리자가 아닌 에이닷 이용자가 스마트폰에 있는 녹음 기능을 선택·활용해 상대방 목소리를 녹음하는 행위를 개인정보법으로 규율하기는 어렵다고 봤다. 다만 개인정보처리자인 SK텔레콤의 경우 개인정보보호법 규율 대상이라고 강조했다.
SK텔레콤은 이번 개인정보위 시정권고를 수락했다. 이번 점검 기간 동안 국외이전 관련 고지 구체화, 학습데이터 보관 기간 단축 등의 조치를 이미 취했다고 강조했다.
SK텔레콤 관계자는 "개인정보위의 사전 시정권고를 받아 시정 조치를 완료한 사안이다"며 "재발 방지를 위해 시스템 개선 등 노력하겠다"고 강조했다.
하지만 개인정보위 관계자는 "(시정 조치를 완료했다는 것은) SK텔레콤의 주장이다"며 "SK텔레콤이 전날 개인정보위에 시정권고 수용 의사를 밝힌 것은 맞지만, 정식으로 수용하고 그 조치가 제대로 됐는지는 시스템별로 개인정보위의 정보 확인을 별도로 거쳐야 한다"고 지적했다.
이 관계자는 "앞으로 SK텔레콤이 이행 계획을 제출하도록 요구할 것이다"며 "이후 개인정보위가 이행 점검을 반드시 해야 한다"고 설명했다.
개인정보위 소관 국회 상임위인 정무위원회도 이번 사안을 예의주시하고 있다.
정무위 소속 이정문 더불어민주당 의원은 IT조선에 "AI 프라이버시를 지킬 규범은 현재 사각지대에 머물고 있다. 기업은 AI 모델을 개발하거나 서비스를 출범할 단계부터 스스로 개인정보 침해 위험성을 철저히 관리해야 한다"며 "개인정보위는 이번 시정권고와 더불어 SK텔레콤의 고객정보 처리와 관련해 향후 이행계획과 실태점검을 면밀히 검토해야 한다. 또 통화녹음 관련 AI 서비스의 가이드라인을 제시해야 한다"고 요구했다.
한편 이날 네이버의 자회사 '스노우'를 비롯해 딥엘·뷰노도 개인정보위로부터 정보 처리 개선을 권고받았다.
김광연 기자 fun3503@chosunbiz.com