개인정보보호위원회가 개인정보보호법 위반 사항이 발견된 SK텔레콤의 인공지능(AI) 개인비서 서비스 에이닷(A.)에 시정권고를 내렸다.
사업자가 시정권고를 수용하면 시정명령으로 전환된다. SK텔레콤은 개인정보위 사전 실태점검 결과를 수용할 뜻을 밝힌 것으로 전해졌다.
개인정보위는 지난 12일 서울 종로구 정부서울청사에서 전체회의를 열고 에이닷 등 AI 응용서비스 사업자 4곳에 대한 사전 실태점검 결과를 심의·의결했다.
사전 실태점검은 법위반 혐의가 인지되지 않은 상태에서 개인정보 침해 소지 가능성·위험성이 있는 분야에 대해 선제적으로 조사하는 예방적 성격을 갖는다. 법위반 사항을 확인하더라도 과징금·과태료 등 제재 처분을 내리지 않고 시정 기회가 주어진다.
통화녹음·요약 등을 제공하는 에이닷은 개인정보보호법 29조(안전조치의무)를 위반했다. 통화 음성파일이 SK텔레콤 서버에서 텍스트로 변환된 이후 마이크로소프트(MS) 클라우드에서 GPT 모델을 통해 요약하고 이용자에게 전달하는 과정에서 시스템상 접속기록을 보관하지 않았다.
개인정보위는 시스템상 접속기록의 보관·점검 등 안전조치 의무를 준수하도록 시정권고했다. 또 텍스트 파일 보관 기간 최소화, 비식별 처리 강화, 서비스 내용에 대해 정보주체가 명확히 이해할 수 있는 조치를 마련·시행할 것을 개선권고했다.
강대현 개인정보위 조사1과장은 “시정권고 조치를 수용하지 않으면 정식조사로 전환해 안전의무 위반에 대한 법적 제재를 조치할 수 있다”면서 “전체회의에 SK텔레콤이 참석해 개인정보위가 제시한 점검결과에 대해 수용적 입장을 확인했다”고 말했다.
개인정보위는 네이버의 이미지 AI 자회사 스노우엔 이용자가 개인정보의 서버 전송에 관해 쉽게 인지할 수 있도록 하고, 외부 소프트웨어개발키트(SDK)의 개인정보 처리·전송 안전성을 점검할 것을 개선권고했다.
글로벌 언어 AI 기업 딥엘(DeepL)은 점검과정에서 개선 조치해 별도 개선권고를 받지 않았다. 뷰노는 개인정보보호법 위반 사항이 발견되지 않았다.
강 과장은 “사전 실태점검은 개인정보 처리 과정 취약점을 선제적으로 점검하고 개선을 유도했다는 데 의의가 있다”며 “정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI 응용서비스에 대해서 지속 모니터링하고 AI 시대의 개인정보 보호대책과 안전한 개인정보 활용 방안을 마련하겠다”고 말했다.
조재학 기자 2jh@etnews.com
