개인정보보호 관련 규제 개선이 시급한 또 하나의 분야는 보이스피싱 범죄 대응이다. 인공지능(AI)이 발전해 통화 내용을 듣고 보이스피싱 여부를 실시간으로 판단하는 일까지 가능해졌지만 정작 서비스 상용화는 제한적인 상황이다. AI에게 양질의 데이터를 학습시키려면 통화 당사자, 즉 피싱범의 동의를 얻어야 하는 웃지 못할 규제가 남아 있어서다.
2일 정보기술(IT) 업계에 따르면 AI 학습 데이터 활용을 위한 ‘개인정보보호법 개정안’이 올 1월 발의된 후 아직 국회 정무위원회에서 계류 중이다. 개정안은 보이스피싱 예방 등 사회적으로 필요한 AI 개발에 원본 데이터를 활용할 수 있도록 허용하는 특례를 위한 법적 근거를 담았다. 현행법으로는 보이스피싱 대응에 한계가 있다는 지적에 개인정보 정책 당국인 개인정보보호위원회도 제도 개선을 위해 개정안 통과가 시급하다는 입장이다.
현재 이용자 목소리나 얼굴 사진 같은 생체 정보는 개인정보위의 ‘생체 정보 보호 가이드라인’에 따라 정보 주체 동의 없이는 AI 개발사가 학습 데이터로 활용할 수 없다. 이를 보이스피싱에 적용하면 AI가 통화 상대방 목소리를 듣고 피싱범을 가려내려면 기존 피싱범들의 음성 데이터를 대량 학습해야 하지만 정작 이를 위해 목소리 주인인 피싱범들의 동의가 필요하다는 딜레마가 생긴다.
음성 데이터는 단순히 피싱범 목소리를 대조하는 것을 넘어 성문(voiceprint) 분석에도 쓰일 수 있다. 성문은 손가락 지문처럼 목소리 속에서 개개인을 식별할 수 있는 고유 특성으로 이를 분석하면 피싱범이 목소리를 위변조해도 잡아낼 수 있다. 실제로 국립과학수사연구원은 피싱범들의 목소리를 담은 데이터베이스(DB) ‘그놈목소리’를 구축했다. 하지만 현행법상 보이스피싱 탐지용 AI 학습에는 음성을 텍스트로 변환한 데이터만 제공 가능하다. 이렇게 만들어진 AI 서비스는 성문 대신 보이스피싱으로 의심되는 대화 맥락과 키워드만 분석하는 수준에 그친다.
이 같은 규제는 글로벌 기준에도 맞지 않는다는 지적이 따른다. 일례로 미국은 일리노이주의 ‘개인생체정보호법(BIPA)’ 같은 일부 주 법률을 제외하면 연방 차원에서는 관련 규제가 없다. 개인정보위 관계자는 “미국은 금융, 아동·청소년 보호 등 분야별로 개인정보 보호가 필요한 부분에만 핀포인트로 규제한다”고 말했다. 또 최근 동남아시아에서도 보이스피싱 급증으로 대응 기술 수요가 커지면서 국산 기술을 고도화하면 수출도 가능하다는 기대가 나온다. 실제 베트남·말레이시아 등 현지 통신사들이 국내 통신사들에 보이스피싱 대응 관련 문의를 많이 하고 있다는 게 업계 전언이다.
과학기술정보통신부와 개인정보위는 지난달 말 신기술 규제를 유예해주는 규제 샌드박스를 KT 보이스피싱 탐지 서비스에 적용해 AI의 음성 데이터 학습을 한시적으로 허용했다. LG유플러스 역시 규제 샌드박스를 신청해 조만간 서비스를 내놓을 것으로 전망된다. 업계 관계자는 “규제 샌드박스는 2~4년 동안만 규제를 유예할 수 있어 한계가 있다”며 “근본적으로 개정안 통과가 시급하다”고 했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
sookim@sedaily.com
