Menu

Home > Global MICE Insight

AI 활용의 전제요소, 정보보호법

 

AI의 기술적 발전과 MICE 분야에서 활용을 위한 준비

4차 산업혁명 시대를 이끄는 주요 분야 중 하나가 인공지능(Artificial Intelligence, AI) 이다. AI는 고성능 컴퓨터와 빅데이터, 지능형 사물 인터넷 등이 결합되어 교통, 의료, 전자상거래, 물류, 군사 분야 등 다양한 영역에서 우리의 미래를 이끌 것으로 전망된다. 의료분야의 경우 수많은 빅데이터가 집적된 AI를 이용하여 암을 진단하고 치료법을 제시하며, 사람 보다 훨씬 더 방대한 지식을 바탕으로 최적의 치료방법을 찾아낸다. 가까운 미래에 지능형 교통망이 구축되고 자율주행자동차가 연결되면, 사람이 없어도 자동차가 스스로 주변 환경을 파악하여 주행을 할 수 있는 시대에 도래할 수 있다.

AI기술은 엄청난 속도로 발전하고 있지만 아직도 보완해야 할 부분이 많다. AI가 미래에 갖게 될 폭발력은 누구도 예측할 수 없으며, 다방면에서 우리 사회의 획기적인 변화를 주도할 것으로 기대되지만, 이에 반해 헌법상의 중대한 기본권이자 2000년대 이후 인터넷이 보편화 되면서 붉어져 온 “사생활에 대한 침해”의 문제가 심화될 것으로 판단 된다.

세계적 규모의 전시회와 세계인이 모이는 콩그레스가 개최되면 개별 참가자의 입장과 각종 활동에 관련하여 통제 및 관리를 위한 많은 시간과 비용이 들어간다. 이러한 자원과 비용 절감을 위한 대안적 기술로 안면인식과 같은 AI, 사 물인터넷(IoT), 로봇, 가상현실(VR), 증강현실(AR), 스마트 미팅 및 각종 스마트 시티 기술, 이를 연결하는 5G 서비스에 이르기까지, 각종 새로운 시도가 진행되고 있다. AI의 경우, 본인의 동의하에 얼굴사진을 촬영하여 입장권 바 코드와 연동하고, 실제 입장권 구매자인지를 게이트의 컴퓨터 스캔을 통해 즉시 확인할 수 있는 방식으로 적용되기 도 하지만1) 실제로 대규모 전시에서 수많은 입장객들에 대한 안면촬영 데이터베이스가 해킹당하는 경우 민감한 개인 안면정보가 심각하게 침해될 소지가 아주 높다. 이러한 AI기술 기반의 안면인식 적용은 행사 주관자 입장에서는 상당히 편리하고 보안성을 높일 수 있는 방법으로 평가할 수 있겠지만, 안면정보를 제공한다는 본인의 동의를 전제로 해야한다는 측면에서 살펴볼 때, 현실적으로 특히 비즈니스 목적으로 활용하기에는 많은 법적 절차와 문제들이 내포되어 있는 것으로 판단할 수 있다. 현재 우리나라에서 데이터3법이 통과는 되었지만 아직까지도 개인에 대한 민감한 정보는 까다로운 절차와 엄격한 본의의 동의를 전제로 하며, 원천적으로 그 수집을 금지하고 있다

1)http://www.infosalonsgroup.com/2019/08/02/4-case-studies-using-facial-recognition-trade-exhibitions/

 

AI시대로 가는 길목, 개인정보 침해사례 증가

음성인식 비서 기능을 탑재한 스마트 스피커인 아마존의 에코(Echo). 에코가 녹음한 음성 데이터를 둘러싸고 아마존 과 사법기관이 대립한 미국 알칸소주의 살인사건이 발생한 이후2), 수사기관은 피의자가 소유한 에코의 녹음기록에 대해 수색영장을 발부했으나, 아마존은 사생활 침해와 수정헌법 제1조에 위반된다며 서버에 저장된 음성정보 등을 제공할 수 없다고 거절하였다. 음성인식 비서 알렉사(Alexa)가 명령어에 반응하여 음성과 소리를 지속적으로 녹음 하므로 살인사건의 증거제공 가능성이 부각되면서 개인정보보호와 공공안전 사이의 논란이 촉발되었으며, 음성인식 기술과 AI를 통해 수집·저장된 개인 데이터가 수정헌법을 통해 보호받아야 하는지 그 법적 문제에 대해 지속적으로 논의가 진행되고 있다.3) 사건은 결국 피의자가 에코 녹음기록 제출에 동의함에 따라 아마존 측에서도 기존의 입장을 바꿔 정보를 제공하기로 결정한 것으로 알려졌다.

