인공지능(AI) 모델·시스템을 개발·제공할 때 프라이버시 리스크를 체계적으로 관리할 수 있는 정부 차원 모델이 제시됐다.
개인정보보호위원회는 19일 ‘안전한 AI·데이터 활용을 위한 AI 프라이버시 리스크 관리 모델’을 공개했다. 리스크 관리 모델에는 AI 생애주기에 걸친 프라이버시 리스크 관리의 방향과 원칙, 리스크 유형, 경감방안 등이 체계적으로 담겼다.
AI 시대가 도래하며 데이터 처리방식에 있어 새로운 위험성이 나타났다. 개인정보 유출 또는 노출 등 전형적인 프라이버시 리스크와 딥페이크로 인한 인격권 침해 등이다. 그러나 일선 현장에서는 프라이버시 리스크와 관련 참고할 수 있는 자료가 부족해 어려움을 겪었다.
이에 개인정보위는 지난해 12월부터 ‘AI 프라이버시 민·관 정책협의회’를 통해 리스크 관리 모델을 마련했다. 국내외 학계, 정부, 연구기관 등에서 논의되고 공감대가 형성되고 있는 AI 데이터 처리 특성, 프라이버시 리스크 유형, 리스크 경감방안 및 관리체계, 기업 사례 등을 집대성해 안내하는 자료다. 개별 조치에 대한 강제성은 없다.
리스크 관리 모델 내용을 살펴보면 우선 관리 절차를 강조했다. AI의 구체적 유형과 용례를 파악하고 리스크를 식별·측정해 리스크에 비례하는 안전조치를 마련해 체계적으로 관리하자는 것이다. 이는 개인정보 보호 중심 설계 관점에서 AI 모델·시스템의 기획·개발 단계부터 이뤄지는 것이 권장되고 있다.
AI 프라이버시 리스크의 유형도 제시됐다. AI 생애주기에 따라 기획·개발 단계, 서비스 제공 단계에서 발생하는 리스크를 구분해 제시했으며, 서비스 제공 단계는 생성 AI와 판별 AI를 구분해 구체성을 더했다. 예를 들어 기획·개발 단계에서는 적법하지 않은 학습데이터 수집의 위험성이 발생할 수 있다. 생성 AI에서는 학습데이터 암기 및 개인정보 유출이, 판별 AI에서는 자동화된 결정으로 인한 정보주체 권리의 약화 등이 발생할 수 있다는 내용이다.
리스크를 경감하기 위한 관리적·기술적 안전조치도 안내됐다. 관리적 안전조치에는 △학습데이터 출처·이력 관리 △허용되는 이용방침 마련 △AI 프라이버시 레드팀을 통한 개인정보 침해유형 테스트 및 조치 △부적절한 답변 등에 대한 정보주체 신고방안 마련 등이 포함된다. 또한, 학습데이터에 민감한 정보가 포함될 개연성이 높거나 대규모 개인정보가 포함되는 경우 △ 개인정보 영향평가 수행도 권장된다.
기술적 안전 조치에는 △AI 학습데이터 전처리(불필요한 데이터 삭제, 가명·익명화, 중복제거 등) △AI 모델 미세조정을 통한 안전장치 추가 △입력· 출력 필터링 적용 △차분 프라이버시 기법의 적용 등이 포함된다.
이와 함께 한국어가 적용된 AI 모델의 특수성도 고려하기 위해 한국어 언어모델 대상 프라이버시 리스크 경감기술 효과 분석을 위한 정책연구도 진행됐다. 관련 연구가 부족한 상황에서 과학적 실증에 기반한 정책을 마련하기 위해 노력했다.
리스크 관리체계도 제시됐다. 전통적인 프라이버시 거버넌스의 재편과 개인정보보호책임자(CPO)의 주도적 역할, 리스크를 평가할 담당조직 구성, 리스크 관리를 보장하는 정책 마련 등이 언급됐다.
개인정보위는 추후 AI 기술 발전과 개인정보 관련 법령 제·개정, 글로벌 동향 등을 고려해 리스크 관리 모델을 지속적으로 업데이트할 계획이다. 소규모 조직, 스타트업 및 AI 개발 유형(미세조정, RAG 등) 등 세부대상, 영역 등에 특화된 안내 자료도 조만간 구체화될 예정이다.
이번 리스크 관리 모델 논의를 이끈 박상철 서울대 교수(민·관 정책협의회리스크 평가 분과장)는 “전세계적으로 빠르게 발전하는 AI 기술과 기존 개인정보보호 규제 간에 간극과 긴장이 발생하고 있어 대응이 필요한 시점”이라며 “각계 전문가와 함께 세계적인 AI 거버넌스의 흐름과 실증 연구 결과들에 부합하는 유연하고 체계적인 프라이버시 리스크 관리체계를 제시했다는 점에서 의미가 있다”고 전했다.
민·관 정책협의회의 공동의장인 배경훈 LG AI 연구원장은 “국제적 논의가 활발한 AI 프라이버시 분야에서 우리나라가 선도적으로 리스크 관리 모델을 개발한 것은 의미 있는 성과”라며 “AI 기업 등이 혁신과 프라이버시 보호를 동시에 달성할 수 있도록 개인정보위의 지속적 지원을 부탁드린다”고 말했다.
고학수 개인정보위 위원장은 “개인정보, 비개인정보가 총체적으로 활용되고 기술 발전이 지속되는 AI 영역은 불확실성이 높기 때문에 일률적 규제보다는 합리적·비례적 관리를 통해 리스크를 총체적으로 최소화하는 것이 필요하다”며 “리스크 관리 모델이 AI 기업 등이 프라이버시 리스크를 이해하고 체계적으로 관리하는 데 도움이 되길 바란다”고 밝혔다.
