韓, 챗GPT 한국 이용자 개인정보 유출에 첫 과태료

국내 687명 피해… 360만원 부과

개인정보 이용해 맞춤형 광고
메타·인스타에 74억원 과징금

한국 이용자들의 이름과 신용카드 번호 4자리까지 노출되는 사고가 난 오픈AI에 대해 개인정보보호위원회가 과태료 360만원을 부과했다. 세계적으로 오픈AI에 과태료를 처분한 첫 사례로 파악된다고 개인정보위는 밝혔다. 개인정보를 교묘하게 수집해 맞춤형 광고에 쓴 메타 아일랜드와 인스타그램도 74억원의 과징금을 내게 됐다.

사진=연합뉴스

◆오픈AI, 한국인 카드번호 4자리 노출

 

27일 개인정보위에 따르면 올해 3월 20∼21일(한국시간) 오픈AI의 챗GPT 플러스 서비스에 접속한 세계 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에게 노출됐다. 한국 이용자는 IP 주소 기준으로 687명이 피해를 봤다. 

 

원인은 서비스 속도를 올리려 쓴 오픈소스 기반 캐시(임시저장소) 솔루션이다. 여기에서 알려지지 않은 오류가 났다. 개인정보위는 오픈AI가 보호 조치를 했음에도 사고가 났기에 안전조치 의무 위반으로는 처분하지 않았다. 다만 유출 사실을 안 후 24시간 내에 신고하지 않아 과태료를 부과했다.

 

개인정보위는 이 회사가 한국인 개인정보 침해를 최소화하려 얼마나 노력했는지도 들여다봤다. 오픈AI는 챗GPT가 학습 과정에서 쓴 한국어 데이터의 출처, 수집거부 방법 등에 대해 만족할 만한 자료를 내놓지 않았다. 개인정보위는 생성형 인공지능(AI)에 대한 법 규정 등이 불명확한 만큼, 기업들이 조기 보호 조치를 갖추도록 유도하기로 했다. 이를 위해 하반기 중 챗GPT를 포함한 주요 AI 서비스에 대해 사전 실태 점검을 한다.

 

개인정보위는 또 오픈AI에 개인정보 처리시스템을 자체적으로 점검 후 재발 방지대책을 수립할 것을 개선권고하기로 했다. 

남석 개인정보보호위원회 조사조정국장이 27일 서울 종로구 정부서울청사에서 개인정보위 제13회 전체회의 결과를 발표하고 있다. 뉴스1

◆페북·인스타, 무단 정보 수집에 74억 철퇴

 

이용자의 인터넷 방문·검색·구매 이력 등을 수집해 맞춤형 광고에 이용한 메타는 지난해 308억원에 이어 올해 74억원의 과징금을 추가로 부과받았다. 개인정보위는 메타 아일랜드에 65억1700만원, 인스타그램에 8억8600만원의 과징금을 부과했다.

 

앞서 지난해 9월 개인정보위는 이용자의 타사 행태정보를 제대로 된 동의 없이 수집한 메타(미국법인)에 과징금 308억원을 부과하고 시정명령을 내렸다. 이는 2018년 7월 이후의 서비스에 대한 과징금이었다.

 

2018년 7월 이전 국내 서비스에 대한 개인정보처리자는 메타아일랜드(유럽 법인)와 인스타그램이며, 그 뒤로 페이스북과 인스타그램의 모회사가 메타로 바뀌었다. 

 

두 회사는 눈속임 수준으로 이용자의 동의를 얻거나 아예 동의 없이 타사 행태 정보를 수집해 맞춤형 광고에 이용했다. 타사 행태정보는 이용자가 다른 웹사이트나 앱을 방문한 이력, 구매·검색 이력 등 관심, 흥미, 성향을 파악할 수 있는 온라인상의 활동정보다.

 

메타아일랜드는 페이스북 계정 생성 때 작은 스크롤 화면에서 데이터정책 전문을 보여줬다. 이용자로서는 내가 인터넷에서 검색·주문·방문하는 정보들이 페이스북으로 흘러들어간다고 인지하고 동의하기 힘들었다. 

 

인스타그램은 별도의 동의 절차조차 없었다. 인스타그램 계정 생성 때 약관 및 개인정보 처리방침에 동의한 것으로 간주했다. 게다가 개인정보 처리방침에 타사 행태정보 관련 내용을 포함하지도 않았다.

 

메타는 또 다른 회사의 개발자(사업자)들이 자기 웹사이트나 앱에 ‘페이스북 로그인’ 기능을 설치할 때 타사 행태정보 수집 도구가 함께 설치되도록 한 것으로 확인됐다. 개인정보위는 메타가 ‘페이스북 로그인’을 통해 이용자들의 정보가 전송·수집되는 사실을 사업자와 이용자 모두 알 수 없도록 하는 부정한 방법으로 개인정보를 취득한 것으로 보고 고발 여부를 검토했다. 그러나 메타는 3개월 이내에 이를 자진 시정하겠다고 공식의견을 제출했다. 개인정보위는 메타에 자진 시정 기회를 주고 이행 여부를 확인할 계획이다.

 

개인정보위는 “국내 사업자뿐만 아니라 글로벌 빅테크의 법 위반에 대해서도 엄정하게 법을 집행해왔다”면서 “이번 처분이 앞으로 국내외 플랫폼 기업들이 개인정보를 수집·이용하는 과정에서 꼭 필요한 정보를 수집하고 그 처리 과정을 투명하게 알리려 노력하는 계기가 되기를 기대한다”고 밝혔다.