보안과 AI는 어떤 상관관계가 있을까?

 지난 뉴스레터 VOL. 416 (챗GPT와 새로운 보안 과제)에서는 챗GPT의 등장으로 인해 많은 기업들이 이용 지침을 신설하기 시작했다고 알려드린 적이 있어요. 보안 우려가 커지는 만큼 점점 많은 기업들이 사내에서 챗GPT를 비롯한 생성형 인공지능의 사용을 제한하기 시작했고, 그 내용을 구체화해가고 있어요.

기업들의 지침 마련

 우선 삼성전자 디바이스솔루션(DS) 부문부터 확인해 볼까요? 삼성전자 DS는 챗GPT에 질문을 할 때 한 번에 1024바이트 이상을 업로드할 수 없도록 조치를 취했어요. 왜 글자 수를 제한했을까요? 이유인즉슨, 한 직원이 프로그램 소스코드를 챗GPT에 그대로 업로드해 오류 확인을 요청한 바가 있기 때문이라고 하네요. 하마터면 소스코드가 외부로 유출될 수도 있는 상황이었네요!

 삼성전자 DX 사업부에서는 챗GPT 뿐 아니라 구글 바드, 빙 등을 AI 플랫폼으로 전송된 데이터가 외부 서버에 저장돼 관리가 어렵고 노출 위험성도 있기에 생성형 AI의 사용을 제한했어요. 지난달에는 임직원을 대상으로 실시한 설문조사에서 응답자의 65%가 ‘사내 사용 시 보안 리스크가 있다’고 응답했다고 하네요. 삼성전자는 이 설문조사를 바탕으로 ‘챗GPT 활용 지침’을 만들고 있어요.

 SK텔레콤의 경우, 사내망에서 챗GPT를 활용할 수 있다고 해요. 사내 웹사이트에 신설된 챗GPT 메뉴에서 창을 열어 대화가 가능한데, 다만 오픈 AI에서 무료로 공개한 챗GPT 서비스와는 차이가 있어요. 입력할 수 있는 텍스트와 이미지 크기가 제한되어 있고, 입력한 데이터는 내부 클라우드 안에서만 공유된다고 하니 외부로 유출될 위험은 낮아지겠네요.

 오픈AI 이외에도 여러 기업들이 앞다투어 AI를 출시하고 있어요. 구글의 경우, 100개 이상의 언어로 글쓰기와 코딩을 지원하는 PaLM2를 공개할 예정이고, 오는 7월에는 네이버가 ‘하이퍼클로바X‘라는 인공지능을 공개한다고 해요. 또 이러한 대기업들뿐 아니라 스타트업 업계도 AI 기업에 대한 벤처 투자가 몰리고 있다고 하네요.

보안이 AI 대중화의 방해물?

 IT업계에서는 정보 유출의 우려가 생성형 AI의 대중화를 막는 방해물이 될 수도 있다고 보고 있어요. 어느 AI 전문가는 “일반인뿐만 아니라 기업 등 산업 영역에서 생성형 AI 서비스를 도입하고 업무에 본격적으로 활용해야만 진정한 의미의 AI 시대가 열릴 수 있다. 하지만 기업들이 보안을 중시하며 업무 영역에서의 도입을 꺼리면 생성형 AI의 파급력도 그만큼 약해진다. 생성형 AI의 가치도 함께 줄어든다"라고 말했어요.

 효율적인 방법이 있는데도 굳이 먼 길을 돌아서 일 처리를 하는 것도 지금과 같은 시대에서는 모순이라고 생각해요. 무조건적으로 제한하기보다는 인공지능의 이로운 점은 받아들이며, 보안 관련 사고들을 예방하기 위해 지침을 만드는 기관, 변형된 서비스를 제공하는 여러 기업들, 그리고 안전한 인공지능 사용을 위해 끊임없이 연구하는 보안 담당자분들 덕분에 인공지능 분야가 더욱더 발전하게 될 것 같아요!

<관련기사>

○ ‘GPT 정보 유출’ 경고… 안전한 보안환경 필요해 (2023.05.09.)

○ 생성AI 바람 탄 오픈AI "2024년 매출 10억달러 전망" (2022.12.16.)

○ 아직 설익은 AI 보안, 업그레이드 노력이 관건 (2021.08.31.)

