[파이낸셜뉴스] 인공지능(AI) 기반 디지털교과서(AIDT) 시스템의 이용자 개인정보 관리가 법적 기준에 미달한 것으로 나타났다. 개인정보보호위원회는 지난 14일 전체회의를 열고 AI 디지털교과서 사전 실태점검 결과를 심의·의결했다고 15일 밝혔다. 교육 당국이 AIDT 서비스를 제공하는 과정에서 이용자 개인정보를 미흡하게 처리한 점이 확인됐다는 것이 개인정보위의 판단이다. AI 디지털교과서는 올해 3월부터 운영된 공교육 서비스로, 종이 교과서와 달리 학생별 학습 이력을 데이터베이스화하고, 이를 바탕으로 개인화된 콘텐츠를 제공한다. 점검 결과, AI 디지털교과서 통합포털 운영기관인 한국교육학술정보원(KERIS)은 학생의 학습시간, 진도율, 성취 수준, 커뮤니티 참여 내역 등 구체적인 학습 행동정보를 '국가수준 학습데이터셋'이라는 이름으로 통합 저장하고 있는데, 이 항목과 목적을 분명하게 제시하지 않았다. 이 자료는 현재 통계분석에 활용되고 있지만, 향후 AI 학습 분석 목적까지 포함될 예정이다. 개인정보 처리동의서와 처리방침 등에 각각 처리하는 개인정보의 항목, 목적, 보유기간 등을 정보주체가 알 수 있도록 투명하게 기재해야 한다. 보안관리 측면에서도 허점이 발견됐다. AIDT는 클라우드보안인증(CSAP)와 개인별·과목별 고유식별값(UUID) 체계를 갖추고 있었지만, 기술심사 기준과 개발 가이드라인이 클라우드 위주에 머물러 보호법상 안전조치 의무와는 괴리가 있었다는 평가다. 특히 API 연계 등 시스템 간 연동 구조에서 발생할 수 있는 보안 취약성에 대한 별도 점검 체계가 부재한 것으로 드러났다. 개인정보위는 KERIS와 개발사에 대해 공동으로 ISMS-P 인증을 취득하고 유지하는 방식으로 보안 수준을 높일 것을 권고했다. 또 향후 AIDT 통합포털이 개인정보법상 '집중관리시스템'으로 지정될 가능성이 있는 만큼, 100만 명 이상 정보주체 또는 민감정보를 다루는 시스템에 요구되는 수준의 강화된 보안체계를 준비할 필요가 있다고 강조했다. 아울러 교육부에는 AIDT의 전반적인 개인정보 보호 체계 강화를 위해 AIDT 검정심사 기준 및 가이드라인에 보호법 준수사항을 구체적으로 반영하도록 하고 이에 대한 사후 점검 체계도 함께 마련할 것을 권고했다. 또 향후 개인정보 침해 등 문제 발생 시 책임 소재가 명확하게 드러날 수 있도록 KERIS, 개발사 등 참여 주체별 역할과 사고수습 체계를 사전에 정비할 것도 권고했다. 각 기관이 10일 이내에 시정권고를 수락하면 법적 시정명령으로 간주하며, 60일 이내에 이행 결과를 보고해야 한다고 개인정보위는 전했다. 개인정보위 관계자는 "향후 시정권고 및 개선권고 사항에 대한 이행 여부를 지속 점검할 것"이라며 "교육부 등 관계 기관과 협의를 통해 보다 안전한 데이터 환경에서 ‘AI 디지털 교과서’를 포함한 양질의 공교육 서비스가 제공될 수 있도록 계속 노력하겠다"고 말했다. yjjoe@fnnews.com 조윤주 기자
