유통업 특화 인공지능(AI) 솔루션 기업 A사는 최근 한 중소 유통 업체와의 협업을 추진했지만 계약 직전 무산됐다. A사는 매장 내 CCTV 영상을 분석해 고객의 표정과 동선을 비식별 데이터로 변환한 뒤 이를 기반으로 특정 매대 앞 체류 시간이나 상품 접근 빈도 등을 분석해 매출 향상에 유리한 상품 배치를 제안하는 사업을 실시하고 있다. 그러나 상대 기업은 협의 막판 ‘개인정보 규제 부담’을 이유로 계약을 포기했다. A사 대표는 “CCTV 정보는 특히 개인정보 민감도가 높아 사업 활용 가능성을 검토하기보다 아예 처음부터 제외하는 경우가 많다”며 “많은 중견·중소기업들이 AI를 도입한 뒤 법적 리스크가 불거질 가능성을 우려해 선뜻 나서지 못하는 게 현실”이라고 전했다. 그는 “대기업은 자체 IT 부서가 법률·보안 대응 체계를 갖추고 있지만 중소기업은 그렇지 않아 AI 도입을 포기하는 경우가 많다”고도 부연했다.
A사 대표가 말한 ‘비식별 데이터’란 개인정보에서 특정 개인을 알아볼 수 있는 정보를 제거하거나 다른 값으로 대체한 가명정보를 말한다. 개인정보 중 ‘가명정보’와 ‘익명정보’는 개인정보보호법상 서로 다른 법적 지위를 가진다. 현행 개인정보보호법 제28조의2(가명정보 처리)는 가명정보를 정보 주체의 동의 없이도 통계 작성, 과학적 연구, 공익적 기록 보존 등의 목적으로 활용할 수 있도록 허용하고 있다. 그러나 같은 법 제28조의3과 시행령 제29조는 가명정보가 다른 정보와 결합돼 특정 개인을 알아볼 수 있게 되는 경우 ‘재식별’로 간주한다. 재식별이 확인되면 개인정보보호법 제70조에 따라 5년 이하의 징역 또는 5000만 원 이하의 벌금형에 처해질 수 있다.
익명정보는 상대적으로 규제가 덜하지만 무엇이 익명정보인지 판단하는 기준이 명확하지 않다는 점에서 기업들은 활용을 꺼린다. 특히 CCTV 영상이나 음성과 같은 비정형 데이터는 AI 분석 과정에서 다른 데이터와 결합되는 경우가 많아 재식별 위험 판정을 받을 가능성이 높다. 기술적으로 비식별 처리가 가능하더라도 법적으로 ‘안전하다’고 단정하기 어렵다는 것이다. 기업들은 “정보가 재식별로 판단되는 기준이 모호해, 사후적으로 재식별 위험이 인정되면 처벌을 피하기 어렵다”고 우려한다.
2023년 9월 개인정보보호법 개정으로 공공기관의 유출 신고 기준이 강화되면서 기업들의 부담은 더욱 커졌다. 2023년까지는 1000명 이상의 개인정보가 유출돼야 신고 의무가 있었으나 개정 이후에는 주민등록번호·건강정보 등 민감 정보가 1명만 유출돼도 신고 의무가 발생한다. 그 결과 2024년 공공기관의 신고 건수는 104건으로 전년도(41) 대비 2배 이상 늘어났다. 이 중 68%는 유출 규모가 1000명 미만인 소규모 사고였다. 법 개정으로 사소한 유출까지 신고하는 사례가 빈번해진 셈이다. 민간 기업의 유출 신고는 전체의 66%(203건)로, 전년(277건)보다 다소 줄었지만 이 중 60%는 중소기업에서 발생했다. 해외 기업(12%), 협회 및 단체(12%), 중견기업(11%), 대기업(5%)이 뒤를 이었다.
한국이 다양한 규제에 묶여 AI 발전에 속도를 내지 못하는 사이 주요국들은 규제 완화에 잇따라 나서고 있다. 미국에서는 2025년 도널드 트럼프 미 대통령이 ‘AI 액션 플랜(Action Plan)’을 발표하며 규제 완화 기조를 분명히 했다. 연방 정부는 주(州) 단위의 과도한 규제를 억제하기 위해 연방 자금 지원과 연계하는 방식을 추진하며, AI 인프라와 혁신 중심의 산업 환경을 조성하는 정책을 본격적으로 추진하기로 했다. 일본은 2022년 개인정보보호법 개정을 통해 기존 개인정보 규제의 적용을 받지 않는 ‘개인 관련 정보’라는 개념을 도입하고 보다 유연한 데이터 활용을 위한 법적 기반을 마련했다. 유럽연합(EU)은 개인정보보호규정(GDPR)에 따른 500인 이하 중소기업의 데이터 기록 보관 의무를 완화하는 방안을 추진 중이다. 의료 정보 같은 ‘고위험’ 개인정보만 데이터 처리 기록을 보관하고 그 외 규정에 대해서는 면제할 수 있도록 하겠다는 것이다.
최경진 가천대 교수는 “AI는 데이터를 실시간으로, 맥락에 따라 유기적으로 처리하는 방식으로 작동하기 때문에 수집·제공·위탁·제3자 처리 등 각 단계를 나눠 규제하는 현행 법 체계에는 분명한 한계가 있다”며 “개인정보 보호 제도가 AI 시대의 기술 환경을 따라갈 수 있도록 현실적으로 개편되고, 다양한 활용 사례도 적극 발굴될 필요가 있다”고 진단했다.
