AI의 기술적 발전과 MICE 분야에서 활용을 위한 준비
4차 산업혁명 시대를 이끄는 주요 분야 중 하나가 인공지능(Artificial Intelligence, AI) 이다. AI는 고성능 컴퓨터와 빅데이터, 지능형 사물 인터넷 등이 결합되어 교통, 의료, 전자상거래, 물류, 군사 분야 등 다양한 영역에서 우리의 미래를 이끌 것으로 전망된다. 의료분야의 경우 수많은 빅데이터가 집적된 AI를 이용하여 암을 진단하고 치료법을 제시하며, 사람 보다 훨씬 더 방대한 지식을 바탕으로 최적의 치료방법을 찾아낸다. 가까운 미래에 지능형 교통망이 구축되고 자율주행자동차가 연결되면, 사람이 없어도 자동차가 스스로 주변 환경을 파악하여 주행을 할 수 있는 시대에 도래할 수 있다.
AI기술은 엄청난 속도로 발전하고 있지만 아직도 보완해야 할 부분이 많다. AI가 미래에 갖게 될 폭발력은 누구도 예측할 수 없으며, 다방면에서 우리 사회의 획기적인 변화를 주도할 것으로 기대되지만, 이에 반해 헌법상의 중대한 기본권이자 2000년대 이후 인터넷이 보편화 되면서 붉어져 온 “사생활에 대한 침해”의 문제가 심화될 것으로 판단 된다.
세계적 규모의 전시회와 세계인이 모이는 콩그레스가 개최되면 개별 참가자의 입장과 각종 활동에 관련하여 통제 및 관리를 위한 많은 시간과 비용이 들어간다. 이러한 자원과 비용 절감을 위한 대안적 기술로 안면인식과 같은 AI, 사 물인터넷(IoT), 로봇, 가상현실(VR), 증강현실(AR), 스마트 미팅 및 각종 스마트 시티 기술, 이를 연결하는 5G 서비스에 이르기까지, 각종 새로운 시도가 진행되고 있다. AI의 경우, 본인의 동의하에 얼굴사진을 촬영하여 입장권 바 코드와 연동하고, 실제 입장권 구매자인지를 게이트의 컴퓨터 스캔을 통해 즉시 확인할 수 있는 방식으로 적용되기 도 하지만1) 실제로 대규모 전시에서 수많은 입장객들에 대한 안면촬영 데이터베이스가 해킹당하는 경우 민감한 개인 안면정보가 심각하게 침해될 소지가 아주 높다. 이러한 AI기술 기반의 안면인식 적용은 행사 주관자 입장에서는 상당히 편리하고 보안성을 높일 수 있는 방법으로 평가할 수 있겠지만, 안면정보를 제공한다는 본인의 동의를 전제로 해야한다는 측면에서 살펴볼 때, 현실적으로 특히 비즈니스 목적으로 활용하기에는 많은 법적 절차와 문제들이 내포되어 있는 것으로 판단할 수 있다. 현재 우리나라에서 데이터3법이 통과는 되었지만 아직까지도 개인에 대한 민감한 정보는 까다로운 절차와 엄격한 본의의 동의를 전제로 하며, 원천적으로 그 수집을 금지하고 있다
AI시대로 가는 길목, 개인정보 침해사례 증가
음성인식 비서 기능을 탑재한 스마트 스피커인 아마존의 에코(Echo). 에코가 녹음한 음성 데이터를 둘러싸고 아마존 과 사법기관이 대립한 미국 알칸소주의 살인사건이 발생한 이후2), 수사기관은 피의자가 소유한 에코의 녹음기록에 대해 수색영장을 발부했으나, 아마존은 사생활 침해와 수정헌법 제1조에 위반된다며 서버에 저장된 음성정보 등을 제공할 수 없다고 거절하였다. 음성인식 비서 알렉사(Alexa)가 명령어에 반응하여 음성과 소리를 지속적으로 녹음 하므로 살인사건의 증거제공 가능성이 부각되면서 개인정보보호와 공공안전 사이의 논란이 촉발되었으며, 음성인식 기술과 AI를 통해 수집·저장된 개인 데이터가 수정헌법을 통해 보호받아야 하는지 그 법적 문제에 대해 지속적으로 논의가 진행되고 있다.3) 사건은 결국 피의자가 에코 녹음기록 제출에 동의함에 따라 아마존 측에서도 기존의 입장을 바꿔 정보를 제공하기로 결정한 것으로 알려졌다.