2025-05-15 12:20:54[파이낸셜뉴스] 과도한 개인정보 수집으로 논란을 빚다 최근 우리 정부의 실태 점검을 받은 중국의 생성형 인공지능(AI) 딥시크가 한국어 '개인정보 처리방침'을 마련했다. 딥시크는 28일(현지시간) 처리방침을 개정하면서 한국어 버전을 공개하고, 개인정보 정책을 일부 개정했다. 한국에 대한 별도의 부속 규정을 새로 마련하고 '한국 개인정보보호법을 준수해 개인정보를 처리한다'는 내용이 들어갔다. 또 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전한다면서, '이용자가 개인정보 이전을 거부할 수 있다'고 명시했다. 이는 개인정보보호위원회가 지난 23일 열린 제9회 전체회의에서 '딥시크 사전 실태점검 결과'를 심의·의결한 지 닷새만이다. 당시 개인정보위 점검 결과 딥시크는 국외 이전에 대해 이용자 동의를 받거나 처리방침을 공개하지 않았고, 중국에 있는 틱톡 모기업인 바이트댄스의 자회사인 볼케이노로 국내 고객이 딥시크 채팅창에 입력한 프롬프트 정보를 넘겼다. 개인정보위는 딥시크에 국외 이전 시 합법적인 근거를 충실히 마련하는 것은 물론 프롬프트 정보 즉각 파기와 한국어 처리방침 공개 등을 시정권고했다. 다만 국내 애플리케이션 마켓에서 잠정 중단했던 신규 다운로드 서비스는 아직 재개되진 않은 것으로 확인됐다. 딥시크의 서비스가 한국 법에 맞는 개인정보 보호 조치 수준을 달성했다고 판단했을 때 자율적으로 신규 다운로드를 재개할 것으로 예상된다. wongood@fnnews.com 주원규 기자
2025-04-28 09:10:20LG유플러스는 고객들의 개인정보를 보호하고 정보 주체로서의 알 권리를 보장하기 위해 '프라이버시 센터'를 운영한다고 13일 밝혔다. 프라이버시 센터는 간단한 웹페이지 접속만으로 고객들이 자신의 개인정보가 어떻게 관리되고 있는지 개인정보 처리방침 등을 통해 확인할 수 있는 곳이다. LG유플러스의 프라이버시 센터는 고객이 실질적으로 자신의 개인정보 사용처를 확인하고 관리할 수 있는 플랫폼을 지향한다. 올해 하반기 가동될 예정인 '개인정보 통합 동의 관리' 기능이 대표적이다. 고객이 프라이버시 센터에 로그인을 하면 주요 서비스별로 어떤 개인정보 처리에 대해 동의했는지 조회하고 동의 여부를 손쉽게 변경할 수 있게 했다. 또 고객들은 개인정보 활용에 대한 각종 법적 고지 내역을 한눈에 조회할 수 있어 이메일 등으로 전달 받은 고지사항을 삭제하더라도 프라이버시 센터에서 직접 조회할 수 있다. 고객에게 도움이 되는 개인정보 관련 콘텐츠를 지속적으로 제공하는 것도 차이점이다. 현재 LG유플러스는 개인정보 보호와 관련된 다양한 내용들을 카드뉴스 형식의 '개인정보 콘텐츠'로 제작하고 있는데, 앞으로도 정보보호 관련 활동과 개인정보 관련 정보를 다루는 콘텐츠를 선보일 계획이다. 구자윤 기자
2025-01-13 18:50:43LG유플러스는 고객들의 개인정보를 보호하고 정보 주체로서의 알 권리를 보장하기 위해 '프라이버시 센터'를 운영한다고 13일 밝혔다. 프라이버시 센터는 간단한 웹페이지 접속만으로 고객들이 자신의 개인정보가 어떻게 관리되고 있는지 개인정보 처리방침 등을 통해 확인할 수 있는 곳이다. LG유플러스의 프라이버시 센터는 고객이 실질적으로 자신의 개인정보 사용처를 확인하고 관리할 수 있는 플랫폼을 지향한다. 올해 하반기 가동될 예정인 ‘개인정보 통합 동의 관리’ 기능이 대표적이다. 고객이 프라이버시 센터에 로그인을 하면 주요 서비스별로 어떤 개인정보 처리에 대해 동의했는지 조회하고 동의 여부를 손쉽게 변경할 수 있게 했다. 또 고객들은 개인정보 활용에 대한 각종 법적 고지 내역을 한눈에 조회할 수 있어 이메일 등으로 전달 받은 고지사항을 삭제하더라도 프라이버시 센터에서 직접 조회할 수 있다. 