이루다가 무엇인가

이루다는 스캐터랩이라는 인공지능(AI) 전문 회사가 개발한 메신저 기반 채봇이다. 20세 여성을 표방하고 있다. 2020년 6월 베타 서비스를 시작했고 같은 해 12월 정식 출시됐다. 이후 1개월여만인 2021년 1월 12일 인공지능 윤리 문제로 운영을 잠정 중단했다. 이후 스캐터랩은 1월 13일 ‘연애의 과학’ 이용자들의 카톡 데이터 1700건이 외부에 유출됐음을 인정하고 사과했다.

이루다가 불러온 AI 윤리 문제

이루다가 처음 문제가 된 것은 성소수자 혐오, 성희롱 등 논란이다. 사용자가 성소수자에 대해 어떻게 생각하느냐고 질문했을 때 혐오스럽다는 답변을 하거나, 일부 이용자들이 외설적 목적으로 사용하며 이를 공유한 것이다.

이루다 제작사인 스캐터랩 측은 1월 9일 "금지어 필터링을 피하려는 시도가 있을 거라 예상했다"며 "하지만 이 정도일 줄은 예상을 못 했다"고 밝혔다. 이어 "성적 취지로 접근하기 어렵게 알고리즘을 업데이트 하겠다"고 밝혔으나 그 로부터 이틀 뒤인 11일 "이루다가 특정 소수집단에 대해 차별적인 발언을 한 사례가 생긴 것에 대해 진심으로 사과드린다. 저희는 이루다의 차별적 발언에 동의하지 않으며 그러한 발언은 회사의 생각을 반영하지 않고 있다"고 밝혔다. 그리고 그 다음날인 12일부터 이루다 서비스 중단을 발표했다.

개인정보보호법 침해가능성

곧이어 더 심각한 문제가 발생했다. 이루다가 답변한 내용 중 실제 사람의 주소와 이름, 계좌 정보 등이 노출된 사실이 밝혀졌기 때문이다. 과거 스캐터랩은 연애의 과학이 카카오톡 대화 100억건을 수집했고 이를 통해 AI 성능을 높였다고 언급했다. 이를 이유로 카카오톡 대화 수집행위가 적법했는지에 대한 논란이 일기 시작했다.

연애의 과학은 스캐터랩이 2016년 출시해서 지금도 운용되는 앱 서비스다. 이용을 원하는 사람이 연인 또는 호감 가는 사람과 나눈 카카오톡 대화를 집어넣고 2000∼5000원 정도를 결제하면 답장 시간 등의 대화 패턴을 분석해 애정도 수치를 보여준다. 10~20대 사이에 상당히 유행했었던 앱이다.

스캐터랩은 개인정보를 수집하면서 개별동의를 받지 않았고 동의 항목에 없는 카카오톡 대화 내용 및 해당 대화 속 실명을 수집한 것으로 알려졌다.

연애의 과학 개인정보처리방침 발췌
1. 수집하는 개인정보의 항목 및 수집방법

가. 수집하는 개인정보의 항목

첫째, 회사는 회원가입, 원활한 고객상담, 각종 서비스의 제공을 위해 최초 회원가입 당시 아래와 같은 개인정보를 수집하고 있습니다.

- 계정 정보 : 연애의 과학 계정에 가입 할 때 이메일 주소 및 기기고유번호 (디바이스 아이디 또는 IMEI)와 같은 특정 정보가 필요합니다.
- 프로필 정보 : 연애의 과학 특정 기능(예: 보고서 분석, 댓글)을 사용하려면, 이름 혹은 닉네임, 성별, 나이, 결혼 유무, 프로필 사진과 같은 정보가 필요합니다.

둘째, 서비스 이용과정에서 아래와 같은 정보들이 생성되어 수집될 수 있습니다.
- 이용자 상태정보, 이용자 이름, 아이디, 사진, 쿠키, 분석의 대상이 되는 메시지, 방문 일시, 서비스 이용 기록, 불량 이용 기록셋째, 유료 서비스 이용 과정에서 결제 등을 위하여 불가피하게 필요한 경우 신용카드 정보, 통신사 정보, 상품권 번호, 기타 결제 관련 정보가 수집될 수 있습니다.

