SKT에이닷·스노우 시정 및 개선권고 수준으로 그쳐... DeepL·뷰노 특이사항 無
[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 AI 응용서비스를 제공하고 있는 △SKT △스노우(Snow) △DeepL(딥엘) △뷰노(VUNO) 등의 4개 사업자들을 대상으로 진행한 사전 실태점검 결과를 12일 공개하고 심의·의결했다. 그 결과, SKT·스노우는 각각 시정 및 개선권고를 받았고 DeepL·뷰노는 별도의 제재 사항은 없었다.
▲AI 응용서비스 제공 사업자 SKT에이닷·스노우·DeepL·뷰노[이미지=보안뉴스]
개인정보위는 지난해 11월부터 국내·외 주요 AI 서비스를 △LLM(Large Language Model) 관련 사업자와 △응용서비스 제공사업자로 구분해 각각 점검을 진행하고 지난 3월 LLM 관련 사업자에 대한 우선 점검 결과를 발표한 바 있다.
개인정보위는 이번 심의·의결 과정에서는 AI 활용 응용서비스 제공 사업자 △SKT △스노우 △DeepL △뷰노의 개인정보 처리 과정을 살펴보고 그 결과를 공유했다.
SKT(에이닷)
SKT의 나만의 AI 개인비서 서비스 ’에이닷’은 통화녹음·요약 및 실시간 통역 등을 제공한다. 통화 녹음·요약 서비스의 경우 이용자 기기에서 통화 녹음이 이루어지면 그 음성파일이 SKT의 서버에서 텍스트로 변환되고, 이를 다시 MS의 클라우드에서 요약해 이용자에게 전달하는 방식으로 진행된다. 개인정보위의 점검 결과, 이 과정에서 텍스트 파일 보관 시스템 등에 접속기록이 보관되지 않은 사실이 발견돼 시스템 상 접속기록의 보관·점검 등의 안전조치 의무를 준수하도록 시정권고하기로 했다.
아울러 개인정보보호 원칙 등에 비추어 △텍스트 파일의 보관 기간 최소화 △비식별 처리의 강화 △서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련·시행할 것을 개선권고키로 했다. SKT는 이러한 점검 기간 동안 국외이전 관련 고지 구체화 및 학습데이터 보관 기간 단축 등의 조치를 취한 바 있다.
스노우(SNOW)
스노우는 AI 프로필·고화질 카메라 애플리케이션으로 생성형 AI 기술을 기반으로 얼굴 사진을 변형한 이미지를 생성해 주는 서비스다. 해당 서비스는 사전 학습(pre-training)을 통해 인터넷에 공개된 AI 모델을 이용하므로 별도의 학습데이터는 수집하지 않는다. 또한 서비스 이용 과정에서 생성된 이미지도 재다운로드 등 이용자 편의를 위해 일정기간 서버에 보관할 뿐, 그 외 다른 목적으로 이용하지는 않았다.
다만, 개인정보위가 점검을 진행한 결과 스노우가 제공하는 특정 기능과 관련해 이미지를 서버로 전송해 사용·처리하면서도 처리방침에는 이용자가 알기 어려운 형태로 공개돼 있었다. 특히 이미지 필터링 등을 위한 외부 개발도구(SDK : Software Development Kit)의 안전성을 충실히 검토하지 않은 사실이 있었다. 이에 개인정보위는 개인정보를 서버로 전송·처리하는 경우에 이용자가 이를 쉽게 인지할 수 있도록 하고, 외부 SDK를 사용해 개인정보를 처리하는 경우 의도치 않은 개인정보 처리·전송 가능성을 점검할 것을 개선권고했다.
딥엘(DeepL)
텍스트 및 전체 문서 파일을 번역해 주는 서비스 ‘DeepL’은 AI를 기반으로 전 세계 31개국 언어를 번역해 제공한다. DeepL은 공개된 데이터 및 이용자가 무료 서비스에 입력한 텍스트를 AI 학습 데이터로 활용하고 있다. 따라서 입력된 텍스트만 번역하므로 공개 데이터 학습에 따른 개인정보 생성·노출 등의 소지는 없다.
