개인정보위, SK텔레콤 '에이닷' 개인정보보호법 위반 시정 권고

[이코노믹데일리] 개인정보보호위원회(개보위)는 지난 12일 전체회의에서 SK텔레콤의 AI 서비스 '에이닷' 등 4개 사업자의 사전 실태점검 결과를 심의·의결했다. 이 중 개인정보보호법 위반으로 시정 권고를 받은 서비스는 '에이닷'이 유일했다.

에이닷은 통화 녹음, 요약, 실시간 통역 등을 제공하는 서비스다. 점검 결과, 이용자의 기기에서 통화 녹음이 이루어지면 음성 파일이 SK텔레콤의 서버에서 텍스트로 변환되고, 이를 마이크로소프트(MS) 클라우드를 통해 챗GPT로 요약해 이용자에게 전달하는 방식으로 진행되고 있었다. 그러나 그 과정에서 텍스트 파일을 보관하는 시스템의 접속기록이 보관되지 않은 사실이 드러났다. 

개인정보보호법에 따르면 개인정보처리시스템에 대한 접속기록을 1년 이상 보관하고 월 1회 이상 점검해야 한다. 이에 개보위는 에이닷 서비스에 대해 접속기록 보관 및 점검 등 안전조치 의무를 준수토록 시정 권고했다. 아울러 텍스트 파일의 보관 기간 최소화, 비식별 처리 강화, 이용자 이해를 돕는 조치를 마련할 것을 개선 권고했다.

이번 실태조사 대상에는 에이닷 외에도 스노우, 딥엘, 뷰노가 포함됐다. 스노우는 개선 권고를 받았고, 딥엘과 뷰노에서는 특별한 위반 행위가 발견되지 않았다. 스노우는 AI 프로필 등 얼굴 사진을 변형하는 서비스를 제공하며, 점검 결과 별도의 학습 데이터는 수집하지 않고, 생성된 이미지는 일정 기간 서버에 보관할 뿐 다른 목적으로 이용하지 않는 것으로 확인되었다. 다만 개보위는 스노우가 개인정보를 서버로 전송해 처리하는 경우 이용자가 이를 쉽게 인지할 수 있도록 개선을 권고했다.

딥엘은 지난 3월 점검 과정에서 드러났던 미흡한 부분을 개선해 이번 점검에서 별도의 개선 권고를 받지 않았다. AI 기반 의료영상 판독 서비스인 뷰노는 AI 학습데이터 수집·처리 관련 위반 사항이 발견되지 않았다.

강대현 개보위 조사1과장은 13일 서울정부청사 브리핑에서 "에이닷의 경우 개인정보처리시스템에 접속기록을 남기지 않은 사실이 법 위반 사항으로 확인됐다"며, "SK텔레콤 측에서 이를 수용하고 적극적으로 조치하겠다는 의사를 밝혔다"고 설명했다. 또한, "이번 사전 실태점검은 위반 혐의가 인지되지 않은 상태에서 개인정보 침해 소지에 대한 위험성을 예방하기 위해 선제적으로 진행한 것"이라고 덧붙였다.

시정 권고를 받은 사업자는 10일 내 수락 여부를 밝혀야 한다. 수락하지 않으면 일반 조사로 전환되어 법 위반 사항에 대해 제재 처분을 받게 된다. 시정 명령을 이행하지 않으면 최대 3000만 원의 과태료가 부과된다.

개인정보보호위원회는 이번 실태점검을 통해 AI 서비스의 개인정보 처리 과정에서 발생할 수 있는 취약점을 사전에 점검하고 개선을 유도했다는 점에서 의의를 찾았다. 이는 신기술 활용이 보다 투명하고 신뢰성 있게 이루어지도록 하기 위한 조치였다.