기업이 AI(인공지능)의 유형·용례별로 리스크를 구체적으로 식별하고 측정해 관리하는 데 참조할 수 있는 가이드라인이 나왔다.
개인정보보호위원회는 AI 기업이 자율적으로 프라이버시(개인정보) 리스크를 관리할 수 있도록 '안전한 AI·데이터 활용을 위한 AI 프라이버시 리스크 관리 모델'을 공개했다고 19일 밝혔다. 이번 리스크 관리 모델에는 AI 생애주기에 걸친 프라이버시 리스크 관리의 방향과 원칙, 리스크 유형, 경감 방안이 담겼다.
개인정보위는 "AI 시대의 데이터 처리 방식은 개인정보 유·노출 등 전형적 프라이버시 리스크를 비롯해 딥페이크로 인한 인격권 침해 등 새로운 리스크를 유발하고 있다"며 "리스크를 적정하게 관리하는 것은 정보주체 보호, 지속가능하고 신뢰할 수 있는 AI를 위해 필수적이고 리스크에 대한 체계적 이해를 바탕으로 비례적 합리적 경감 조치를 취할 필요가 있다"고 강조했다.
이에 개인정보위는 지난해 12월부터 AI 프라이버시 민관 정책협의회 리스크 평가 분과의 논의를 중심으로 리스크 관리 모델을 마련했다. AI 데이터 처리 특성, 프라이버시 리스크 유형, 리스크 경감 방안 및 관리 체계, 기업 사례 등이 집대성됐다. 개인정보위는 "이 안내서에서 제시되는 모든 개별 조치의 이행이 반드시 요구되는 것은 아니다"라고 부연했다.
이번에 나온 리스크 관리 모델은 AI의 구체적 유형과 용례를 파악하는 데서 시작하도록 권고한다. AI의 유형과 용례에 따르 데이터 요구사항과 처리방식이 다르기 때문에 리스크도 달라질 수 있어서다. 이를 바탕으로 리스크를 정성적 정량적으로 측정하고 각 리스크에 비례하는 안전조치를 마련할 것을 제시했다. 이같은 리스크 관리는 개인정보 보호 중심 설계 관점에서 AI 모델·시스템의 기획·개발 단계부터 이뤄지는 게 바람직하다고 평가됐다.
AI 리스크 유형도 예시로 제시됐다. 예컨대 기획·개발 단계에서는 저작권 및 개인정보 등 권리침해와 같은 일반적 리스크도 있지만 적법하지 않은 학습데이터를 수집·이용하거나 AI 학습 데이터를 부적절하게 보관·관리하는 데서 발생하는 프라이버시 리스크가 생길 수 있다. 생성형 AI의 경우 학습데이터의 암기 및 개인정보 유노출 관련한 리스크가 우려된다. 판별AI의 경우 자동화된 결정으로 인한 정보주체 권리가 약화되거나 대중감시 및 민감정보 추론에 악용될 수 있다는 우려가 제기될 수도 있다는 것이다.
이같은 리스크들을 경감하기 위한 안전조치도 제시됐다. 학습데이터의 출저와 이력을 관리하고 허용되는 이용방침을 마련하며 AI 프라이버시 레드팀을 운용해 개인정보 침해유형 테스트를 거쳐 필요한 조치를 하도록 하는 것 등이 있다. 부적절한 답변에 대해 정보주체가 신고할 수 있도록 방안을 마련하는 것도 경감조치 사례로 꼽혔다. 필요시 개인정보 영향평가를 수행하는 것도 좋은 대안이 될 수 있다. 또 AI 학습데이터 전처리, AI 모델 미세조정을 통한 안전장치 추가, 입력·출력 필터링 적용 등 기술적 안전조치도 병행할 수 있다.
독자들의 PICK!
아울러 이번 리스크 관리 모델은 개인정보보호책임자(CPO) 주도 하에 리스크에 대한 다각적·전문적 평가를 수행할 수 있는 담당 조직을 구성하고 체계적 리스크 관리를 보장하는 정책을 마련할 것을 권고했다. 개인정보위는 추후 AI 기술 발전과 개인정보 관련 법령 제개정, 글로벌 동향 등을 고려해 이번 모델을 지속적으로 업데이트한다는 방침이다. 또 소규모 조직과 스타트업, AI 개발유형 등 세부 대상과 영역에 특화된 안내 자료도 발간할 계획이다.
박상철 서울대 교수(민관정책협의회 리스크평가분과장)는 "전세계적으로 빠르게 발전하는 AI 기술과 기존 개인정보보호 규제 간에 간극과 긴장이 발생하고 있어 대응이 필요한 시점"이라며 "각계 전문가와 함께 세계적인 AI 거버넌스의 흐름과 실증 연구 결과들에 부합하는 유연하고 체계적인 프라이버시 리스크 관리체계를 제시했다는 점에서 의미가 있다"고 했다.
배경훈 LG AI 연구원장(민관정책협의회 공동의장)은 "국제적 논의가 활발한 AI 프라이버시 분야에서 우리나라가 선도적으로 리스크 관리 모델을 개발한 것은 의미있는 성과"라며 "AI 기업 등이 혁신과 프라이버시 보호를 동시에 달성할 수 있도록 개인정보위의 지속적 지원을 부탁드린다"고 했다.
고학수 개인정보위 위원장은 "개인정보, 비개인정보가 총체적으로 활용되고 기술 발전이 지속되는 AI 영역은 불확실성이 높기 때문에 일률적 규제보다는 합리적·비례적 관리를 통해 리스크를 총체적으로 최소화하는 것이 필요하다"며 "리스크 관리 모델이 AI 기업 등이 프라이버시 리스크를 이해하고 체계적으로 관리하는 데 도움이 되길 바란다"고 밝혔다.
