한국정보기술진흥원
한국정보기술신문
thumbnail

인공지능 · 정보보안 ·

개인정보위, 생성형 AI 개발·활용 기준 제시한 안내서 공개...현장 불확실성 해소와 프라이버시 보호 강화 기대

발행일
읽는 시간3분 29초

[한국정보기술신문] 생성형 인공지능(AI) 개발과 활용 과정에서 개인정보를 안전하게 처리할 수 있는 체계적인 기준이 마련되었다. 개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 8월 6일 서울 중구 소재 정동 1928 아트센터에서 「생성형 인공지능과 프라이버시」 오픈 세미나를 개최하고 「생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서」(이하 '안내서')를 공개했다.

기업·기관 법적 불확실성 해소 목적

우리나라에 축적된 의료·공공·금융분야 등의 데이터는 세계 최고 수준이다. 이들 데이터는 생성형 인공지능 발전을 견인하는 핵심 재료로 활용된다. 그러나 생성형 인공지능의 발전은 프라이버시 침해 위험을 동반할 우려가 있어 개인정보 처리에 관한 명확한 기준 마련이 필수적이었다.

일선 현장에서는 생성형 인공지능 활용과 관련한 개인정보 보호법 적용의 불확실성을 해소할 수 있는 체계적 안내가 필요하다는 요구가 지속되어 왔다. 특히 산업계에서는 "쉽게 이해하고 적용할 수 있는 안내서가 시급하다"며 "AI 사업 추진과정에서 개인정보 보호법 관련 불확실성으로 애로를 겪고 있다"는 목소리가 높았다.

개인정보위는 올해 초부터 내부 검토와 외부 전문가 의견 수렴을 거쳐 안내서 초안을 마련했다. 이후 학계, 법조계, 산업계, 시민단체 등 인공지능 분야 차세대 전문가 32명으로 구성된 「AI 프라이버시 민·관 정책협의회」(7월 8일)와 개인정보보호위원회 제16회 전체회의(7월 23일)를 거쳐 공개본을 확정했다.

생애주기 4단계 분류한 체계적 접근

image.png
생성형 인공지능 개발‧활용 단계별 고려 사항, 개인정보보호위원회 제공

개인정보위가 이번 안내서에서 중점을 둔 부분은 크게 세 가지다. 첫째, 생성형 인공지능을 개발·활용하는 생애주기를 4단계로 분류하고 단계별로 확인할 최소한의 안전조치를 체계적으로 제시했다. 인공지능 시스템이 실제로 개발·활용되는 방식을 서비스형 LLM 활용(ChatGPT API 연계), 기성 LLM 활용(Llama 오픈소스 모델 활용), 자체개발(경량모델 자체 개발) 등으로 유형화했다.

구체적으로 ①목적 설정 단계에서는 인공지능 개발 목적을 명확히 하고, 개인정보 종류·출처별로 인공지능 학습에 필요한 적법 근거를 다룬다. ②전략 수립 단계는 개발 방식을 나누어 유형별 리스크 경감 방안을 안내한다. ③학습 및 개발 단계는 데이터오염, 탈옥 등 리스크를 고려한 다층적 안전조치를 제시하고 인공지능 에이전트의 관리 방안도 포함했다. ④적용 및 관리 단계는 정보주체 권리 보장 등을 중점적으로 다룬다. ⑤마지막으로 전체 과정에서의 개인정보 보호 관점을 내재화하기 위해 필수적인 개인정보보호책임자(CPO) 중심의 거버넌스 구축 방안을 제시한다.

둘째, 이용자 개인정보를 인공지능에 학습할 수 있는 법적 기준 등 생성형 인공지능 개발·활용 과정에서 불확실성이 높은 이슈들에 대해 개인정보위의 정책 및 집행 사례를 바탕으로 구체적인 해결방안을 제시했다. 개인정보위는 그간 생성형 인공지능에 대한 안내자료 마련, 사전실태점검 등 집행 사례, 규제샌드박스 및 사전적정성 검토 등을 통해 다양한 정책적 경험을 축적해왔다.

