개인정보위, 챗GPT 포함 국내외 주요 AI 서비스 대상 사전 실태점검 예정
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 최근 개인정보 유출이 발생한 이하 ‘오픈AI(OpenAI OpCo LLC)’에 신고 의무 위반으로 과태료 360만 원을 부과하고, “재발 방지대책 수립, 국내 보호법 준수, 개인정보위의 사전 실태점검에 적극 협력” 등을 내용으로 하는 개선권고를 7월 26일 전체회의에서 의결했다.
[로고=오픈 AI]
개인정보위는 지난 3월 오픈AI의 챗GPT 서비스에서 개인정보 유출이 있었다는 자체 공지 및 국내외 언론보도 등에 따라 직권으로 조사에 착수했고, 이 과정에서 국내 보호법상 의무 준수 전반과 전체 서비스 이용상에서 개인정보 침해요인에 대한 확인 작업을 함께 진행했다.
개인정보 유출과 관련해서 지난 3월 20일 17시~3월 21일 2시(미국 현지 시각) 사이 챗GPT 플러스에 접속한 전 세계 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에게 노출되었으며, 한국 이용자 687명(한국 IP기준)이 포함된 것으로 확인됐다.
유출 원인은 서비스 속도 증가를 위해 오픈소스 기반의 임시저장소인 캐시 솔루션에서 알려지지 않은 오류가 발생한 것이었다. 기술전문가 검토 회의 등을 통해 정밀 분석한 결과 오픈AI가 일반적으로 기대할 수 있는 보호조치에 소홀 했다고는 보기 어렵다고 판단, 안전조치의무 위반으로는 처분하지 않았다. 다만, 유출 인지 후 24시간 내 신고하지 않은 신고 의무 위반에 대해 과태료를 부과하고, 개인정보처리시스템을 자체적으로 점검 후 재발 방지대책을 수립할 것을 개선권고하기로 했다고 밝혔다.
국내 보호법 준수에 관해서는 개인정보 처리방침과 실제 가입 절차 등을 검토한 결과, 처리방침을 영문으로만 제공하고 있었다. 별도 동의 절차가 없으며, 내용상위·수탁 관계, 구체적 파기 절차 및 방법, 국내대리인이 명확하지 않은 등 보호법상 의무 미흡한 사항 등이 발견됐다. 또한, 13세 미만에 대해 가입을 제한하고 있어 국내 보호법상 법정대리인 동의 적용 연령 기준인 14세 미만과 다소 불일치하는 문제도 있었다.
다만, 조사과정에서 오픈AI가 최근에 전 세계 서비스를 시작한 신규 사업자임을 설명하며 개인정보위와 협력해 다가오는 9월 15일 개정 보호법 시행 등에 맞춰 국내 보호법 준수 의견을 공식적으로 제출해 옴에 따라, 현시점에서는 개선을 권고하고 이행 여부를 지속적으로 점검·확인하기로 했다.
오픈AI 측에 프라이버시 침해 요인을 점검하기 위해, 데이터 수집 및 활용, 한국어 학습데이터의 출처, 윤리 문제 예방 노력, 수집 거부 방법 등에 대해서도 자료를 요구했다. 그러나, 일반적·포괄적 수준의 설명에 그쳐 명확한 분석이 곤란했다.
그러나 개인정보위는 새롭게 등장한 서비스로 적용할 수 있는 법 규정 등이 아직 불명확한 상황에서 실태점검 및 협의 개선을 통해 개인정보보호의 조기 강화가 바람직하다고 봤다. 챗GPT 포함해 국내외 주요 AI서비스를 대상으로 사전 실태점검을 실시하여 개인정보 침해요인의 최소화를 추진하며, 오픈AI에 대해서도 적극적 협력을 개선 및 권고하기로 했다.
이번 조치는 글로벌 신규 서비스에 대해서도 한국 이용자 존재 시 국내 보호법이 적용됨을 명확히 한 것으로, 앞으로도 개인정보위는 해외사업자 대상 안내서 발간, 국내 대리인 제도의 실질적 개선 등을 통해 주요 글로벌 개인정보처리자들의 국내 법규에 대한 인지도를 제고하고 집행력을 확보함으로써 우리 정보주체 등의 개인정보보호를 강화해 나갈 방침이다.