윈 라스베이거스 호텔이 2017년 여름부터 전 객실에 에코를 도입하기로 결정하는 등 IoT 생태계가 확산되고 있는 상황에서 사생활 침해와 안정성에 대한 우려가 증가하고 있으며4) 비공개 문서 폭로단체 위키리크스가 CIA가 구글, 애 플, 삼성 등의 기기들을 활용해 일반인을 도·감청해왔다는 CIA 내부 자료를 공개하면서, 특히 CIA가 삼성 스마트 TV에 악성코드 ‘우는 천사(Weeping Angel)’를 감염시켜 주변 소리를 수집하는 데 활용했다는 내용을 폭로하였고5) 독일 연방네트워크관리청은 대화형 스마트 인형 ‘마이 프렌드 카일라’의 도청 위험성을 이유로 판매를 금지하고 이 미 구입한 인형들도 즉시 파괴할 것을 권고하였다. 제네시스 토이(Genesis Toys)사의 카일라는 음성인식 기술과 인 터넷 검색 기능을 기반으로 아이들과 대화할 수 있도록 제작되었으나, 독일 연방네트워크 관리청이 인형 안에 내장 된 보안되지 않는 블루투스 장치를 통해 주변 모바일 기기가 아이들의 대화내용을 엿들을 수 있는 것으로 판단하고, 노르웨이 소비자 위원회는 부모가 인식하지 못하는 사이에 대화내용이 녹음되어 제3자에게 전송될 수 있으므로 기 업이 광고나 그 외의 목적으로 활용할 수 있고, 아이들은 범죄의 표적이 될 수 있다고 위험성을 비판하였다. 또한 미 국 전자프라이버시정보센터는 해당 인형이 부모의 동의 없이 대화를 녹음하여 서버에 전송함으로써 ’어린이 온라인 프라이버시 보호법‘을 위반하고 있다는 점을 들어 미국연방상거래위원회(FTC)에 조치를 요구하였고, 프랑스·벨기 에·아일랜드 소비자 단체에서도 이러한 심각성에 대해 문제를 제기하였다. 미 연방정부와 주 법률 집행기관의 네 트워크망 내에 4억 건 이상의 안면 이미지가 저장되어 있는 것으로 밝혀지면서 아프리카계 미국인·여성·청년층에 대한 FBI시스템의 안면인식 관련 개인정보 침해의 우려가 붉어졌고, 아울러 FBI가 18개 주와 상호협약을 맺고 면허 증·여권·비자 데이터베이스(DB)에 시민들의 사진을 축적해 온 것으로 알려져 사생활 침해에 대한 위험이 심각하다는 의견을 제시되었다.

2) https://www.cnet.com/news/amazon-echo-alexa-agrees-to-hand-over-data-in-murder-case)

3)https://consumerist.com/2016/12/14/dont-want-alexa-listening-in-your-wynn-las-vegas-hotel-room-unplug-that-echo/

4) http://wspa.com/2017/02/21/could-smart-devices-like-alexa-be-compromising-your-privacy/

5)http://www.forbes.com/sites/thomasbrewster/2017/03/07/cia-wikileaks-samsung-smart-tv-hack-security/#78a0a6204bcd

6)https://consent.yahoo.com/collectConsent?sessionId=4_cc-session_08521905-f091-4278-aac2-8a0e2fa6b8ed&lang=en-gb&inline=false

7)http://www.telegraph.co.uk/news/2017/02/17/germany-bans-internet-connected-dolls-fears-hackers-could-target/

 

