"얼굴정보 출입국 AI심사 개발에 활용한 법무부 위법하지 않아"
법무부, 안면인식 정보 민간 업체에 제공해 논란
개인정보위, 전체회의 열고 "목적 범위 내 이용에 해당" 판단
(서울=연합뉴스) 김기훈 기자 = 얼굴 정보 무단 사용으로 논란이 된 법무부의 인공지능(AI) 식별·추적 시스템 구축과 관련, 법무부가 보유한 안면 정보를 출입국 심사 AI 개발에 활용한 것은 위법하지 않다는 개인정보보호위원회의 판단이 나왔다.
다만 개인정보위는 개인정보 처리위탁 과정에서 위탁사실과 수탁자를 공개하지 않은 것은 개인정보보호법 위반에 해당한다고 보고 법무부에 과태료 100만원을 부과했다.
개인정보위는 27일 정부서울청사에서 전체회의를 열고 법무부 인천공항 출입국·외국인청의 개인정보 보호법규 위반행위에 대해 이같이 심의·의결했다고 밝혔다.
◇ 법무부 수집한 개인정보 1억7천만여건 AI 알고리즘에 활용
개인정보위는 지난해 국정감사에서 이와 관련한 문제점이 지적되자 법무부·과학기술정보통신부 등 관계기관과 사업 참여기관에 대한 조사에 착수했다.
조사 결과 법무부는 2019년부터 출입국 심사 고도화를 위한 'AI 식별추적 시스템 개발사업'을 추진해왔으며, 해당 사업은 AI 안면인식과 폐쇄회로(CC)TV 활용 출입국 심사장 이상행동 추적 등 2개 영역에서 추진됐다.
이 가운데 CCTV 활용 이상행동 추적사업은 사업이 중단된 지난해 10월까지 CCTV 영상정보가 활용되지 않은 것으로 확인됐다.
안면인식과 관련해서는 사업 참여기관이 AI 알고리즘 고도화를 위해 법무부가 보유한 약 1억7천여만건(내국인 5천760만건·외국인 1억2천만건)의 개인정보를 활용한 사실이 확인됐다.
이는 법무부가 출입국관리법에 따라 수집한 정보로 암호화를 거친 여권번호, 국적, 생년, 성별, 안면이미지 정보 등이 해당한다.
다만 법무부는 사업 과정에서 제로 클라이언트(입출력 장치가 없는 단말기)를 통해서만 민간 참여기업이 접근할 수 있도록 제한했고, 외부로 반출된 개인정보와 AI 알고리즘은 없는 것으로 확인됐다.
◇ 개인정보 위탁사실·수탁자 미공개는 법 위반…과태료 100만원
조사 과정에서 AI 식별추적시스템 개발을 위해 활용된 안면정보 등이 민감정보에 해당하는지, 출입국 심사를 위한 AI 학습에 안면정보를 이용한 것이 목적범위 내 이용인지가 관건이 됐다.
개인정보위는 우선 "법무부가 출입국심사 AI 알고리즘 학습에 활용한 정보는 민감정보이며, 개인정보보호법에 따라 정보주체의 동의 또는 명시적 법적 근거가 필요하다"고 설명했다.
다만 출입국관리법을 근거로 민감정보가 적법하게 처리된 것으로 판단했다.
출입국관리법은 지문, 얼굴, 홍채 등 생체정보를 이용한 본인 확인이 가능하도록 법적 근거를 두고 있으며, 출입국 심사 때 생체정보의 활용이 가능하다고 규정한 것은 민감정보의 처리를 허용하는 것으로 해석하는 게 타당하다는 것이다.
개인정보위는 또 출입국 심사장 이상행동 AI 식별추적을 위해 CCTV 영상정보 내 특정 개인에 관한 특징점을 추출하는 행위 역시 민감정보의 처리에 해당하나, 영상정보가 실제 이용되지 않아 위법 여부를 판단하지 않았다고 설명했다.
다만 'CCTV 영상정보를 이용한 AI 이상행동 탐지 솔루션' 개발을 재추진하기 위해 정보주체의 사전 동의를 받거나, 이를 허용하는 법적 근거를 마련하거나, 다른 정보와 결합하더라도 개인을 식별할 수 없도록 비식별화해 추진할 필요가 있다고 강조했다.
개인정보위는 법무부가 보유한 안면 정보를 출입국 심사 AI 개발에 활용한 것은 목적 범위 내 이용에 해당한다고 판단했다.
출입국 심사 과정에서 수집한 안면 정보를 안면인식 AI 개발에 활용하는 것은 출입국관리법의 목적인 '안전한 국경관리'를 달성하기 위한 것으로 당초 개인정보 수집·이용 목적 범위에 포함된다는 것이다.
다만 법무부가 개인정보처리 위탁 계약을 맺는 과정에서 위탁사실과 수탁자를 공개하지 않은 것은 개인정보보호법 위반에 해당하는 것으로 보고 개인정보위는 과태료 100만원을 부과했다.
개인정보위는 "AI 식별추적 시스템 개발 관련 개인정보처리 위탁계약을 AI 개발업체와 체결한 것은 '개인정보 처리위탁'에 해당한다"며 "법무부가 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않은 것은 보호법 위반에 해당한다"고 설명했다.
◇ 개인정보 유출 사실 제때 알리지 않은 4개 사업자에 과태료 처분도
이와 별도로 이날 전체회의에서 개인정보 유출 사실 등을 정보주체에게 제대로 알리지 않은 제주항공 등 4개 사업자에 총 2천300만원의 과태료가 부과됐다.
제주항공은 시스템을 업데이트하는 과정에서 담당자 실수로 이용자의 개인정보가 유출됐으나, 이에 대한 신고와 통지를 하지 않은 것으로 확인됐다.
야놀자는 해커의 협박 메일로 개인정보 유출 사실을 알게 돼 당국에 유출 신고를 했으나, 정당한 사유 없이 법정기한(24시간)을 넘겨 이용자에게 유출 사실을 알렸다.
안다르는 게시판 오류로 인한 개인정보 유출을 알게 된 후 24시간을 넘겨 개인정보 유출을 신고했고, 이용자에게 유출 통지를 하지 않았다. 또 조사 결과 법적 근거 없이 이용자의 주민등록번호를 수집한 사실이 드러났다.
미래비젼교육은 타 사업자에게 영업을 양도하면서 개인정보가 이전된다는 사실을 이용자에게 미리 전자우편 및 전화 등의 방법으로 알리지 않았다.
사업자별 과태료 부과액은 제주항공 600만원, 야놀자 300만원, 안다르 1천100만원, 미래비젼교육 300만원이다.
kihun@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>