고객에게 도움이 되는 개인정보 관련 콘텐츠를 지속적으로 제공하는 것도 차이점이다. 현재 LG유플러스는 개인정보 보호와 관련된 다양한 내용들을 카드뉴스 형식의 ‘개인정보 콘텐츠’로 제작하고 있는데, 앞으로도 정보보호 관련 활동과 개인정보 관련 정보를 다루는 콘텐츠를 선보일 계획이다. 아울러 다음달에는 고객들이 개인정보와 관련된 주요 정보를 더 쉽게 이해할 수 있도록 '개인정보 처리방침 EASY버전'을 공개한다. EASY버전은 LG유플러스의 자사 캐릭터인 무너가 등장하는 동영상 숏폼 콘텐츠로 구성되며, 전문적인 용어가 포함된 개인정보 처리 과정, 정보 주체의 권리행사 방법 등을 어린이도 이해할 수 있도록 쉬운 표현으로 구성한 것이 특징이다. LG유플러스는 센터를 통해 개인정보를 한 곳에서 관리할 수 있고 고객이 자신의 정보가 어떻게 사용되고 있는지 명확하게 확인할 수 있게 된 만큼 개인정보 보호에 대한 고객들의 신뢰도 강화될 것으로 기대하고 있다. 홍관희 LG유플러스 정보보안센터장(CISO/CPO, 전무)은 “프라이버시 센터는 개인정보 관리에 있어 투명성과 편의성을 크게 향상시키는 역할을 할 것”이라며 “이를 통해 고객에게 보다 안전한 디지털 서비스를 제공하고 개인정보 보호에 대한 기업의 책임을 강화할 수 있을 것으로 기대한다”고 말했다. solidkjy@fnnews.com 구자윤 기자
2025-01-13 08:58:42[파이낸셜뉴스] 한국과학기술원(KAIST)과 미국 존스홉킨스대 공동연구진이 뇌의 각 부분이 정보를 처리하는 속도가 다르다는 사실을 알아냈다. 마치 컴퓨터의 여러 프로그램이 각자 다른 속도로 일하는 것처럼, 뇌의 각 부분도 정보를 처리하는 데 걸리는 시간이 다르다는 것. 이번 연구를 통해 우리 뇌가 어떻게 생각하고 기억하는지에 대해 더 잘 알게 됐다. 24일 KAIST에 따르면, 이번 연구는 KAIST 뇌인지과학과 백세범 교수와 생명과학과 정민환 교수, 미국 존스홉킨스대 이대열 교수가 참여해 인간과 원숭이 등 여러 포유류와 쥐 같은 설치류의 뇌에서 신경활동의 시간적인 스케일을 밝혀냈다. 인간 뇌의 가장 중요한 부분인 대뇌피질은 대뇌의 표면을 감싸고 있는 신경세포들의 집합으로 마치 여러 층으로 이루어진 건물과 같다. 여기에는 시각피질과 같이 감각 정보를 담당하는 영역부터 전전두엽 피질과 같이 고등 인지를 담당하는 영역까지 점차 고차원적인 처리 과정을 거치는 계단처럼 구성돼 있다. 연구진은 뇌 신경세포들의 정보 처리 시간이 위계가 낮은 영역에서부터 높은 영역에 이르기까지 점점 증가하는 것을 관측했다. 즉, 뇌의 상위 영역으로 갈수록 정보처리를 위해 상대적으로 긴 시간을 사용하는 신경 활동이 일어난다는 것이다. 인간과 원숭이, 쥐의 뇌를 살펴본 결과 뇌의 각 부분이 서로 연결돼 있고, 이러한 연결 방식 때문에 신경세포들이 다양한 속도로 활동하면서 우리가 생각하고 느끼고 기억하는 모든 일을 가능하게 한다는 것을 알아냈다. 다시말해 뇌는 마치 여러 개의 기어가 달린 시계와 같아서, 각 기어가 다른 속도로 돌아가면서 시계가 정확하게 작동하는 것이다. 그결과 뇌의 각 부분도 서로 다른 속도로 일하면서 우리의 생각과 행동을 조절한다. 백세범 교수는 "포유류의 뇌가 정보를 처리하는 원리를 이해하는데 중요한 단서인 신경 활동의 소요 시간이 해부학적 계층에 따라 변하는 보편적인 구조적 패턴을 밝힘으로써, 뇌의 다양한 기능을 구현하기 위해 필요한 신경망 구조에 대한 구체적인 설명이 가능해질 것"이라고 말했다. monarch@fnnews.com 김만기 기자