나. 개인정보 수집방법회사는 다음과 같은 방법으로 개인정보를 수집합니다.- 이름, 이메일 등의 개인정보를 회원의 동의하에 수집- 서비스 사용 중 이용자의 자발적 제공을 통한 수집

2. 개인정보의 수집 및 이용목적

가. 연애의 과학 기본 기능 제공
연애의 과학은 이용자가 동의한 정보를 활용해 이용자가 주고 받은 메시지 텍스트 파일을 통한 분석 서비스를 제공합니다. 또한 연애의 과학은 이용자의 가입 시에 계정정보를 수집하고 저장하여 이용자의 개인식별을 위한 계정으로 사용하게 됩니다. 이용자 상태정보, 이용자 이름, 아이디, 사진은 이용자에게 더 나은 정보를 제공하기 위해 사용합니다.

나. 서비스 제공에 관한 계약 이행 및 서비스 제공에 따른 요금정산컨텐츠 제공, 특정 맞춤 서비스 제공, 물품배송 또는 청구서 등 발송, 본인인증, 구매 및 요금 결제, 요금추심

다. 회원관리회원제 서비스 이용에 따른 본인확인, 이용자 연령의 확인, 개인식별, 불량회원의 부정 이용방지와 비인가 사용방지, 가입의사 확인, 가입 및 가입횟수 제한, 만14세 미만 아동 개인정보 수집 시 법정 대리인 동의여부 확인, 추후 법정 대리인 본인확인, 분쟁 조정을 위한 기록보존, 불만처리 등 민원처리, 고지사항 전달

라. 신규 서비스 개발 및 마케팅·광고에의 활용신규 서비스 개발 및 맞춤 서비스 제공, 통계학적 특성에 따른 서비스 제공 및 광고 게재, 서비스의 유효성 확인, 이벤트 및 광고성 정보 제공 및 참여기회 제공, 접속빈도 파악, 회원의 서비스이용에 대한 통계

이를 근거로 살펴보면 스캐터랩은 개별동의를 받아야하는 항목은 모두 포괄 동의를 받았고 연애의 과학에 제공된 데이터가 다른 사업의 연구를 위해서 사용된다는 점을 고지한 사실이 없었던 것으로 보인다.

익명처리도 제대로 하지 않았던 것으로 추정된다. 물론 스캐터랩은 개인정보를 익명처리하면 익명화된 정보는 개인정보가 아니기 때문에 동의의 대상이 아니기 때문에 동의를 받지 않았다고 주장할 수도 있다. 하지만 개인정보 익명화는 굉장히 엄격한 요건을 갖춰서 이뤄져야 한다. 만일 카카오톡 대화를 이용하는 과정에서 과연 익명화 조치를 제대로 이행했는지 여부를 반드시 살펴봐야 할 필요가 있다. 또 개인정보가 일부 유출된 것에 비춰볼 때 안전성 확보조치도 미이행했을 것이라고 보인다.

논란의 계속

한국인터넷진흥원(KISA)과 개인정보보호위원회 등은 정보 수집 과정에서 개인정보 동의를 제대로 받았는지, 데이터를 이루다 재료로 쓰는 과정에 익명화(비식별화)를 제대로 했는지를 중점으로 조사를 진행할 것으로 보인다.

스캐터랩은 "연애의 과학이 개인정보 수집·이용에 동의를 받는 방법은 실제로 국내외 서비스들이 채택하고 있는 동일한 방법으로, 내부적으로 법적 문제가 없을 것이라고 판단했다"고 설명했다.

하지만 또 디지털정보위원회, 정보인권연구소 등 다수 시민연대는 13일 공동 논평을 내고 스캐터랩이 "각각의 사항을 알리고 명시적으로 동의를 받도록 한 개인정보보호법을 위반했"고 주장한다. 민주사회를위한변호사모임 디지털정보위원회, 진보네트워크센터, 참여연대는 20일 개인정보보호위원회에 진정서를 내고, 개인정보보호법을 다수 위반한 ‘이루다’의 개발사인 스캐터랩의 철저한 조사와 조치를 요구했다.

시민단체들은 ▲정보 주체는 자신의 비공개 사적 대화 내용이 분석되어 이후 챗봇 등 이 회사 타제품의 학습에 이용되었다는 사실에 대하여 명확히 인지하지 못했다고 호소한다는 점(정보주체가 자유로운 의사에 기반하여 개인정보 처리에 동의하도록 한 개인정보 보호법을 준수했다고 보기 어렵다는 점)▲연애의 과학뿐 아니라 텍스트앳 등 스캐터랩 제품과 서비스는 정보주체로부터 명시적으로 동의를 받지 않고 막연하게 표현된 ‘신규 서비스 개발’까지 포괄적으로 동의를 받았다는 점 ▲최소 정보 수집이 아니라 마케팅 및 광고에 이용됐다는 점 ▲민감정보, 고유식별정보 등 중요한 내용에 대한 처리를 별도로 표시하거나 동의를 받지 않았다는 점 ▲정보주체의 수가 방대하고 수집된 개인정보의 대다수가 비공개 사적 대화내용이라는 점 등에서 문제가 심각하다고 보는 입장으로 보인다.