AI와 외국의 개인정보보호 법률과 제도

영국 DPA, EU GDPR의 원칙 | 개인정보는 공정, 적법, 투명한 방식으로 처리해야

영국의 데이터보호법(DPA) 공정성 제1원칙에 따르면, 개인정보의 처리는 공정하고 적법해야 한다고 명시하고 있으 며, 유럽연합의 GDPR 제5조(1)(a)에서도 개인정보가 “정보대상과 관련하여 공정하고 적법하며 투명한 방식으로 처 리되어야 한다.”고 규정하고 있다. 이들은 AI를 활용해 프로파일링(profiling) 등과 같은 유형의 빅데이터 분석을 하 는 경우 개인정보 침해 우려가 발생할 수 있다고 경고하였으며, 예기치 않은 데이터의 재설정(repurposing)과 복잡 한 알고리즘의 사용 등을 통해 개인정보 침해가 발생할 수 있다고 결론을 내렸다. 따라서 빅데이터 분석에 개인정보 를 사용하는 기관이나 조직은 데이터 처리의 공정성 문제를 아주 중요하게 다루어야 하며, 공정성에 대한 평가를 위 해서는 데이터 처리가 개인에 미치는 영향과 개인의 정보가 어떻게 사용되어야 하는지에 대한 방식을 적극 검토해야 한다고 평가하고 있다. 무엇보다도 머신러닝과 같은 대용량 데이터 분석방법의 복잡성으로 인해 개인 데이터를 투명 하게 처리하기 어려울 수 있다는 문제가 있을 수 있으며, 빅데이터를 적용할 때 개인정보를 사용하는 것이 사람들의 합리적인 기대에 부합하는지 그 여부를 우선 고려하는 것이 필요하다고 강조하고 있다.

EU GDPR | 명백한 동의가 수반되어야… 정보보안에 대한 조치 및 보증 확보

또한 개인정보의 처리를 위한 조건으로서 그 처리가 공정하고 합법적일 뿐만 아니라 “민감한 개인정보”일 경우 별도 의 조건을 충족시키도록 규정하고 있으며, 인공지능을 활용한 빅데이터 분석의 적용에 있어서도 GDPR 제4조 및 제 7조에 의하면, 동의가 “명백해야 하며” 웹사이트 박스를 체크하거나 “정보사회 서비스”에 대한 특정 기술 설정을 선 택하는 것과 같이 “명백한 동의”가 우선 수반되어야 한다는 점을 명백히 하고 있다. 또한 개인정보 관리자는 동의가 제공되었음을 증명할 수 있어야 하며 정보주체는 동의를 철회할 수 있어야 한다고 각각 명시하고 있다. 하지만 현실 에서는 AI를 이용한 분석의 불투명성과 광범위한 빅데이터 환경으로 인해 “합법적 동의”를 얻는 것이 어려운 경우가 많기 때문에 개인정보 침해 문제를 위한 해결방안 마련이 중요하다. 특히 빅데이터 분석과 관련된 여러 가지 “정보 보안 위험”의 문제는 새로운 위험으로 인식하고 적절한 조치를 취해야 한다고 명시하고 있고, 빅데이터 분석은 정보 보안을 향상시키는 데 사용될 수도 있지만, 패턴분석을 통해 발견된 특이 사례에 대해서는 즉시 이를 탐지하고 보안 위협에 대해 신속하게 식별해야 한다고 권고하고 있다. 경우에 따라서는 클라우드에서 빅데이터 분석을 수행하는 것 이 더 실용적일 수 있으나, 이를 위해서는 클라우드 제공자가 사용하는 보안수단에 대해 충분한 보증을 확보하는 것 이 필요하다고 천명하고 있다.9)

8) 구글 및 페이스북의 안면 인식 기술에 대한 사생활 침해 분쟁
(MediaPoast, Google Wants To Take ‘Faceprint’ Battle To Appellate Court, March 10, 2017)

9)https://www.privacy.go.kr/gdpr

 

미국 DHS | IoT 보안을 위한 전략적 원칙 수립, “설계-제조-사용” 단계에서 보안을 포괄적으로 규정화

미국 국토안보부(DHS)는 “IoT 보안을 위한 전략적 원칙(Strategic Principles for Securing the Internet of Things) 버전 1.0”을 발표했다. 이 원칙은 IoT 보안을 강화하기 위한 접근 방법과 권장 사례들에 초점을 맞추고 있으며, 이해 관계자들이 IoT 기기와 시스템을 설계, 제조, 사용할 때 책임감을 강화하고 리스크를 염두에 둔 보안 관련 결정을 내 리도록 강조하고 있다. 이 원칙의 목적은 IoT 기기의 개발, 제조, 실행, 사용 과정에서 “보안”과 관련한 설명을 포괄 적으로 다루도록 하는 것이다. 즉, IoT 개발자, 제조업체, 서비스 공급자, 그리고 장치와 서비스를 구입하고 배포하 는 사용자간에 IoT 보안에 대한 대화를 유도하고 이를 규정화하기 위한 도구라고 할 수 있다.