특히, AI 같은 최신 기술‧서비스에 대해서는 사전 실태점검 등을 통해 안전한 서비스 이용을 지원할 방침이며 추후 지속적으로 구체화해 나갈 계획을 밝혔다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 최근 개인정보 유출이 발생한 이하 ‘오픈AI(OpenAI OpCo LLC)’에 신고 의무 위반으로 과태료 360만 원을 부과하고, “재발 방지대책 수립, 국내 보호법 준수, 개인정보위의 사전 실태점검에 적극 협력” 등을 내용으로 하는 개선권고를 7월 26일 전체회의에서 의결했다.
[로고=오픈 AI]
개인정보위는 지난 3월 오픈AI의 챗GPT 서비스에서 개인정보 유출이 있었다는 자체 공지 및 국내외 언론보도 등에 따라 직권으로 조사에 착수했고, 이 과정에서 국내 보호법상 의무 준수 전반과 전체 서비스 이용상에서 개인정보 침해요인에 대한 확인 작업을 함께 진행했다.
개인정보 유출과 관련해서 지난 3월 20일 17시~3월 21일 2시(미국 현지 시각) 사이 챗GPT 플러스에 접속한 전 세계 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에게 노출되었으며, 한국 이용자 687명(한국 IP기준)이 포함된 것으로 확인됐다.
유출 원인은 서비스 속도 증가를 위해 오픈소스 기반의 임시저장소인 캐시 솔루션에서 알려지지 않은 오류가 발생한 것이었다. 기술전문가 검토 회의 등을 통해 정밀 분석한 결과 오픈AI가 일반적으로 기대할 수 있는 보호조치에 소홀 했다고는 보기 어렵다고 판단, 안전조치의무 위반으로는 처분하지 않았다. 다만, 유출 인지 후 24시간 내 신고하지 않은 신고 의무 위반에 대해 과태료를 부과하고, 개인정보처리시스템을 자체적으로 점검 후 재발 방지대책을 수립할 것을 개선권고하기로 했다고 밝혔다.
국내 보호법 준수에 관해서는 개인정보 처리방침과 실제 가입 절차 등을 검토한 결과, 처리방침을 영문으로만 제공하고 있었다. 별도 동의 절차가 없으며, 내용상위·수탁 관계, 구체적 파기 절차 및 방법, 국내대리인이 명확하지 않은 등 보호법상 의무 미흡한 사항 등이 발견됐다. 또한, 13세 미만에 대해 가입을 제한하고 있어 국내 보호법상 법정대리인 동의 적용 연령 기준인 14세 미만과 다소 불일치하는 문제도 있었다.
다만, 조사과정에서 오픈AI가 최근에 전 세계 서비스를 시작한 신규 사업자임을 설명하며 개인정보위와 협력해 다가오는 9월 15일 개정 보호법 시행 등에 맞춰 국내 보호법 준수 의견을 공식적으로 제출해 옴에 따라, 현시점에서는 개선을 권고하고 이행 여부를 지속적으로 점검·확인하기로 했다.
오픈AI 측에 프라이버시 침해 요인을 점검하기 위해, 데이터 수집 및 활용, 한국어 학습데이터의 출처, 윤리 문제 예방 노력, 수집 거부 방법 등에 대해서도 자료를 요구했다. 그러나, 일반적·포괄적 수준의 설명에 그쳐 명확한 분석이 곤란했다.
그러나 개인정보위는 새롭게 등장한 서비스로 적용할 수 있는 법 규정 등이 아직 불명확한 상황에서 실태점검 및 협의 개선을 통해 개인정보보호의 조기 강화가 바람직하다고 봤다. 챗GPT 포함해 국내외 주요 AI서비스를 대상으로 사전 실태점검을 실시하여 개인정보 침해요인의 최소화를 추진하며, 오픈AI에 대해서도 적극적 협력을 개선 및 권고하기로 했다.
이번 조치는 글로벌 신규 서비스에 대해서도 한국 이용자 존재 시 국내 보호법이 적용됨을 명확히 한 것으로, 앞으로도 개인정보위는 해외사업자 대상 안내서 발간, 국내 대리인 제도의 실질적 개선 등을 통해 주요 글로벌 개인정보처리자들의 국내 법규에 대한 인지도를 제고하고 집행력을 확보함으로써 우리 정보주체 등의 개인정보보호를 강화해 나갈 방침이다.
특히, AI 같은 최신 기술‧서비스에 대해서는 사전 실태점검 등을 통해 안전한 서비스 이용을 지원할 방침이며 추후 지속적으로 구체화해 나갈 계획을 밝혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