사실 좀 더 구체적으로 살펴봐야 하겠지만 일차적으로는 카카오톡메신저기록을 연애의 과학 앱에서의 서비스를 목적으로 수집한 후 이 정보를 다른 용도 즉, 이루다 개발에 사용한 것은 개인정보보호법상 최소수집 원칙, 목적 외 이용 금지 원칙에 위배될 것으로 보인다. 추후 조사 과정에서 명확해 질것이라고 본다.

집단소송의 움직임

일부 법무법인 등이 이루다와 관련해 개인정보유출 손해배상소송을 준비하고 있다. 집단 소송을 준비하는 변호인은 "연애의 과학·텍스트앳 등 기존 서비스에서 수집한 카카오톡 대화를 대화 당사자 모두의 동의 없이 수집해 AI로 학습했다"며 "이 과정에서 개인정보 유출이 발생했다"고 주장했다. 또 "특정 개인 주소나 실명, 계좌번호 등이 여과 없이 노출됐다"며 "이는 개인정보보호법 위반으로 행정 처분이나 형사 처벌 대상이 될 수 있으며, 개인정보 유출 피해자들은 정신적 위자료를 청구할 권리가 있다"고 전했다.

소송에 참여하는 이들은 이루다를 통해 확인된 유출 개인정보와 원본 카톡을 준비해야한다. 이처럼 실제 이루다를 통해서 유출이 입증된 경우에는 당연히 손해배상 청구가 인용될 것이다.

단순히 연애의 과학 앱을 이용한 이용자 경우는 스캐터랩에 개인정보보호법상 최소수집원칙이나 목적외이용금지원칙 위반을 제기할 수 있다. 이 경우 불법행위가 성립될 가능성이 있다.

KISA의 조사 결과 역시 살펴볼 필요는 있다. 적어도 개인정보가 다른 용도로 이용된 사실 자체는 이용자들에게 상당한 충격을 주는 것임은 분명하기 때문이다. 개인정보 무단 전용에 대해서 분노한 이용자들이 소송을 제기할 가능성도 적지 않아 보인다.

앞으로 어떻게 될까

사실 카카오톡 대화를 받으면서 다른 앱 개발에 사용했다는 것 그 자체로 심각한 문제가 될 수 있다. 카카오톡 대화 그 자체가 개인정보라고 보지 않았을지 모르지만 개인정보보호법상 개인정보는 엄연히 "개인을 식별할 수 있는 정보"라고 되어 있으므로 그 인정 범위가 매우 넓다. 사적인 대화 내용에는 여러 사적 정보를 내포하므로 개인간 사적 대화(특히 카카오톡과 같은 대화)는 개인정보에 해당할 가능성이 애초에 매우 높다.

이 부분을 회사 측이 제대로 인지하지 못한 것으로 보인다. 작은 스타트업 입장에서는 법률적 문제를 모두 챙겨볼 수 없었다고 항변할 수 있다. 이러한 개인정보보호법 위반은 이용자에 대한 신뢰문제 그 이상의 형사적 행정적 조치가 수반되는 것이므로 주의가 필요하다.

※ 외부필자의 원고는 IT조선의 편집방향과 일치하지 않을 수 있습니다.

한서희 변호사는 법무법인 유한 바른에서 2011년부터 근무한 파트너 변호사다. 사법연수원 39기로 서울대학교 법과대학과 동대학원 공정거래법을 전공했다. 현재 바른 4차산업혁명대응팀에서 블록체인, 암호화폐, 인공지능(AI) 등과 관련된 업무를 하고 있다. 이외에도 공정거래, 지적재산권 전문가다. 한국블록체인산업진흥협회 자문위원, 한국블록체인협회 자문위원, 블록체인법학회 이사, 한국인공지능법학회 이사, 대한변호사협회 IT블록체인 특별위원회 제1소위 위원장 등으로 활동하고 있다.


관련기사