지난 10일 A씨는 전 연인으로부터 연락을 받았다. 자신이 스캐터랩의 ‘연애의 과학’ 서비스를 이용하면서 A씨와 나눴던 카카오톡 대화 데이터를 넘겼는데, 동일 회사가 만든 인공지능(AI) 챗봇(채팅로봇) 서비스 ‘이루다’가 말하는 내용에 A씨가 작성한 카톡 메시지가 포함돼 있을 가능성이 있다고 했다. A씨는 “서비스를 직접 이용하지도 않고, 동의하지도 않았는데 내 사생활이 AI를 개발하는 데 쓰였다는 것에 화가 난다”며 “한국인터넷진흥원(KISA)에 개인정보 침해 신고도 했고 법적 대응도 적극적으로 고려하고 있다”고 밝혔다.
스타트업이 만든 인기 AI 챗봇 서비스에 사용자들의 카톡 대화 데이터가 쓰였다는 것이 알려지면서 이 서비스를 이용한 사용자들이 법적 대응에 나서고 있다. 직접 이용한 250만명 사용자들뿐만 아니라 이 사용자들과 대화한 연애 상대 등 제3자까지 개인정보 침해를 입어 피해는 더 클 것으로 예상된다. 전문가들은 AI 기업들이 서비스 과정에서 데이터를 수집할 때 제3자 동의 절차도 받아야 한다고 지적한다.서비스 가입 안한 제3자 정보 쓰면서 알리지도 않아
11일 관련 업계에 따르면 연애의 과학 서비스 사용자들은 운영사인 스캐터랩을 대상으로 민사소송 등 법적 대응을 준비하고 있다. 직접 서비스를 사용한 사람들뿐만 아니라 제3자도 참여한다. 제3자는 연인이나 전 연인이 이 서비스를 사용해 자기도 모르게 사생활이 담긴 카톡 대화가 유출된 사람들이다.
스캐터랩은 연애의 과학을 통해 연인 관계이거나 유사 연애 중인 사람들의 대화를 수집했다. 연애의 과학은 이용자가 자신의 카카오톡 대화 자료를 넘기면 대화 내용을 분석해 연애 조언을 제공하는 서비스다. 서비스 이용자 B가 일방적으로 연애의 과학에 넘긴 데이터에 대해 같이 대화한 C는 데이터 수집에 동의한 바가 없다. 지금까지 챗봇의 개인정보유출 문제는 AI 챗봇과 챗봇 서비스를 이용하는 사용자 사이에만 벌어져왔다. 그러나 다양한 AI 서비스가 등장하면서 이제는 서비스를 직접 이용하지 않는 제3자의 정보도 유출된다는 문제까지 일어나게 된 것이다.
스캐터랩뿐만 아니라 AI 서비스 기업들은 사실상 서비스 사용자의 정보뿐만 아니라 제3자의 데이터도 수집하고 있지만 제3자에게 수집에 대한 동의를 받거나 고지를 하지 않는 것으로 나타났다. AI 음성인식 기술을 기반으로 음성통화 내용을 문자 메시지처럼 보여주는 서비스인 비토 관계자는 “전화 상대방에게 서비스 이용이 이뤄지고 있음을 고지하지 않는다”며 “삭제 요청을 하는 것도 데이터를 가지고 있는 사람의 결정권이기 때문에 제3자가 삭제 요청을 하긴 어렵다”고 했다. 역시 통화 내용을 텍스트로 보여주는 서비스인 스위치의 관계자도 “직접 서비스를 이용하는 사람의 권리이기에 제3자가 삭제 요청을 해도 받기가 어렵다”고 말했다. 네이버가 내놓은 AI 음성기록 서비스 ‘클로바노트’도 대화 녹음 서비스를 진행할 때 상대방의 동의를 구하는 절차를 하지 않았다.
AI 서비스를 제공하는 기업들의 빈약한 개인정보 처리방침도 도마에 오른다. 개인정보보호법 제30조는 개인정보 처리방침 수립 및 공개를 의무화하고 있으나, 이 방침이 적절한지 등에 대한 판단 기준이 없어 문제가 제기돼왔다. 가령 ‘개인정보를 비식별화해 보관한다’ ‘신규 서비스 개발에 이용된다’고 약관에 명시돼있을 때 실제 이러한 처리가 이뤄지는지, 어떤 과정으로 이뤄지는지 일반 사용자는 알기 어렵다. ‘수집된 개인정보는 신규 서비스 개발에 활용한다’는 모호한 내용이 담긴 스캐터랩의 개인정보 취급방침이 대표적인 예다. 이에 정보기술(IT) 업계에서는 처리방침에 대한 적정성을 심사하는 ‘개인정보 처리방침에 대한 심사제도’가 필요하다는 지적이 나온다.
개인정보수집 논란이 커지자 정부도 조사에 나섰다. KISA와 개인정보보호위원회(개보위)는 현재 ‘이루다’ 서비스에 대한 공동조사를 진행 중이다. AI에게 학습시킨 카카오톡 대화 이력 등 이용자 정보 취득 경위를 집중적으로 뜯어본다는 방침이다. KISA 관계자는 “조속한 시일 내 서면조사를 마무리하고, 사실관계에서 문제점이 있다면 현장조사를 거쳐 시정조치가 내려질 예정”이라고 했다. “AI 기업, 데이터 프라이버시 고민해야”이와 같은 AI 서비스들은 개인정보보호법 위반의 소지가 있다는 것이 법조계의 시각이다. 김보라미 변호사(법률사무소 디케)는 “서비스를 직접 이용한 사람과 대화한 사람, 즉 제3자의 대화 정보는 ‘정보주체 이외로부터 수집한 개인정보’이므로 개인정보보호법 20조에 따라 정보주체의 요구가 있으면 개인정보의 수집 출처, 개인정보의 처리 목적을 정보주체에게 알려야 한다”며 “특히 스캐터랩의 경우 개인정보처리자가 개인정보의 처리 목적을 명확하게 해야 하고, 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다는 개인정보보호법 제3조, 제22조를 위반한 것으로 보인다”고 설명했다.
전문가들은 향후 AI를 활용하는 기업들이 프라이버시 문제를 중요하게 여기고 개발 과정에서 이 문제를 고려해야한다고 지적한다. 김정희원 미국 애리조나 주립대 커뮤니케이션학과 교수는 “사용자는 나의 어떤 데이터가 어떻게 수집되는지, 이 데이터와 알고리즘이 어떤 시스템과 연동되는지에 대한 정보를 제공 받고 그에 대한 통제권을 행사할 수 있어야 한다”며 “기업들이 서비스 개발을 위해 대용량 데이터가 필요하다는 이유로 사용자의 의사, 권리, 그리고 프라이버시에 대한 고민을 충분히 하지 않는다는 것은 큰 문제”라고 말했다.
김남영/이시은 기자 nykim@hankyung.com