다만, 개인정보위는 점검 과정에서 DeepL이 이용자가 무료 서비스에 입력한 정보에 대해 AI 학습 및 인적 검토를 진행하면서 이를 명확하게 공개하지 않은 사실을 확인했다. 그러나 지난 3월 개인정보위가 발표한 내용 중 AI 모델 등 개선 목적으로 이용자 입력 데이터에 대한 인적 검토과정을 거치는 경우, 이용자에게 관련 사실을 명확하게 고지해야 한다는 사실을 기반으로 별도의 개선권고는 하지 않기로 했다. 대신 이용자 대상으로 입력 화면에 개인정보를 입력하지 않도록 안내하고, 인적 검토 사실을 처리방침에 반영하도록 했다.
뷰노(VUNO)
뷰노는 AI 기반 X-RAY·CT·MRI 등의 의료영상과 심전도와 같은 생체신호 판독·진단을 보조하고 심정지 질환 등을 예측하는 프로그램이다. 뷰노는 AI 학습에 병원의 기관생명윤리위원회 및 기관데이터심의위원회를 통과한 데이터만 사용하고, 의료기관에서 프로그램에 입력한 의료영상 등의 데이터는 사용하지 않는 것으로 확인되면서 별도의 AI 학습데이터 수집·처리 관련 보호법 위반 사항은 발견되지 않았다.
한편 개인정보위가 진행한 이번 사전 실태점검은 각 산업·서비스 분야에서 빠르게 AI를 도입하는 가운데 개인정보 처리 과정에서의 취약점을 선제적으로 점검하고 개선을 유도했다는 데 의의가 있다. 개인정보위는 앞으로도 정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI를 도입하는 응용서비스에 대한 지속적인 모니터링 실시와 AI 시대의 개인정보 보호 대책 및 안전한 개인정보 활용 방안을 마련해 나갈 계획이다.
[이소미 기자(boan4@boannews.com)]
[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 AI 응용서비스를 제공하고 있는 △SKT △스노우(Snow) △DeepL(딥엘) △뷰노(VUNO) 등의 4개 사업자들을 대상으로 진행한 사전 실태점검 결과를 12일 공개하고 심의·의결했다. 그 결과, SKT·스노우는 각각 시정 및 개선권고를 받았고 DeepL·뷰노는 별도의 제재 사항은 없었다.
▲AI 응용서비스 제공 사업자 SKT에이닷·스노우·DeepL·뷰노[이미지=보안뉴스]
개인정보위는 지난해 11월부터 국내·외 주요 AI 서비스를 △LLM(Large Language Model) 관련 사업자와 △응용서비스 제공사업자로 구분해 각각 점검을 진행하고 지난 3월 LLM 관련 사업자에 대한 우선 점검 결과를 발표한 바 있다.
개인정보위는 이번 심의·의결 과정에서는 AI 활용 응용서비스 제공 사업자 △SKT △스노우 △DeepL △뷰노의 개인정보 처리 과정을 살펴보고 그 결과를 공유했다.
SKT(에이닷)
SKT의 나만의 AI 개인비서 서비스 ’에이닷’은 통화녹음·요약 및 실시간 통역 등을 제공한다. 통화 녹음·요약 서비스의 경우 이용자 기기에서 통화 녹음이 이루어지면 그 음성파일이 SKT의 서버에서 텍스트로 변환되고, 이를 다시 MS의 클라우드에서 요약해 이용자에게 전달하는 방식으로 진행된다. 개인정보위의 점검 결과, 이 과정에서 텍스트 파일 보관 시스템 등에 접속기록이 보관되지 않은 사실이 발견돼 시스템 상 접속기록의 보관·점검 등의 안전조치 의무를 준수하도록 시정권고하기로 했다.