개인정보보호 관련 규제 개선이 시급한 또 하나의 분야는 보이스피싱 범죄 대응이다. 인공지능(AI)이 발전해 통화 내용을 듣고 보이스피싱 여부를 실시간으로 판단하는 일까지 가능해졌지만 정작 서비스 상용화는 제한적인 상황이다. AI에게 양질의 데이터를 학습시키려면 통화 당사자, 즉 피싱범의 동의를 얻어야 하는 웃지 못할 규제가 남아 있어서다.
AI 학습 데이터 활용을 위한 ‘개인정보보호법 개정안’은 올 1월 발의된 후 아직 국회 정무위원회에서 계류 중이다. 개정안은 보이스피싱 예방 등 사회적으로 필요한 AI 개발에 원본 데이터를 활용할 수 있도록 허용하는 특례를 위한 법적 근거를 담았다. 현행법으로는 보이스피싱 대응에 한계가 있다는 지적에 개인정보 정책 당국인 개인정보보호위원회도 제도 개선을 위해 개정안 통과가 시급하다는 입장이다.
현재 이용자 목소리나 얼굴 사진 같은 생체 정보는 개인정보위의 ‘생체 정보 보호 가이드라인’에 따라 정보 주체 동의 없이는 AI 개발사가 학습 데이터로 활용할 수 없다. 이를 보이스피싱에 적용하면 AI가 통화 상대방 목소리를 듣고 피싱범을 가려내려면 기존 피싱범들의 음성 데이터를 대량 학습해야 하지만 정작 이를 위해 목소리 주인인 피싱범들의 동의가 필요하다는 딜레마가 발생한다.
음성 데이터는 단순히 피싱범 목소리를 대조하는 것을 넘어 성문(voiceprint) 분석에도 활용될 수 있다. 성문은 손가락 지문처럼 목소리 속에서 개개인을 식별할 수 있는 고유 특성으로 이를 분석하면 피싱범이 목소리를 위변조해도 잡아낼 수 있다. 실제로 국립과학수사연구원은 피싱범들의 목소리를 담은 데이터베이스(DB) ‘그놈목소리’를 구축했다. 하지만 현행법상 보이스피싱 탐지용 AI 학습에는 음성을 텍스트로 변환한 데이터만 제공 가능하다. 이렇게 만들어진 AI 서비스는 성문 대신 보이스피싱으로 의심되는 대화 맥락과 키워드만 분석하는 수준에 그치는 한계가 있다.
구태언 법무법인 린 변호사는 서울경제신문과의 전화 인터뷰에서 “데이터 관련 규제를 획기적으로 완화하지 않으면 지속 가능한 소버린 AI를 갖는 것은 불가능하다”면서 “데이터 문제의 본질은 ‘공급 부족’”이라고 밝혔다. 그는 “데이터도 시장이기 때문에 공급이 넉넉하면 가격이 내려가지만, 현재는 공급이 막혀 일부 독점 사업자가 가격을 좌우하는 구조”라며 “현행 개인정보보호법, 저작권법 등은 데이터 유통을 저해해 소상공인의 타깃 마케팅 등 혁신적인 서비스 개발을 가로막고 있다”고 말했다.
의료 분야가 대표적이다. 전자의무기록(EMR)에 기록된 환자의 증상은 진단의 기초이자 AI 학습에 필수적인 데이터다. 그러나 현행 개인정보보호법 해석에 따라 ‘식별 가능성’이 있다는 이유로 증상 기록(Chief Complaint) 전체를 삭제하는 관행이 일반화돼 있다. 이로 인해 AI는 진단명인 ‘감기’나 ‘폐렴’ 같은 결과만 학습할 수 있고, 그에 이르기까지의 증상 변화나 의사의 판단 과정은 반영되지 못한다. 결과적으로 진단 정확도가 떨어지고 의료 AI의 경쟁력도 저하된다.
해외에서는 가명정보의 기준을 명확히 하는 방식으로 기업의 데이터 활용을 적극 권장하는 반면 국내에선 기준이 모호해 기업들이 아예 활용을 포기하거나 데이터를 과도하게 삭제하는 상황이 빈번하다. 구 변호사는 “재식별 정보의 정의가 지나치게 광범위해 AI 개발에 필요한 다양한 데이터를 수집하기 어렵다”며 “고도의 비식별 처리 방식은 오히려 데이터의 가용성을 떨어뜨려 AI 기술 발전을 방해한다”고 꼬집었다.
이 같은 문제를 해결하기 위해서는 먼저 가명정보와 익명정보의 범위를 명확히 재정의해야 한다는 목소리가 나온다. 구 변호사는 “같은 정보라도 누가 가지고 있고 어떤 상황에서 활용하느냐에 따라 개인정보인지 아닌지가 달라질 수 있다”며 “정보가 사용되는 맥락을 고려해 식별이 불가능한 경우에는 개인정보가 아닌 것으로 판단하는 방안도 검토할 필요가 있다”고 제언했다. 이어 “정보 주체가 직접 공개한 정보에 한해서는 동의 없이 수집·이용할 수 있도록 허용하는 방안도 논의돼야 하고, 온라인 데이터 활용의 법적 불확실성 역시 조속히 해소해야 한다”고 강조했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
coldmetal@sedaily.com
