'다른 서비스처럼 했다'는 이루다 개발사, 위법성 관련 쟁점은

개인정보위, KISA 현장 조사 중
개인정보보호법으로 본 쟁점 3가지

다른 서비스처럼 했다는 이루다 개발사, 위법성 관련 쟁점은

인공지능(AI) 챗봇 서비스 ‘이루다’는 잠정 중단됐지만 개발사인 스캐터랩이 연애의 과학 이용자들의 개인 정보를 어떻게 수집하고 활용했는지를 두고 논란이 일파만파 커지고 있다.

14일 개인정보위원회·업계 등에 따르면 스캐터랩의 개인정보 취급·처리 방침 위법성 여부를 따질 때 쟁점이 되는 부분은 크게 세 가지다.

"'포괄 동의'는 현행법 금지" VS "다른 서비스들처럼 했다"
첫 번째는 필수·선택 항목을 구분하지 않고 포괄 동의를 진행한 부분이다. 이루다 서비스의 학습 데이터로 제공된 스캐터랩의 또 다른 서비스 ‘연애의 과학’ 앱은 회원 가입과 동시에 개인정보취급방침에 전부 동의하는 형태를 취하고 있다. 이에 대해 스캐터랩 측은 전날 낸 보도자료에서 “연애의 과학 초기화면에 ‘로그인함으로써 이용약관 및 개인정보취급방침에 동의합니다’라고 기재되어 있고 이용자가 터치하면 전문을 확인할 수 있다”며 “연애의 과학이 개인정보 수집·이용에 동의를 받는 방법은 실제로 국내외 서비스들이 채택하고 있는 동일한 방법으로, 내부적으로 법적 문제가 없을 것이라고 판단했다”고 설명했다. 하지만 이는 동의를 받을 때 필수 사항과 선택 사항을 구분해야 한다는 개인정보보호법 제22조 위반의 소지가 있다는 게 전문가들의 지적이다. 개인정보보호법 전문가인 김보라미 변호사는 “현행법 상 ‘포괄 동의’는 금지되어 있다”며 “서비스에 필수적으로 필요한 정보와 그렇지 않은 정보를 필수와 선택으로 구별하지 않고 동의를 구하는 곳들이 있는데 절대 허용되지 않는 부분”이라고 말했다.


다른 서비스처럼 했다는 이루다 개발사, 위법성 관련 쟁점은
스캐터랩의 ‘연애의과학’ 앱을 다운로드 받은 뒤 열면 보이는 첫 화면. 로그인함으로써 이용약관과 개인정보취급방침에 모두 동의하는 ‘포괄 동의’ 형태를 띄고 있다. /앱 화면 갈무리

'목적 외 이용' 여부 가린다
두 번째는 신규 서비스 개발 및 마케팅·광고에 활용하겠다고 고지한 내용이 원래 목적에 부합하는지 여부다. 스캐터랩 측은 “연애의 과학 개인정보취급방침에 따라 자사의 ‘신규 서비스’로서 이루다 서비스 개발을 위해 동의받은 범위 내에서 활용할 수 있다고 생각했다”며 “수집한 데이터는 비식별화 조치를 한 뒤 AI 알고리즘 훈련 등을 위하여 제한적인 용도로만 활용됐다”고 강조했다. 개인정보위 관계자는 “사용자의 동의를 받을 때 관련 서비스 개발 등 항목을 알리도록 되어 있다”며 “관련 서비스가 실제 목적에 부합하는 지, 이용자 추가 동의가 필요하지는 않았는지 따져봐야할 것”이라고 밝혔다.

스캐터랩의 ‘연애의과학’ 앱의 개인정보취급방침에 들어가면 개인정보 활용 목적으로 ‘신규 서비스 개발 및 마케팅·광고에의 활용’이 제시된다. 개인정보보호위원회는 이 부분이 목적에 맞는 이용인지 조사하고 있다. /앱 화면 갈무리

유출된 정보가 추가 정보 없이 개인 특정 가능한가
세 번째는 적절한 가명·익명처리를 했는 지 여부다. 스캐터랩 측은 지난 12일 보도자료를 통해 “주소·계좌번호 등 개인정보가 포함될 수 있는 메시지 제거, 실명으로 파악되는 단어 제거 등을 통해 알고리즘에 따라 비식별화 조치를 했다”고 밝혔다. 하지만 2019년부터 개발자들의 오픈 소스 공유 플랫폼인 ‘깃허브’에 스캐터랩이 AI 챗봇 서비스에 쓰인 100건을 훈련 데이터로 공유하는 과정에서 실명이 20여 건 포함돼 있는 것을 비롯해 직장명·지역명·지하철역 이름·도로명 등이 들어간 것이 확인돼 논란이 커지고 있다. 개인정보보호법에서 요구하는 가명처리 수준은 추가 정보가 없이는 특정 개인을 알아볼 수 없어야 하지만 스캐터랩이 오픈한 정보는 개인을 특정할 수 있는 정보가 노출됐다는 것이다. 이에 대해 스캐터랩 측은 추가 입장문을 내고 “한국어 자연어처리(NLP)와 관련된 기술 개발 및 공유를 위한 것이었으나 데이터 관리에 더 신중하지 못했고, 일부 민감할 수 있는 정보가 포함된 대화 패턴이 노출된 점에 대해서 진심으로 사과드린다”고 전했다.

또 연애의 과학 서비스 개인정보처리방침에서는 개인정보책임자가 김종윤 스캐터랩 대표로 명기돼 있지만 최근 낸 보도자료에서는 “연애의 과학 원본 데이터는 지정된 한 명의 담당자만이 접근할 수 있다”며 최고기술책임자(CTO)를 언급해 혼선을 줬다. 스캐터랩 측은 직원들이 이용자 데이터를 사내에서 돌려봤다는 지적에 대해서 “자체적으로 진상조사위원회를 구성해 조사를 진행하고 있다”며 “조사가 마무리되는 대로 조사 결과를 투명하게 공개하겠다”고 설명했다.

한편, 개인정보보호위원회와 한국인터넷진흥원(KISA)는 전날인 13일 스캐터랩 본사를 찾아 현장 조사를 진행했다.
/정혜진기자 madein@sedaily.com


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>