셋째, 인공지능 에이전트, 지식증류, 머신 언러닝 등 생성형 AI 개발·활용과 관련한 최신 기술 동향과 연구 성과 등을 반영했다. 안내서는 향후 급속한 기술 발전과 국내·외 개인정보 보호 정책 변화에 발맞춰 지속적으로 업데이트될 예정이다.

공개 데이터와 이용자 데이터 처리 기준 제시

image.png
개인정보보호위원회 제공

안내서는 생성형 인공지능 학습에 이용되는 학습데이터를 크게 공개 데이터와 이용자 데이터로 구분하여 각각에 대한 적법기준을 제시했다. 인터넷 등에 공개된 데이터는 개인정보 보호법상 '정당한 이익' 조항에 따라 적법하게 활용될 수 있다. 기업·기관이 이미 보유하고 있는 이용자 정보를 인공지능 학습을 위해 재이용하고자 하는 경우에는 당초 수집 목적과의 관계에서 목적 내 이용, 추가적 이용, 별개의 목적에 해당할 수 있어 각각에 대한 판단 기준과 구체적 사례를 담았다.

학습 및 개발 단계에서는 생성형 인공지능의 '암기' 위험을 비롯해 데이터 오염, 탈옥 등 다양한 리스크 요인이 있어 이를 경감하기 위한 다층적인 안전조치 마련이 필수적이다. 안내서는 학계, 산업계 등에서 연구되고 있는 최신 리스크 경감방안을 종합하여 데이터 수준, 모델 수준, 시스템 수준에서 고려할 수 있는 기술적·관리적 안전조치 기준을 안내했다.

AI 에이전트 관리 방안도 포함

image.png
학습·개발 시 리스크 경감 방안 주요 내용, 개인정보보호위원회 제공

최근 자율적으로 외부 지식을 검색하거나 기억 능력을 갖춘 검색형·기억형 AI 에이전트가 등장하고 있다. 검색형 에이전트는 불법적이거나 유해한 정보를 활용하지 않도록 통제할 필요가 있고, 기억형 에이전트는 이용자 프로파일링과 같은 위험을 낮추기 위해 사전적 통제 장치를 적용할 것을 권장했다.

시스템 적용 및 관리 단계에서는 배포 이전과 배포 이후로 나누어 리스크 관리 전략을 세워야 한다. 배포 이전 단계에서는 AI 결과값의 정확도, 안전조치 우회 시도에 대한 저항성, 학습데이터의 노출 가능성 등을 집중 점검하고 결과를 문서화하는 것이 바람직하다. 배포 이후에는 적절한 모니터링과 함께 정보주체 권리 보장 방안이 마련되어야 한다.

현 기술 수준에서 정보주체의 열람, 정정·삭제 등 전통적인 권리보장이 제약될 수 있는 한계가 있으나, 그 경우에도 해당 사유를 정보주체에게 명확하게 알리고, 출력 필터링 등 대체수단을 통해 정보주체 요구에 충실히 응할 것이 권장된다.

CPO 중심의 거버넌스 체계 필수

프라이버시 리스크 관리가 실효적으로 이루어지기 위해서는 기관·기업 내 거버넌스 체계 마련이 중요하다. 특히 개인정보 보호책임자(CPO)를 중심으로 내부 관리체계를 구축·운영할 필요가 있다. 개인정보 영향평가, 레드티밍 등을 활용해 프라이버시 리스크를 지속적으로 평가하는 것이 바람직하다.

고학수 개인정보위 위원장은 "명확한 안내서를 통해 실무 현장의 법적 불확실성이 해소되고, 생성형 인공지능 개발·활용에 개인정보 보호 관점이 체계적으로 반영될 수 있을 것으로 기대된다"라며, "앞으로도 개인정보위는 '프라이버시'와 '혁신' 두 가치가 상호 공존할 수 있도록 정책 기반을 마련해 나가겠다"고 말했다.

한국정보기술신문 방송통신분과 문상호 기자 news@kitpa.org