개인정보위, 생성형 AI 활용 위한 개인정보 안전 처리 기준 마련

[아이티데일리] 개인정보보호위원회가 생성형 인공지능(AI) 서비스의 개인정보 유출 위험을 줄일 안전한 데이터 처리 기준을 마련했다.

개인정보보호위원회(위원장 고학수)는 6일 서울 중구 정동 1928 아트센터에서 ‘생성형 인공지능과 프라이버시’ 오픈 세미나를 개최하고 ‘생성형 AI 개발·활용을 위한 개인정보 처리 안내서’를 공개했다.

고 위원장은 세미나에서 “안내서를 통해 현장의 법적 불확실성이 해소되고, 생성형 AI 개발·활용에 개인정보 보호 관점이 반영되길 기대한다”고 밝혔다. 나아가 “앞으로도 ‘프라이버시’와 ‘혁신’이라는 두 가치가 공존할 수 있도록 정책 기반을 마련해 나가겠다”고 향후 계획을 밝혔다.

AI 업체들은 웹상 공개 데이터를 긁어모으거나 사용자가 입력한 프롬프트 정보를 수집해 모델 학습에 활용했다. 이 과정에서 개인정보가 침해될 우려가 꾸준히 제기됐다. 실제 지난 2월 중국 AI 기업 ‘딥시크(DeepSeek)’가 과도한 개인정보 수집으로 논란을 빚었으며, 개인정보위는 시정 조치 전까지 국내 앱 마켓에서 딥시크 서비스를 중단시켰다.

개인정보위는 생성형 AI로 인한 프라이버시 우려에 대응해 명확한 개인정보 처리 기준을 수립하기 위한 안내서 제작에 나섰다. 올 초부터 내부 검토와 외부 전문가 의견 수렴을 진행했으며 산학연 AI 전문가들로 구성된 정책협의회의 검토를 거쳐 공개본을 확정했다.

이번에 공개된 안내서는 크게 △생애주기 4단계 분류 △정책 및 집행 사례를 바탕으로 한 구체적 해결 방안 △최신 기술 동향 및 연구 성과 반영 등을 특징으로 한다.

안내서는 AI 개발·활용 생애주기를 △목적 설정 △전략 수립 △학습 및 개발 △적용 및 관리 등 4단계로 구분한다. 먼저 목적 설정 단계는 AI 개발 목적을 명확히 하고 개인정보 종류·출처별로 모델 학습에 필요한 적법 근거를 다뤘다.

전략 수립 단계에서는 개발 방식을 △서비스형 LLM(예: 챗GPT API 연계) △기성 LLM 활용(예: 라마[Llama] 등 오픈소스 모델 추가학습) △자체 개발(예: 경량모델[SLM]) 등으로 나누고 유형별 고려 사항과 대응 전략을 담아냈다.

가령 서비스형 LLM을 API 연계로 사용 시 이용자 개인정보가 안전히 처리되도록 라이선스 계약, 이용약관 등으로 데이터 처리 목적과 범위에 통제 장치를 마련토록 제안한다. 개인정보위는 의료기관에 서비스형 LLM으로 의료기록 작성을 자동화한 사안에서 ‘기업용 라이선스(Enterprise API)’로 개인정보 보호 수준을 높이도록 한 사례가 있다.

AI 학습 및 개발 단계에서는 데이터 오염(Poisoning), 탈옥(Jailbreak) 등 위험 요소를 고려한 다층적 안전조치를 제시하고, AI 에이전트 관리 방안도 안내했다. 그다음인 적용 및 관리 단계는 서비스 배포 이전·이후에 걸친 위험 관리 전략을 공유했다.

안내서는 4단계로 구분된 조치 외에 실효적인 개인정보 보호를 위한 거버넌스 구축 방안도 소개했다. 개인정보위는 안내서를 통해 개인정보보호책임자(CPO)를 중심으로 한 내부 관리체계, 개인정보 영향평가 등을 마련할 것을 권장했다.