이 원칙이 중점을 두고 있는 핵심 영역은 (1)설계 단계부터 보안 고려 (2)보안 업데이트와 취약성 관리 (3)검증된 보안 관행 구축 (4)잠재적 영향을 기반으로 한 보안 우선순위 지정 (5) IoT 생태계 전반의 투명성 증진 (6) 조심스럽고 신중한 상호연결 등이다. IoT 보안과 정보보호를 위한 이러한 노력은 국토안보부가 사이버 공간 및 핵심 인프라를 보호하며 “공공 안전 보장”이라는 국토 안보부의 사명을 반영한 것으로 평가할 수 있다.

 

| 우리나라의 개인정보보호 관련 주요 법률 |

 

10) https://www.dhs.gov/securingtheIoT

 

AI와 우리나라의 개인정보보호 법률과 제도

우리나라는 개인정보보호에 대한 일반법 역할을 하는 「개인정보 보호법」, 정보통신망에서의 개인정보보호를 위한 「정보통신망 이용촉진 및 정보보호 등에 한 법률」, 신용정보를 규율하는 「신용정보의 이용 및 보호 등에 한 법률」, 위치정보에 적용되는 「위치정보의 보호 및 이용 등에 한 법률」, 범죄수사, 범죄예방 및 국민의 권익보호를 위한 「디 엔에이(DNA)신원확인정보의 이용 및 보호에 관한 법률」 등이 개인정보가 주체가 되어 보호를 받거나 제한이 이루어지는 법률들이다. 이외에도 개별 법률에서 개인정보와 관련한 규정들을 산발적으로 명시하고 있다.

11)“언론중재 및 피해구제 등에 관한 법률” 제5조(언론 등에 의한 피해구제의 원칙) “언론, 인터넷뉴스서비스 및 인터넷 멀티미디어 방송은 타인의 생명, 자유, 신체, 건강, 명예, 사생활의 비밀과 자유, 초상(肖像), 성명, 음성, 대화, 저작물 및 사적(私的) 문서, 그 밖의 인격적 가치 등에 관한 권리(이하 “인격권”이라 한다)를 침해하여서는 아니 되며, 언론 등이 타인의 인격권을 침해한 경우에는 이 법에서 정한 절차에 따라 그 피해를 신속하게 구제하여야 한다.“고 명시하고 있다.

 

규정의핵심 | 익명처리의원칙, 다른 정보와의 결합을 통해 식별할 수 있는 정보 포함

개인정보 보호법은 ‘개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.’고 명시하여 익명처리의 원칙을 규정하고 있다. 정보주체의 신원이 공개될 경우 개인 사생활 침해의 위험이 아주 크며, 특히 주민등록번호와 같은 고유식별정보가 유출·악용될 경우 막대한 재산상 피해까지 우려되기 때문이다. 그러나 개 인정보 보호법은 정보주체의 별도 동의가 있으면 언제든지 고유식별정보의 수집·이용·제공이 가능하도록 허용함 으로써 주민등록번호가 광범위하게 수집·이용될 수 있었다. 특히 주민등록번호는 거의 모든 개인정보파일 또는 개 인정보처리시스템에서 우선항목으로 설정되어 있어 그 자체가 빅데이터로써의 역할을 수행하기도 하였는데, 다행이 이 부분은 개정을 통하여 주민등록번호의 수집·이용에 대한 제한을 엄격하게 부과하였다.

