[단독] "보이스피싱범 목소리는 민감정보"…SKT‧KT, '예방 AI'에 사용 못한다 (종합)

2024-04-24 10:40
(개인정보보호위원회 해명 내용 추가)
개인정보위, 피싱 방지 AI에 '원칙 적용'
통신사에 음성 대신 텍스트 제공 가닥
"피싱범 음성, 보호 대상 맞나" 논란
"생체정보 규제 조항 미흡, 법 만들 것"

개인정보보호위원회가 보이스피싱 예방 AI에 '피싱범 음성파일'을 직접 사용할 수 없다는 지침을 내놓았다. [아주경제 자료사진]


보이스피싱 범죄자의 목소리도 ‘민감정보’로 분류돼, 당사자 동의 없이는 피싱을 방지하는 인공지능(AI) 개발에 사용할 수 없다는 정부 지침이 나왔다. 정부는 관련 법령이 미흡하다고 보고 생체정보 규제 조항을 법률 단계에 명시하기로 했다.
 
다만 “피싱 피해가 큰데 범죄자 음성이 보호 대상인 게 맞느냐”는 논란은 불가피해 보인다. 정부는 음성파일을 텍스트(문자)로 변환해 통신사에 제공할 방침이지만 아무래도 한계가 있을 수밖에 없기 때문이다.
 
24일 아주로앤피 취재를 종합하면 개인정보보호위원회(위원장 고학수)는 금융감독원과 국립과학수사연구원 등과 협력해 민간 통신사에 보이스피싱 범죄자의 실제 음성 1만3000여건을 제공하는 사업을 주도하고 있다. 
 
실제 피싱 통화 데이터를 AI에 학습시켜 보이스피싱 전화가 오면 통신사 앱 등이 이를 빠르게 인지해 경고음과 경고문자를 보내거나 전화를 자동으로 끊어버리는 예방 시스템을 구축하겠다는 것이다.

개인정보위는 이 과정에서 금감원이 ‘그놈 목소리’ 캠페인 등으로 확보한 실제 피싱범의 목소리 녹음파일은 민간 통신사에 제공할 수 없는 민감정보라고 결론 내렸다.
 
금감원은 피싱범의 목소리가 담긴 음성파일 1만3000여건을 피해자 내지 피해를 볼 뻔한 사람들의 제보로 확보해둔 상태다. 해당 제보를 하려면 제보자가 개인정보 수집‧이용, 제3자 제공 등에 동의해야 한다. 제3자로 검찰과 경찰, 국과수, 기업은행, 삼성전자, SK텔레콤, 후후앤컴퍼니(KT 자회사) 등이 제시돼 있고 “금융사기 예방, 수사참고자료 활용” 등 수집‧이용 목적도 표기돼 있다.
 
금감원은 ‘음성파일은 민감정보’란 개인정보위 등의 해석을 준수해, 음성 제보자는 ‘민감정보 제3자 제공 동의’까지 해야 한다.
 
이렇게 수집된 금감원 ‘그놈 목소리’ 파일은 수사기관의 보이스피싱 수사에 자료로 활용될 뿐 아니라, 최근엔 통신사들이 개발 중인 '보이스피싱을 예방하는 AI'의 학습 데이터로 주목 받았다. 
 
SK텔레콤과 KT는 이를 활용해 피싱 예방 AI를 개발하는 여러 방안을 연구해왔다. 특히 KT는 목소리의 특성으로 피싱범이란 점을 간파하는, 지문과도 같은 소리의 특징(성문‧聲紋) 분석을 적극 활용해 피싱 탐지 정확도를 높이는 쪽으로 개발 방향을 잡기도 했다.
 
그러나 개인정보위는 피싱범의 동의 없는 제3자 제공은 위법이라고 판단했다. 한 관계자는 “보이스피싱 통화에 등장하는 상대방(피싱범)이 자신의 민감정보를 제3자에 제공하라고 동의하지 않았으므로 이를 민간 통신사에 제공할 수는 없다”며 “대신 통화 내용을 문자화하고 일부 가명화를 거쳐 통신사에 제공할 것”이라고 설명했다.
 
이런 텍스트 변환 작업은 국과수가 진행 중이며, 올해 안에 문자로 된 보이스피싱 통화 정보를 통신사에 제공할 방침이다. 물론 텍스트를 통해서도 AI가 많은 학습을 할 수 있겠지만, 성문분석 기법까지는 사용할 수 없게 된다.
 
이에 따라 보이스피싱범의 목소리 정보보호가 피싱 예방보다 더 중요하냐는 의문이 제기될 수밖에 없다. 공익 목적인데 지나치게 규제하는 것 아니냐는 것이다. 더 나아가 목소리 자체가 민감정보가 될 수 있냐는 점도 학계와 관련 업계에서 여전히 논란거리다.
 
‘민감정보’는 개인정보보호법과 시행령에서 언급되지만, 목소리 관련해서는 직접적인 조항은 없다. ‘개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보’란 표현 정도다.
 
구체적인 규정은 개인정보위의 ‘생체정보보호 가이드라인’에 나온다. “일반적인 얼굴 사진·동영상, 음성파일 등을 차후에 인증·식별 목적의 특징정보 생성에 사용하는 경우, 해당 정보는 생체인식정보에 해당하게 되므로 생체인식정보에 적용되는 보호 조치를 이행해야 한다”는 내용으로, 구분표와 함께 자세하게 설명돼 있다.
 
이 때문에 ‘가이드라인’ 정도에 나와 있는 내용으로 공익 목적의 목소리 정보 제공을 규제하는 게 지나치다는 지적에 힘이 실리기도 한다. 반면 민감한 생체정보가 AI에 무분별하게 유입되는 걸 차단해야 한다는 신중론이 존재하는 것도 사실이다. 
 
이와 관련, 개인정보보호위는 아예 법 조항을 신설할 예정이다. 양청삼 개인정보정책국장은 “생체정보 관련 규제가 굉장히 하위법령으로 돼 있다”며 “최소한의 생체정보 활용에 관한 규율 체계를 정비할 필요가 있어 올해 내 법률안을 만들 것”이라고 밝혔다.

한편 개인정보위는 본지 보도가 나가자 ‘피싱 방지 AI 개발을 적극 지원하고 있습니다’ 제목의 공식 해명자료를 배포했다.
 
통신사 측이 AI 학습 데이터로 피싱범의 목소리 파일이 아닌 텍스트 정보를 사용하겠다고 해 지원키로 했을 뿐이며, 따라서 음성파일을 제공하는 게 위법인지 합법인지 검토 자체를 하지 않았다는 취지다.
 
개인정보위는 “보이스피싱 범죄자의 목소리를 인공지능 개발에 활용하는 것과 관련하여 일률적으로 적용되는 지침을 결정하거나 발표한 바도 없다”며 “통신사가 개발을 검토 중인 AI 서비스 모델이 음성이 아니라 텍스트를 사용하는 언어모형 방식이기 때문에 텍스트 형태로 제공하는 방안만을 검토·논의한 것”이라고 밝혔다.
 
“향후 관련한 요청이 들어온다면 구체적인 서비스 구조, 데이터 처리 방식 등을 검토하여 지원할 예정”이라고 덧붙였다.


※법률전문미디어 아주로앤피의 더 자세한 기사를 보려면 여기를 클릭하세요