AI 챗봇 '이루다'에게 침해된 개인정보, 내 정보는 안전한가



최근 AI 챗봇 '이루다'가 사생활 침해 및 개인정보보호법 위반으로 논란이 되고 있습니다. 이루다 개발사는 이용자의 개인정보 처리 및 취급 위반 등의 혐의로 단체 소송에 회부되었습니다. 오늘은 '이루다'에 적용된 개인정보 위반 혐의들에 대해 알아보겠습니다.



1. 개인정보 목적 외 사용


 이루다를 만든 개발사 스캐터랩은 자사 서비스인 '연애의 과학'과 '텍스트앳'에서 수집한 카카오톡 대화를 이루다의 딥러닝 학습에 이용했습니다. 연애의 과학과 텍스트앳은 연인간 주고받은 카카오톡 대화를 기반으로 애정도를 객관적으로 분석해주는 유료 서비스입니다. 스캐터랩은 자사의 서비스를 이용한 회원의 카카오톡 대화를 '이루다'의 딥러닝 학습데이터로 사용했습니다. 하지만, 해당 서비스의 개인정보 처리방침을 보면 '이루다'의 학습을 위해 개인의 카카오톡 데이터를 사용함에 대해 구체적으로 명시되어 있지 않습니다. 따라서 회원들은 '연애의 과학' 그리고 '텍스트앳'의 감정분석 서비스를 위해 제공한 자신의 비밀스러운 카카오톡 대화가 인공지능에 활용될 것이라고 인지하지 못한 채 카카오톡 대화 제공을 한 것입니다. 따라서 스캐터랩은 회원들의 카카오톡 대화를 애정도 분석 목적 외 자사의 인공지능 개발에 사용했으므로 개인정보 목적 외 사용 혐의를 받습니다.




텍스트앳 - 개인정보 처리방침, http://www.textat.co.kr/?page_id=147


2. 개인정보 동의과정에서의 부적절성



 개인정보의 동의는 명시적으로 이용자가 '동의'에 대해 인지하고 체크박스에 동의 버튼을 '클릭'하는 방식으로 이루어져야 합니다. 하지만 스캐터랩의 서비스는 '로그인함으로써 이용약관 및 개인정보취급방침에 동의합니다'라는 메세지를 보여주고 별도의 동의 과정을 갖고 있지 않습니다. 이는 개인정보의 수집항목 및 이용목적, 보유 및 이용기간을 명시한 후 동의 여부를 이용자가 선택할 수 있도록 하는 개인정보보호법의 법령에 위배됩니다. 



3. 개인정보의 유출 및 가명정보 처리 미숙



 이루다와 이용자와의 대화를 보면 주민등록번호, 특정 주소 그리고 계좌번호 등이 여과없이 노출됩니다. 개발사에서는 특정한 개인을 식별할 수 있는 정보를 가명처리 등을 통해 지웠다고 하지만 이루다의 답변을 보면 해당 정보들이 비식별화되어있는 것을 확인할 수 있습니다. 이 또한 개인정보보호법 위반으로 개인정보 침해 및 유출혐의로 형사 처발 대상이 될 수 있습니다.


 또한, 스캐터랩은 2019년 9월부터 4개월간 깃허브에 자사가 구현한 '문장 생성 모듈' 프로젝트를 오픈소스로 공개했습니다다. 현재는 깃허브에 올라간 데이터를 삭제했으나 이미 데이터를 다운로드 받은 사람들에게 비식별화처리가 제대로 되지 않은 이용자의 이름 등 개인정보가 포함된 카카오톡 대화가 유포되었습니다.



4. 통신비밀보호법 위반 


 스캐터랩에게 제기된 마지막 혐의는 통신비밀보호법 위반입니다. 카카오톡 대화는 둘 이상의 이용자를 필요로 합니다. 하지만 스캐터랩이 자사의 서비스를 통해 확보한 데이터는 이용자 둘 중 한 명의 동의만을 확보했습니다. 따라서 대화 당사자 쌍방의 동의를 얻지 않았다는 점에서 통신비밀보호법 위반 혐의를 받고 있습니다


 법원의 판결을 기다려야겠지만 개인적인 소견으로는 대화 '당사자 전체의 동의를 받지 않았다'는 것이 통신비밀보호법 위반에 획득하지 않을 듯 합니다. 합법적인 동의절차를 대화 당사자 중 한 명에게 획득하고 명예훼손이나 음란물 유포에 해당하지 않는 다면 본인의 동의를 통해 대화가 제공되었으므로 위반으로 해석되지 않을 가능성이 큽니다.


 단, 스캐터랩의 경우 수집하는 개인정보의 목적과 활용범위를 이용자에게 명확히 고지하기 않았기 때문에 '대화 당사자를 통한 합법적인 동의획득'라는 점에서 논란의 여지가 있습니다.



마치며

 

 스캐터랩은 개인정보 위반, 성희롱, 소수자 혐오 등의 논란을 얼룩진 이루다의 DB와 인공지능 모델을 전량 폐기하기로 했습니다. 대화정보 수집이 논란이 되었으며 이슈를 제기한 이용자의 데이터를 선별적으로 제거할 수 없기 때문입니다.


 하지만 이미 깃허브를 통해 유포된 개인정보와 이용자들이 제공한 카카오톡 대화 상대방은 본인의 개인정보 유출 사실을 인지하지 못 해 삭제 요청이 불가능합니다. 진화하는 인공지능 산업으로부터 정보주체의 자기결정권을 보호하기 위해 현실적인 인공지능규제법을 고민할 때입니다. 그래서 인공지능 연구개발과 산업 성장을 장려하면서 동시에 정보주체의 권리를 보장해야 합니다.



----
[참고자료]

1. 100억 건 개인정보 침해로 차별과 혐오를 ‘이루다.’(2021, January 13) Retrieved January 17, 2021, from 슬로우뉴스 website: https://slownews.kr/79128

2. ‌이루다 개발사, 이용자 카톡 온라인에 노출...’개인정보 포함’. (2021). Retrieved January 17, 2021, from Zdnet.co.kr website: https://zdnet.co.kr/view/?no=20210113142319&from=pc

3. ‌성희롱·동성애 혐오·카카오톡 대화 수집까지?…챗봇 “이루다” 계속된 논란. (2021, January 10). Retrieved January 17, 2021, from Asiae.co.kr website: https://cm.asiae.co.kr/article/2021011014355519008