2024-12-24 14:04:16인피닉이 씨그래스와 개인정보 가명 처리 통합 솔루션을 위한 업무협약(MOU)을 체결했다고 20일 밝혔다. 이번 업무협약 체결을 통해 인피닉의 비정형 데이터 가명 처리 솔루션과 씨그래스의 정형 데이터 가명 처리 솔루션으로 다양한 형태의 데이터 개인정보보호를 위한 가명 처리 통합 솔루션을 구축한다는 계획이다. 또한 양사는 공공, 기업간거래(B2B) 등 국내 시장뿐만 아니라 해외 시장 진출까지 가명 처리 솔루션 사업 전반을 함께 할 예정이다. 인피닉의 개인정보 비식별 솔루션 하이디-에이아이 프라이빗(HEIDI-AI PRIVATE)은 이미지나 동영상 등 비정형 데이터의 개인정보를 인공지능 기반으로 비식별화할 수 있다. AI 연구를 위한 데이터 수집이나 CCTV 관제 시 이미지나 영상 내 얼굴, 차량번호판과 같은 다양한 개인정보를 자동으로 해당 영역만 블러 또는 합성 처리한다. 특히 유럽 GDPR과 AI Act, 미국 CCPA, CPRA, 일본 APPI 등 글로벌 개인정보보호 규정에 대응할 수 있도록 설계됐다. 씨그래스는 개인정보 가명 처리 솔루션 전문 기업으로 범주형과 수치형의 자료 형태로 구성된 정형 데이터의 개인 정보를 비식별 하는 솔루션 도토리가 있다. 이 솔루션은 개인정보보호법의 안정성 확보 조치 준수를 중심으로 사용자가 ‘가명 정보 처리 가이드라인’ 절차 형식이나 직무 담당자별 처리를 위한 적정성검토 체크리스트 형식 중 선택해 가명 처리할 수 있도록 지원한다. 또한 처리한 개인정보를 동일 기법으로 처리할 수 있는 속성 관리와 주기적·반복적 작업을 위한 템플릿으로 효율적인 가명 처리를 제공해 공공, 의료, 기업 및 연구기관 등에서 활용되고 있다. 양사 협력으로 동영상, 이미지, 텍스트 등 다양한 비정형 데이터와 정형데이터를 형태에 맞게 통합적이고 효과적인 가명 처리를 진행할 수 있을 것으로 기대된다. 박준형 인피닉 대표는 “현재는 개인 정보 보호 담당자가 가명 처리 솔루션을 데이터의 형태에 따라 별도로 운영, 관리해야 하는 불편함이 있었다”며 “인피닉과 씨그래스의 통합 솔루션으로 가명 처리된 데이터가 필요한 공공기관이나 기업의 불편을 해소하는데 이바지하겠다”고 말했다. solidkjy@fnnews.com 구자윤 기자
2024-08-20 09:47:43[파이낸셜뉴스] 개인정보보호위원회(개인정보위)가 최근 티몬·위메프 사태에 따른 개인정보 이슈 관련 우려에 대해 개인정보 처리실태를 모니터링 중이라고 밝혔다. 개인정보위는 티몬·위메프의 개인정보 관리를 위탁 받아 담당 중인 큐텐테크놀로지 유한회사의 개인정보보호책임자(CPO)와 소통하며, 개인정보 처리실태를 선제적으로 확인했다고 26일 밝혔다. 티몬·위메프는 '온라인쇼핑 분야 민관협력 자율규약' 참여사 중 하나다. 온라인쇼핑 분야 민관협력 자율규약은 온라인쇼핑 분야에서 보호법이 정한 수준 이상의 개인정보보호(안전장치)를 제공하기 위해 정부와 기업이 함께 만든 체계로, 지난 2022년 7월부터 이어져 오고 있다. 참여사로는 티몬, 위메프는 물론 11번가, 네이버(스마트스토어), 롯데쇼핑(롯데온), 버킷플레이스(오늘의집), 인터파크, 지마켓, 카카오(카카오쇼핑), 쿠팡 등이 있다. 개인정보위는 "티몬·위메프는 정산·환불 이슈 발생 시부터 현재까지 개인정보 처리 관련 문제점은 확인된 바 없다"고 했다. 이어 "관계사들의 개인정보 처리실태를 적극적으로 지도·감독하고 지속적으로 모니터링해 국민들이 불안해하지 않도록 최선을 다할 예정"이라고 덧붙였다. soup@fnnews.com 임수빈 기자