경품행사에서의 개인정보는 어떻게 관리되고 있는가

얼마 전에 A 단체에서 광고성 문자가 와서 ‘내 연락처는 어떻게 알았을까?’라며 곰곰이 생각해 봤는데, 몇 달 전 경품 행사에 참여했던 기억이 떠오르더라고요. 시간이 꽤 흘렀음에도 제 개인정보를 파기하지 않았다는 사실에 찝찝하기도 하고, 수집한 개인정보는 어떻게 관리가 되는지 궁금하기도 했어요.

그동안 경품행사에서 개인정보가 제대로 관리되지 않아서 문제가 되었던 적은 많아요. 지난 2015년에는 홈플러스가 경품행사를 위해 개인정보를 수집했다가 재판에 회부되었던 적이 있어요. 2011년 12월부터 2014년 6월까지 11회의 경품행사를 진행하면서 700건이 넘는 고객들의 개인정보를 수집하여 건당 1980원씩 보험사에 7곳에 팔았기 때문이에요. 또 이 과정에서 일부 개인정보는 고객의 동의 없이 수집하고 제3업체에 개인정보를 넘긴 뒤 사후 동의를 받아서 더욱더 논란이 되었어요. 이에 피해자 천여 명이 홈플러스를 상대로 손해배상 청구 소송을 제기했고 다행히 피해자들은 위자료를 받게 되었지만 개개인의 중요한 정보들이 헐값에 거래되었다는 사실의 씁쓸함과 한 번 잃어버린 신뢰는 금방 회복되기는 어려웠을 거예요.

또 지난해에는 공정거래위원회가 인스타그램을 통해 경품행사를 진행했으나 당첨자들에게 이름과 전화번호 전송을 안내하는 과정에서 개인정보보호법을 위반했다고 하네요. 다들 이미 잘 알고 계시겠지만 개인정보를 수집하려면 수집 목적과 항목, 보유 기간, 동의 거부권 등을 미리 알려야 해요. 이러한 과정 없이 개인정보를 요구하였으니 적법 절차를 준수하지 않았다고 할 수 있죠. 공공기관에서도 이와 같은 일이 일어나는 원인은 무엇일까요?

아무래도 이러한 경품 행사에서 정확하게 정리된 가이드라인이 없었기 때문이라고 생각해요. 하지만 지난 5월 3일 개인정보위원회는 ‘개인정보 보호 가이드라인(온라인 경품행사편)’을 발간하여 사이트에 게재했어요. 경품행사에 응모하는 쪽도, 그리고 행사를 주최하는 측도 구체적인 개인정보 처리 절차를 몰라 침해 사고로 이어지는 경우가 종종 있었다고 하는데, 모두에게 꼭 필요한 가이드라인이 아닐까 싶어요.

주요 내용을 살펴보면, 경품행사 운영자는 행사 참여자로부터 참여에 필요한 정보에 한해서만 수집해야 하고, 만약 경품을 배송할 주소지가 필요하다면 추후 당첨자에 한해 수집해야 한다고 해요. 경품행사에 꼭 필요한 개인정보는 행사 참여자의 동의 없이도 수집이 가능하나 개인정보 보유 기간, ‘경품 행사 목적 외로 이용하지 않는다’라는 사실 등은 행사 참여자에게 미리 안내해야 해요.

이 가이드라인에서는 경품행사와 관련된 법 규정과 지침 외에도 좋은 사례와 나쁜 사례 등이 이미지와 함께 정리가 되어 있고, ‘경품행사 관련 개인정보 처리 점검표’가 수록되어 있어 스스로 점검해 볼 수도 있답니다. 지켜야 할 사항들이 단계별로 실려있어 온라인 경품행사를 진행 예정이시라면 꼭 한 번은 참고하시는 걸 추천드려요!

이제 깔끔한 가이드라인도 마련이 되었으니 경품행사로 인한 개인정보 유출 사고는 더 이상 일어나지 않길 바라요. 비록 ‘온라인 경품행사’에 국한되는 사항이긴 하지만 이러한 가이드라인들이 하나, 둘 모이다 보면 어느덧 개인정보보호 강국으로 우뚝 선 대한민국을 기대할 수 있을 거라 생각해요.

<관련기사>

○ 경품 배송에 필요한 정보는 당첨자에 한해 수집해야 (2023.05.08.)

○ “한국인 46%, 개인 데이터가 제3자 이익을 위해 활용되고 있다” 노드VPN 발표 (2022.11.30.)

○ 홈플러스 고객정보 불법판매 민사소송 장기화 (2021.01.29.)