아울러 개인정보보호 원칙 등에 비추어 △텍스트 파일의 보관 기간 최소화 △비식별 처리의 강화 △서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련·시행할 것을 개선권고키로 했다. SKT는 이러한 점검 기간 동안 국외이전 관련 고지 구체화 및 학습데이터 보관 기간 단축 등의 조치를 취한 바 있다.
스노우(SNOW)
스노우는 AI 프로필·고화질 카메라 애플리케이션으로 생성형 AI 기술을 기반으로 얼굴 사진을 변형한 이미지를 생성해 주는 서비스다. 해당 서비스는 사전 학습(pre-training)을 통해 인터넷에 공개된 AI 모델을 이용하므로 별도의 학습데이터는 수집하지 않는다. 또한 서비스 이용 과정에서 생성된 이미지도 재다운로드 등 이용자 편의를 위해 일정기간 서버에 보관할 뿐, 그 외 다른 목적으로 이용하지는 않았다.
다만, 개인정보위가 점검을 진행한 결과 스노우가 제공하는 특정 기능과 관련해 이미지를 서버로 전송해 사용·처리하면서도 처리방침에는 이용자가 알기 어려운 형태로 공개돼 있었다. 특히 이미지 필터링 등을 위한 외부 개발도구(SDK : Software Development Kit)의 안전성을 충실히 검토하지 않은 사실이 있었다. 이에 개인정보위는 개인정보를 서버로 전송·처리하는 경우에 이용자가 이를 쉽게 인지할 수 있도록 하고, 외부 SDK를 사용해 개인정보를 처리하는 경우 의도치 않은 개인정보 처리·전송 가능성을 점검할 것을 개선권고했다.
딥엘(DeepL)
텍스트 및 전체 문서 파일을 번역해 주는 서비스 ‘DeepL’은 AI를 기반으로 전 세계 31개국 언어를 번역해 제공한다. DeepL은 공개된 데이터 및 이용자가 무료 서비스에 입력한 텍스트를 AI 학습 데이터로 활용하고 있다. 따라서 입력된 텍스트만 번역하므로 공개 데이터 학습에 따른 개인정보 생성·노출 등의 소지는 없다.
다만, 개인정보위는 점검 과정에서 DeepL이 이용자가 무료 서비스에 입력한 정보에 대해 AI 학습 및 인적 검토를 진행하면서 이를 명확하게 공개하지 않은 사실을 확인했다. 그러나 지난 3월 개인정보위가 발표한 내용 중 AI 모델 등 개선 목적으로 이용자 입력 데이터에 대한 인적 검토과정을 거치는 경우, 이용자에게 관련 사실을 명확하게 고지해야 한다는 사실을 기반으로 별도의 개선권고는 하지 않기로 했다. 대신 이용자 대상으로 입력 화면에 개인정보를 입력하지 않도록 안내하고, 인적 검토 사실을 처리방침에 반영하도록 했다.
뷰노(VUNO)
뷰노는 AI 기반 X-RAY·CT·MRI 등의 의료영상과 심전도와 같은 생체신호 판독·진단을 보조하고 심정지 질환 등을 예측하는 프로그램이다. 뷰노는 AI 학습에 병원의 기관생명윤리위원회 및 기관데이터심의위원회를 통과한 데이터만 사용하고, 의료기관에서 프로그램에 입력한 의료영상 등의 데이터는 사용하지 않는 것으로 확인되면서 별도의 AI 학습데이터 수집·처리 관련 보호법 위반 사항은 발견되지 않았다.
한편 개인정보위가 진행한 이번 사전 실태점검은 각 산업·서비스 분야에서 빠르게 AI를 도입하는 가운데 개인정보 처리 과정에서의 취약점을 선제적으로 점검하고 개선을 유도했다는 데 의의가 있다. 개인정보위는 앞으로도 정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI를 도입하는 응용서비스에 대한 지속적인 모니터링 실시와 AI 시대의 개인정보 보호 대책 및 안전한 개인정보 활용 방안을 마련해 나갈 계획이다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