윈 라스베이거스 호텔이 2017년 여름부터 전 객실에 에코를 도입하기로 결정하는 등 IoT 생태계가 확산되고 있는 상황에서 사생활 침해와 안정성에 대한 우려가 증가하고 있으며4) 비공개 문서 폭로단체 위키리크스가 CIA가 구글, 애 플, 삼성 등의 기기들을 활용해 일반인을 도·감청해왔다는 CIA 내부 자료를 공개하면서, 특히 CIA가 삼성 스마트 TV에 악성코드 ‘우는 천사(Weeping Angel)’를 감염시켜 주변 소리를 수집하는 데 활용했다는 내용을 폭로하였고5) 독일 연방네트워크관리청은 대화형 스마트 인형 ‘마이 프렌드 카일라’의 도청 위험성을 이유로 판매를 금지하고 이 미 구입한 인형들도 즉시 파괴할 것을 권고하였다. 제네시스 토이(Genesis Toys)사의 카일라는 음성인식 기술과 인 터넷 검색 기능을 기반으로 아이들과 대화할 수 있도록 제작되었으나, 독일 연방네트워크 관리청이 인형 안에 내장 된 보안되지 않는 블루투스 장치를 통해 주변 모바일 기기가 아이들의 대화내용을 엿들을 수 있는 것으로 판단하고, 노르웨이 소비자 위원회는 부모가 인식하지 못하는 사이에 대화내용이 녹음되어 제3자에게 전송될 수 있으므로 기 업이 광고나 그 외의 목적으로 활용할 수 있고, 아이들은 범죄의 표적이 될 수 있다고 위험성을 비판하였다. 또한 미 국 전자프라이버시정보센터는 해당 인형이 부모의 동의 없이 대화를 녹음하여 서버에 전송함으로써 ’어린이 온라인 프라이버시 보호법‘을 위반하고 있다는 점을 들어 미국연방상거래위원회(FTC)에 조치를 요구하였고, 프랑스·벨기 에·아일랜드 소비자 단체에서도 이러한 심각성에 대해 문제를 제기하였다. 미 연방정부와 주 법률 집행기관의 네 트워크망 내에 4억 건 이상의 안면 이미지가 저장되어 있는 것으로 밝혀지면서 아프리카계 미국인·여성·청년층에 대한 FBI시스템의 안면인식 관련 개인정보 침해의 우려가 붉어졌고, 아울러 FBI가 18개 주와 상호협약을 맺고 면허 증·여권·비자 데이터베이스(DB)에 시민들의 사진을 축적해 온 것으로 알려져 사생활 침해에 대한 위험이 심각하다는 의견을 제시되었다.
2) https://www.cnet.com/news/amazon-echo-alexa-agrees-to-hand-over-data-in-murder-case)
4) http://wspa.com/2017/02/21/could-smart-devices-like-alexa-be-compromising-your-privacy/
AI와 외국의 개인정보보호 법률과 제도
영국 DPA, EU GDPR의 원칙 | 개인정보는 공정, 적법, 투명한 방식으로 처리해야
영국의 데이터보호법(DPA) 공정성 제1원칙에 따르면, 개인정보의 처리는 공정하고 적법해야 한다고 명시하고 있으 며, 유럽연합의 GDPR 제5조(1)(a)에서도 개인정보가 “정보대상과 관련하여 공정하고 적법하며 투명한 방식으로 처 리되어야 한다.”고 규정하고 있다. 이들은 AI를 활용해 프로파일링(profiling) 등과 같은 유형의 빅데이터 분석을 하 는 경우 개인정보 침해 우려가 발생할 수 있다고 경고하였으며, 예기치 않은 데이터의 재설정(repurposing)과 복잡 한 알고리즘의 사용 등을 통해 개인정보 침해가 발생할 수 있다고 결론을 내렸다. 따라서 빅데이터 분석에 개인정보 를 사용하는 기관이나 조직은 데이터 처리의 공정성 문제를 아주 중요하게 다루어야 하며, 공정성에 대한 평가를 위 해서는 데이터 처리가 개인에 미치는 영향과 개인의 정보가 어떻게 사용되어야 하는지에 대한 방식을 적극 검토해야 한다고 평가하고 있다. 무엇보다도 머신러닝과 같은 대용량 데이터 분석방법의 복잡성으로 인해 개인 데이터를 투명 하게 처리하기 어려울 수 있다는 문제가 있을 수 있으며, 빅데이터를 적용할 때 개인정보를 사용하는 것이 사람들의 합리적인 기대에 부합하는지 그 여부를 우선 고려하는 것이 필요하다고 강조하고 있다.
EU GDPR | 명백한 동의가 수반되어야… 정보보안에 대한 조치 및 보증 확보
또한 개인정보의 처리를 위한 조건으로서 그 처리가 공정하고 합법적일 뿐만 아니라 “민감한 개인정보”일 경우 별도 의 조건을 충족시키도록 규정하고 있으며, 인공지능을 활용한 빅데이터 분석의 적용에 있어서도 GDPR 제4조 및 제 7조에 의하면, 동의가 “명백해야 하며” 웹사이트 박스를 체크하거나 “정보사회 서비스”에 대한 특정 기술 설정을 선 택하는 것과 같이 “명백한 동의”가 우선 수반되어야 한다는 점을 명백히 하고 있다. 또한 개인정보 관리자는 동의가 제공되었음을 증명할 수 있어야 하며 정보주체는 동의를 철회할 수 있어야 한다고 각각 명시하고 있다. 하지만 현실 에서는 AI를 이용한 분석의 불투명성과 광범위한 빅데이터 환경으로 인해 “합법적 동의”를 얻는 것이 어려운 경우가 많기 때문에 개인정보 침해 문제를 위한 해결방안 마련이 중요하다. 특히 빅데이터 분석과 관련된 여러 가지 “정보 보안 위험”의 문제는 새로운 위험으로 인식하고 적절한 조치를 취해야 한다고 명시하고 있고, 빅데이터 분석은 정보 보안을 향상시키는 데 사용될 수도 있지만, 패턴분석을 통해 발견된 특이 사례에 대해서는 즉시 이를 탐지하고 보안 위협에 대해 신속하게 식별해야 한다고 권고하고 있다. 경우에 따라서는 클라우드에서 빅데이터 분석을 수행하는 것 이 더 실용적일 수 있으나, 이를 위해서는 클라우드 제공자가 사용하는 보안수단에 대해 충분한 보증을 확보하는 것 이 필요하다고 천명하고 있다.9)
8) 구글 및 페이스북의 안면 인식 기술에 대한 사생활 침해 분쟁
(MediaPoast, Google Wants To Take ‘Faceprint’ Battle To Appellate Court, March 10, 2017)