2024-07-26 15:00:34생성형 인공지능(AI) 모델 개발 시 활용되는 '인터넷상 공개 데이터'를 안전하게 처리할 수 있는 정부 차원의 기준이 나왔다. 개인정보보호위원회는 AI 개발에 필수적인 공개 데이터를 적법하고 안전하게 처리하는 기준이 될 '인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서'를 마련해 17일 공개했다. 생성형AI가 폭발적으로 성장하면서 광범위한 데이터 학습이 필수가 됐다. 공개 데이터는 사진, 게시물, 영상 등 인터넷 상 누구나 합법적으로 접근할 수 있는 데이터로 생성형AI 개발을 위한 학습의 핵심 요소다. AI 기업들은 커먼크롤, 위키백과, 블로그, 웹사이트 등에 있는 공개 데이터를 웹 스크래핑 등의 방식으로 수집해 AI 학습데이터로 활용하고 있다. 조윤주 기자
2024-07-17 18:25:05회사에 제공한 내 개인정보, 잘 처리되고 있을까 궁금하다면 회사에 제공한 내 개인정보가 어떻게 처리되고 있는지 알고 싶다면 어떠한 방법을 취해야 할까? 동의서를 작성했을 때 읽었던 내용을 다시 떠올려보거나 회원가입 절차를 한 번 더 진행해 보는 것도 방법이긴 하나 이는 너무나도 불편한 방법이다. 개인정보보호법에서 보장하고 있는 열람청구권을 이용하는 것도 하나의 방법이다. 법에 따르면 정보주체는 개인정보의 항목 및 내용, 개인정보의 수집·이용의 목적, 개인정보 이용 기간 등에 대한 열람을 청구할 수 있으며 청구를 받은 회사는 그 내용을 10일 이내에 알려주어야 한다. 그러나 이 방법도 청구권을 행사하고 회사의 응답을 기다리는 절차가 필요하므로 효율적이지 못하다. 복잡한 절차를 거치지 않고 내 개인정보가 어떻게 처리되고 있는지 쉽게 알 수 있는 방법이 있는데, '개인정보 처리방침'이라는 문서를 확인하는 것이다. 통상 개인정보 처리방침은 앱이나 웹 첫 페이지 하단에 링크 형식으로 연결되어 있으므로 해당 링크를 클릭하면 쉽게 확인할 수 있다. 개인정보 처리방침은 회사가 보유하고 있는 개인정보를 어떻게 처리하고 있는지 공개하는 일종의 자율규제 장치이다. 개인정보보호법에서는 개인정보 처리방침을 수립할 의무와 인터넷 홈페이지에 지속적으로 게재할 의무를 부여하고 있으므로 회사는 반드시 이를 공개하여야 한다. 개인정보 처리방침에 포함되어야 할 사항도 법에서 정하고 있는데, 처리하는 개인정보의 항목, 처리 목적, 보유 기간, 제3자 제공에 관한 사항, 가명정보 처리에 관한 사항, 국외이전에 관한 사항, 정보주체의 권리 행사방법 등 비교적 상세한 내용을 공개하도록 하고 있다. 따라서 정보주체는 개인정보 처리방침을 보고 회사가 자신의 개인정보를 어떻게 처리하고 있는지 확인할 수 있다. 개인정보 처리방침, 주의해야 할 점은 그러면 개인정보 처리방침과 관련하여 개인과 회사는 어떠한 점에 주의하여야 할까? 