효율성보다 중요한 것은 데이터 보호와 윤리적 책임

[보안뉴스=윤재석 한성대 융합보안학과 교수] 인공지능(AI)은 채용공고 작성, 이력서 분석, 면접 평가, 성과관리 등 인사관리 전 과정에 빠르게 확산되고 있다. AI는 효율성을 높이지만, 동시에 차별·편향, 개인정보 침해, 책임소재 불분명 등 새로운 법적 리스크를 낳고 있다.


[자료: gettyimagesbank]

기업 인사부서(HR)에서 인공지능의 사용은 효율성을 높이는 촉진자의 역할을 하는 동시에 규제 대상으로 부상하고 있다. 미국과 유럽은 인사결정용 AI를 ‘고위험(high-risk)’ 영역으로 관리하고 있는데, 실제로 미국 여러 주(州)와 유럽연합(EU)은 HR 관련 AI 시스템에 대해 투명성, 책임성, 편향감사(Bias Audit) 의무를 강화하고 있다.

AI 채용, 공정성 검증이 먼저다
AI가 학습하는 데이터에는 과거 인사결정의 편향이 그대로 반영될 수 있다. 미 뉴욕시 Local Law 144는 자동화 채용도구(AEDT)에 대해 독립적 편향감사(최근 1년 이내)와 10영업일 전 사전고지를 의무화하고, 감사 요지 공개와 과태료 규정을 두고 있다.

콜로라도의 AI Act(SB 24-205)는 채용·승진 등 ‘중대한(consequential) 결정’에 사용되는 AI를 고위험으로 간주해 개발자와 도입자 모두에게 리스크 관리, AI 영향평가, 연례 검토, 통지, 인간 검토에 의한 이의제기 등 포괄적 컴플라이언스 체계를 요구하고 있다.

이제 기업이 “AI의 판단이라 우리는 책임이 없다”고 주장하는 것은 설득력을 갖기 어려워졌다. AI의 결정 과정과 로그(log) 보관, 편향감사를 위한 기록관리 체계는 이제 법적 방어의 최소 요건이 되고 있다.

데이터와 벤더, 새로운 위험지대
HR AI는 인사정보, 음성·영상, 행동패턴 등 방대한 데이터를 처리한다. 이 중 상당수가 민감정보에 해당하며, 학습 및 분석 과정에서 개인정보보호법 위반 위험이 상존한다. 또한 많은 기업이 외부 벤더의 AI 솔루션을 활용하고 있어 공급망(Supply Chain) 리스크와 위탁 관리 책임이 새로운 컴플라이언스 과제로 부상하고 있다. 따라서 AI 벤더의 알고리즘 검증, 데이터 보안수준, 보관 및 삭제 절차를 계약 단계에서 명확히 하고 주기적으로 점검해야 한다.

조직이 준비해야 할 대응 전략
기업은 AI의 판단이 특정 집단에 불리한 결과를 초래하지 않는지 편향감사 및 AI 영향평가(AI Impact Assessment)를 통해 정기적으로 검증해야 한다. 또한 지원자나 직원에게 AI 도구 사용 사실과 판단 요소를 고지하고 이의제기 창구를 마련해야 한다. 아울러 학습 데이터는 필요 최소한으로 제한하고 암호화·접근통제를 강화해야 한다. 마지막으로 AI 솔루션 제공업체의 보안통제와 편향 방지체계를 계약 단계에서 확인해야 한다.

한국 기업의 시사점: ‘Privacy by Design’이 핵심

▲윤재석 한성대 융합보안학과 교수 [자료: 윤재석 교수]
유럽연합(EU)은 2026년 시행 예정인 EU AI Act를 통해 인사결정용 AI를 고위험군으로 분류하고, 사전 인증 및 투명성 요건을 명시했다. 한국 역시 개인정보보호법 제28조의2(자동화된 의사결정에 대한 정보주체 권리)를 통해 AI 인사결정의 통제 근거를 마련하고 있다. 국내 기업은 AI 기반 HR 시스템을 도입할 때 △프라이버시 중심 설계(Privacy by Design) △윤리적 AI 거버넌스 △보안·법무·HR의 협업적 대응이라는 세 가지 원칙을 갖춰야 한다. 이것이 기술의 효율성보다 ‘신뢰 가능한 인공지능(Trustworthy AI)’을 구현하는 출발점이다.

AI가 인사관리의 효율을 높일 수 있지만, 인간의 판단과 윤리를 대체할 수는 없다. AI는 ‘도구’이지 ‘판사’가 아니다. 기업이 기술의 속도보다 신뢰의 가치를 앞세울 때, 진정한 AI 혁신이 가능하다.

[글_윤재석 한성대학교 융합보안학과 교수/前 글로벌 반도체기업 아시아지역 개인정보보호책임자(CPO)(jsyun21@hansung.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>