개인정보위, SKT '에이닷'에 '시정권고'…"시스템 접속기록 보관 미흡"
2024-06-13 12:00
에이닷 출시후 개인정보 침해 우려에 실태점검
"데이터 처리 과정서 일부 접속기록 미보관"
SKT, 권고 수용…일부 조치 선제적으로 실시
"데이터 처리 과정서 일부 접속기록 미보관"
SKT, 권고 수용…일부 조치 선제적으로 실시
개인정보위는 지난 12일 제10회 전체회의에서 에이닷 등 AI 응용서비스를 제공하는 4개 사업자에 대한 사전 실태점검 결과를 심의·의결했다고 13일 밝혔다. 이 중 SKT에는 시정권고와 개선권고를 함께 내렸고, 네이버 자회사인 스노우에는 개선권고를 부여했다.
개인정보위는 지난해 11월부터 한국인터넷진흥원(KISA)과 주요 AI 서비스를 대상으로 사전 실태점검을 진행했다. 이에 지난 3월 오픈AI·구글·메타·네이버 등 초거대언어모델(LLM) 서비스 운영업체 6곳에 대해 개선조치를 권고했고, 이날은 AI 응용서비스 업체들에 대한 조사 결과를 발표했다.
개인정보위는 SKT의 통화 녹음·요약 서비스인 에이닷이 개인정보 안전조치 의무를 제대로 준수하지 않았다고 봤다. 에이닷은 이용자 기기에서 통화 녹음이 이뤄지면 해당 음성파일을 SKT 서버에서 텍스트로 변환한다. 이후 이를 다시 마이크로소프트(MS)의 클라우드에서 요약해 결과물을 이용자에게 제공한다.
조사를 벌인 개인정보위는 텍스트 파일을 보관하는 시스템 등에 접속 기록이 보관되지 않은 사실이 있다고 지적했다. 해당 부분이 개인정보법 제29조 안전조치의무 위반 소지가 있다고 보고, 시스템상 접속 기록의 보관·점검 등 안전조치 의무를 준수하도록 시정권고 조치를 내렸다. 이와 함께 텍스트 파일의 보관 기록 최소화, 비식별 처리 강화, 서비스 내용을 명확히 이해할 수 있는 조치를 마련·시행할 것을 권고하기로 했다.
SKT는 전날 전체회의에 참석해 개인정보위에 시정권고 조치를 전향적으로 수용하고 조치를 취하겠다고 밝혔다. 실제 SKT는 조사 기간 중 데이터 국외 이전 관련 고지를 구체화했고, 학습 데이터 보관 기간을 단축하는 조치를 선제적으로 취했다. 다만 개인정보위는 "SKT가 수용적 의사를 표명했지만 실제로 조치했는지는 다시 정밀하게 이행점검을 해야 한다"고 요구했다.
지난해 10월 출시된 에이닷은 통화녹음 기능이 없는 아이폰에서도 관련 기능을 지원해 주목받았다. 그러나 통화 내용에 담긴 개인정보나 음성 정보가 SKT의 서버에 일시적으로 저장되고, 이것이 자사 AI 학습에 활용된다는 사실이 부각되며 개인정보 침해 논란을 빚었다. 특히 통화 녹음을 할 때 에이닷 이용자는 동의했지만, 전화 상대방은 그렇지 않을 수 있어 이 경우 결과적으로 허락 없이 제3자(SKT)가 개인정보를 수집하는 셈이라는 점에서 논란이 됐다.
개인정보위는 다만 이용자가 통화 녹음을 하는 것 자체를 개인정보법으로 규율하기 어렵다고 봤다. 강대현 개인정보위 조사1과장은 "이용자 자체는 개인정보법상 처리자가 아니라 통화녹음을 선택한 행위 자체를 개인정보법으로 규율할 수 없다"며 "그러한 개인정보를 SKT 내에서 처리하는 과정을 살핀 것"이라고 설명했다.