우선, 개인의 경우에는 개인정보 처리방침에 기재되어 있는 내용대로 내 정보가 처리되는 것이 괜찮을지 판단하여야 한다. 만약 내 생각과 다르게 개인정보가 처리되고 있다면 회사에 처리정지요구권이나 동의철회권을 행사할 수 있다. 권리를 행사하는 방법이나 개인정보 보호업무와 관련한 고충사항을 처리하는 부서 및 전화번호까지도 개인정보 처리방침에 공개되어 있으므로 그 내용을 참고하여 권리를 행사할 수 있다. 회사의 경우에는 회사의 개인정보 처리방침이 법에서 정하고 있는 사항을 모두 포함하고 있는지 확인하여야 한다. 특히 최근 개정된 개인정보보호법에서 개인정보 처리방침 평가제가 도입되어 개인정보 보호위원회가 회사의 개인정보 처리방침을 평가하여 개선을 권고하고 권고 사실을 공표할 수 있게 되었다. 따라서, 앞으로는 회사의 개인정보 처리방침이 규제기관의 평가대상이 될 수 있으므로 더욱더 꼼꼼하게 작성할 필요가 있다. [필자 소개] 정세진 율촌 변호사(43·변호사시험 3회)는 핀테크·데이터 전문 변호사다. 카드 3사 유출사건 등 주요 개인정보 유출 관련 사건을 수행했으며, 빅데이터, 마이데이터, 클라우드, 혁신금융서비스, AI, 가상자산, 토큰증권 등 핀테크 산업과 관련된 다양한 법률 자문을 제공하고 있다. 전문분야인 디지털 금융의 기본법률을 다룬 책 '디지털금융 기초 법률상식' 개정판을 올해 2월 출간했다. '디지털금융 기초 법률상식'은 2022년 초판이 나온 이래 주요 금융회사와 금융연수원, 대학교 등지에서 디지털금융 강의 교재로 쓰이는 등 법조인과 금융종사자 사이에서 실무서로 통하고 있다. 성균관대 법학전문대학원과 한국금융연수원에서 겸임교수로도 활동 중인 정 변호사는 다양한 디지털 금융 관련 강의도 진행하고 있다.
2024-07-05 16:32:18개인정보보호위원회가 구글, 메타, 네이버, 카카오, 알리와 테무, 쿠팡, 배민 등 일상생활과 밀접한 기업·기관 49곳을 올해 개인정보 처리방침 평가 대상으로 확정했다. 개인정보위는 이같은 내용의 2024년도 개인정보 처리방침 평가계획을 심의·의결했다고 13일 밝혔다. 개인정보 처리방침이란 개인정보 수집·이용, 제공, 위탁 등 개인정보 처리와 관련된 기준과 안전조치에 관한 사항에 대해 개인정보처리자가 스스로 정한 문서다. 개인정보처리자가 어떤 개인정보를 어떠한 목적으로 얼마만큼 수집해, 어떻게 처리하는지 확인할 수 있는 정보가 담겼다. 개인정보보호법은 개인정보 처리자에게 처리방침을 수립·공개할 의무를 부과하고 있지만, 내용이 이해하기 어렵고 단순히 텍스트 나열에 그치는 방식은 정보 주체의 실질적 권리보장에 한계가 있다는 지적이 있었다. 이에 따라 개인정보위는 개인정보 처리방침 평가제도를 도입해 올해 첫 평가를 실시한다. 올해 평가 분야는 국민 생활과 밀접한 △빅테크 △온라인 쇼핑 △온라인 플랫폼(주문·배달, 숙박·여행) △병·의료원 △온라인 동영상 서비스(OTT) △엔터테인먼트(게임, 웹툰) △AI 채용 등 7개 분야다. 빅테크 분야에서는 구글과 메타, 네이버, 카카오가 온라인 쇼핑은 롯데쇼핑, 11번가, G마켓, 컬리, 쿠팡, 알리익스프레스, 테무, SSG닷컴 등 15개사, 온라인 플랫폼에는 배민, 요기요, 쿠팡이츠, 야놀자, 여기어때 등 12개사가 이름을 올렸다. yjjoe@fnnews.com 조윤주 기자
2024-06-13 18:37:42