"60만명 카톡 대화 무단 사용"…"챗봇 '이루다' 개발사, 과징금·과태료 1억원

중앙일보

입력 2021.04.28 16:15

윤종인 개인정보보호위원회 위원장이 28일 오전 서울 종로구 정부서울청사에서 열린 '제7회 개인정보 보호위원회 회의'에서 인사말을 하고 있다. 뉴스1

윤종인 개인정보보호위원회 위원장이 28일 오전 서울 종로구 정부서울청사에서 열린 '제7회 개인정보 보호위원회 회의'에서 인사말을 하고 있다. 뉴스1

인공지능(AI) 챗봇 ‘이루다’의 개발사가 1억330만원의 과징금과 과태료를 물게 됐다. 이용자의 동의 없이 카카오톡 대화를 수집해 서비스 개발에 사용했다는 이유에서다. AI 기술을 활용하는 기업의 개인 정보 처리를 두고 제재가 가해진 것은 이번이 처음이다.

AI기업, 정보처리 관련 제재 첫 사례

개발사 "AI는 초기 단계…엄격한 규제 말아달라"

개인정보보호위윈회는 28일 전체회의를 열고 이루다의 개발사 ‘스캐터랩’의 개인정보보호 법규 위반 행위에 과징금 5500만원과 과태료 4780만원을 각각 부과하기로 결정했다고 밝혔다. 이번 조치는 지난 1월 관련 의혹이 제기되면서, 개인정보위가 100일 넘는 조사를 거쳐 내린 결론이다. 개인정보위는 "업계와 법·학계, 시민단체 의견을 수렴하고, 수차례의 위원회 논의 과정을 거쳐 행정처분을 의결했다"고 밝혔다.

스캐터랩 측은 잘못을 일부 시인하면서도 선처를 호소했다. 이날 회의에 참석한 김종윤 스캐터랩 대표는 "'이루다' (딥러닝) 학습 과정에서 개인정보와 관련한 많은 이슈를 만드는 등 물의를 일으켜 죄송하다"며 "개인정보 이해가 부족한 점에 대해 책임을 통감한다"고 밝혔다. 그러면서 "처음부터 엄격한 규제를 적용하면 많은 문제가 생길 수도 있다"면서 "AI는 이제 시작하는 초기 단계 기술이라 본다. 토론과 합의를 통해 함께 사례를 만들어나가는 게 좋지 않을까 싶다"고 말했다.

공식 웹페이지에 소개된 이루다. [사진 이루다 웹페이지 캡쳐]

공식 웹페이지에 소개된 이루다. [사진 이루다 웹페이지 캡쳐]

이루다는 인공지능 대화 서비스로 지난해 12월에 첫선을 보였다. 20대 여대생으로 설정된 이루다는 출시 초반부터 논란이 끊이지 않았다. 일부 사용자가 이루다를 성희롱 대상으로 이용하거나, 장애인·성소수자·인종과 관련한 혐오 대화 내용이 공개되기도 했다. 이같은 대화가 실제 카카오톡 사용자들의 대화를 기반으로 만들어졌다는 문제까지 더해지면서 스캐터랩은 출시 20일만에 서비스를 종료하고 사과에 나서기도 했다.

개인정보위 "이용자, 동의했다 보기 어려워" 

스캐터랩 측의 호소에도 개인정보위의 판단은 달라지지 않았다. 개인정보위는 스캐터랩이 자사 앱서비스인 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 이용자 60만명의 카카오톡 대화 문장 94억 건을 이루다의 개발과 운영에 이용했지만, 명확하게 동의를 받지 않은 것으로 판단했다. 연애의 과학 개인정보처리방침에 ’신규서비스 개발‘ 문구를 포함했으나 이용자가 이에 동의했다고 해서 이루다 같은 AI챗봇 서비스 개발에도 동의했다고 보기 어렵다는 것이다.

송상훈 개인정보위원회 조사조정국장이 28일 오후 서울 종로구 정부서울청사에서 AI 챗봇 '이루다' 사건 등 개인정보 법규 위반행위 시정조치 브리핑을 하고 있다 뉴스1

송상훈 개인정보위원회 조사조정국장이 28일 오후 서울 종로구 정부서울청사에서 AI 챗봇 '이루다' 사건 등 개인정보 법규 위반행위 시정조치 브리핑을 하고 있다 뉴스1

조사결과 스캐터랩은 카카오톡 대화문장을 이루다의 AI 모델 개발을 위한 알고리즘 학습에 이용하면서 대화에 포함된 이름이나 휴대전화 번호, 주소 등 개인정보를 삭제하거나 암호화하는 조치도 취하지 않은 것으로 드러났다. 또 20대 여성의 카카오톡 대화 문장 1억 건을 응답 데이터베이스(DB)로 구축하고 이루다가 이 가운데 한 문장을 선택해서 발화하도록 한 것으로 조사됐다.

개인정보위는 스캐터랩이 IT(정보기술) 개발자들이 오픈소스를 공유하는 플랫폼인 ‘깃허브(GitHub)’에 카카오톡 대화 문장 1431건과 AI 모델을 게시한 것도 법 위반으로 판단했다. 특정 개인을 알아보기 위해 사용될 수 있는 정보가 불특정 다수에게 제공됐다는 이유에서다.

이밖에도 개인정보위는 법정대리인 동의 없이 14세 미만 아동의 개인정보를 수집한 행위, 성생활 등에 민감한 정보를 처리하면서 별도 동의를 받지 않은 행위, 회원 탈퇴자나 1년 이상 서비스 미사용자의 개인정보 미파기 등에 대해서도 모두 법 위반으로 인정했다.

윤종인 개인정보위원장은 “기업이 특정 서비스를 목적으로 수집한 개인정보를 이용자의 명시적 동의 없이 다른 서비스에 무분별하게 이용하는 것이 허용되지 않으며, 개인정보 처리에 대해 정보 주체가 명확하게 인지하도록 알리고 동의를 받아야 한다는 점을 분명히 했다는 의미가 있다”고 말했다.

장주영 기자 jang.jooyoung@joongang.co.kr

관련기사

ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT

Innovation Lab