AI 시대의 개인정보 처리 | 구상·설계 단계부터 정보보호 기반의 관리시스템 개발 필(必)

특히 도래하는 AI시대에는 개인정보가 빅데이터의 기본이기 때문에 미리 설계하여 대처하지 않는다면 커다란 재난 을 막을 수 없게 된다. 무엇보다도 개인정보법 제1조의 개인정보의 정의 중 “개인정보란 해당 정보만으로는 특정 개 인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.”고 되어있듯이 AI는 거의 무차별적으로 데이터를 집적하고 다른 데이터들과 연동적으로 분석하여 처리하는 것이 기본이기 때문에 아무리 개인정 보를 보호하는 여러 법률들이 존재한다고 하더라도 적절하게 제재를 가하는 것에는 어려움이 따른다. 따라서 AI를 처음으로 구상하고 설계하는 단계부터 철저하게 개인정보보호 기반의 유지·관리시스템을 개발하는 노력이 필요하 다. AI란 초기단계에서는 스스로 판단하고 처리(행동)하는 것이 일반적이지만, 중급이나 고급단계에서는 사전에 축 적된 광범위한 데이터를 기반으로 스스로 추가적인 개인정보 데이터들을 광범위하게 축적하여 이용할 수 있기 때문 에 개인정보에 대한 침해사례가 점점 증가하게 된다. 드론(drone)의 경우와 같이 인간이 조정하여 의도적으로 사생 활을 침해하는 경우도 많지만 AI를 탑재한 미래의 드론은 인간의 의도와는 다르게 스스로 판단하여 운행되면서 개인 의 사생활이 침해되는 경우가 발생할 수 있기 때문이다.

 

나가는 글

AI와 인간이 공존하는 미래 대비 | 규제 설계 및 관련 법 준수를 위한 노력

세계 각국에서는 AI에 대한 법인격을 부여하자, 로봇세를 부과하자 등 미래를 대비한 다양한 논의가 진행 중에 있다. 2012년 미국연방상거래위원회(FTC)는 소비자들의 사생활에 대한 규제를 위해 “Consumer Privacy Framework”를 발표한 바 있다. 그 내용은 설계에 의한 프라이버시 보호(Privacy by Design)를 우선으로 하며, 실체적 원칙(The Substantive Principles) 기준의 정보 보안(Data Security), 합리적인 수집 제한(Reasonable Collection Limits), 건전한 보유관행(Sound Retention Practices), 그리고 정보 정확성(Data Accuracy) 등이다.

12) 기업의 관행상 AI를 먼저 설계하여 제작한 후, 소비자들에 판매하는 형태는 앞서 제시한 사례들처럼 개인정보 침 해의 유발을 증가시켜왔다.

무엇보다도 국내에서 해외방문객을 대상으로 전시컨벤션 행사를 주최하는 기업이나 기관들은 외국인이라 할지라도 내국인에 준하는 개인정보보호에 특별한 관심을 가져야하며, 반대로 해외로 진출하는 사업자들은 각 국가들이 규정 하는 제도 및 법률 상의 구체적 내용을 숙지하도록 해야 한다. 세계 각국이 보호하는 법률의 내용과 범위가 서로 다르기도 하고, 법률과는 별도로 헌법상으로 보다 폭넓은 기본권을 보장하고 있기 때문에, 개인정보관리에는 신중을 기해야 할 필요가 있다. 전시컨벤션 분야에서는 행사의 외국 참가자들에 대한 개인정보들을 특별한 목적 하에 저장 및 보관·관리하고 있다 하더라도, 이를 기간별로 엄격하게 관리하고 일정기간이 지나면 폐기하는 의식적인 노력도 필요하다. 요즘은 개인정보 침해로 인한 국제소송도 증가하고 있는 추세이기 때문에, 관련 사례에 대한 정보도 늘 모니터링 해야 할 것이다.

앞으로 AI는 자동차 자율주행 등과 같은 일부 분야에만 국한되지 않고 교육, 의료·복지, 군사, 홈오토메이션, 위성, 장난감, 체육, 전시컨벤션 등 모든 분야에서 폭넓게 활용될 것으로 판단된다. 하지만 기존의 개인정보를 보호하는 법률들만으로는 한계가 있다. AI가 설계되는 단계부터 철저한 개인정보보호에 관한 지침이나 법률들이 제정되어 설계단계부터 명확하게 적용되어야 AI와 인간이 사이좋게 공존하는 세상을 만들 수 있다.

 

 

 

이구현
한림국제대학원대학 미국법과 교수

키워드
#AI #인간 #정보처리 #개인정보보호 #GDPR #DPA #DHS #IoT #보안 #개인정보침해

<< Previous Article

Next Article >>

관련기사

이번호 더 보기