오픈AI, 국내 첫 개인정보 보호 위반 제재

신고 의무 위반으로 과태료 360만 원 부과 의결

컴퓨팅입력 :2023/07/27 11:25

챗GPT를 서비스 중인 오픈AI가 우리나라 정부부처로부터 첫 제재를 받았다.

챗GPT 운영 과정에서 한국 이용자 600여명을 포함된 개인정보 유출 사고가 발생했음에도 우리나라 정부에 알리지 않았기 때문이다.

개인정보보호위원회(이하 ‘개인정보위’)는 26일 전체회의를 열고 오픈AI에 대해 신고 의무 위반으로 과태료 360만 원을 부과하기로 의결했다. 더불어 재발 방지대책 수립 및 국내 보호법 준수, 개인정보위의 사전 실태점검에 협력해줄 것을 권고했다.

제13회 개인정보보호위원회 전체회의(이미지=개인정보보호위원회)

개인정보위는 지난 3월 오픈AI의 챗GPT 서비스에서 개인정보 유출이 있었다는 자체 공지 및 국내외 언론보도 등에 따라 직권 조사에 착수했다.

이 과정에서 국내 보호법상 의무 준수 전반과 전체 서비스 이용상에서 개인정보 침해요인에 대한 확인 작업을 함께 진행했다. 

조사 결과 지난 3월 20일 오후 5시부터 21일 오전 2시 사이 챗GPT 플러스에 접속한 글로벌 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 노출된 것으로 확인됐다. 이중 IP 기준 한국 이용자 수는 687명으로 집계됐다.

유출 원인은 서비스 속도 증가를 위한 오픈소스 기반 임시저장소(캐시) 솔루션에서 알려지지 않은 오류(버그)로 인한 것으로 파악됐다.

기술전문가 검토회의 등을 통해 정밀 분석한 결과 오픈AI가 일반적으로 기대 가능한 보호조치를 소홀히 했다고는 보기 어려워 안전조치의무 위반으로는 처분하지 않았다. 

대신 유출 인지 후 24시간 내 신고하지 않은 신고 의무 위반한 내역에 대해 과태료를 부과하고, 개인정보처리시스템을 자체적으로 점검 후 재발 방지대책을 수립할 것을 개선권고 하기로 했다.

이와 함께 개인정보 처리방침과 실제 가입 절차 등을 검토한 결과 보호법상 의무 사항이 미흡한 것으로 발견됐다. 처리방침은 영문으로만 제공되고, 별도 동의 절차가 없으며, 내용상 위·수탁 관계, 구체적 파기 절차 및 방법, 국내대리인이 명확하지 않은 것으로 나타났다.

또한, 13세 미만에 대해 가입을 제한하고 있어 국내 보호법상 법정대리인 동의 적용 연령 기준인 14세 미만과 다소 불일치하는 문제도 있었다.

다만 오픈AI가 최근에 서비스를 시작한 신규 사업자이며, 개인정보위와 협력해 국내 보호법 준수 의견을 공식적으로 제출한 것을 고려해 현 시점에서는 개선을 권고하고 이행 여부를 점검 및 확인하기로 했다.

다만, 개인정보위는 초거대 언어 모델(LLM), 생성 AI 등 새롭게 등장한 서비스의 법 규정이 아직 불명확한 만큼 사전 개인정보 보호를 강화할 예정이다. 이를 위해 국내외 주요 AI서비스를 대상으로 사전 실태점검을 실시해 개인정보 침해요인의 최소화를 추진키로 하고, 오픈AI에 대해서도 적극적 협력을 개선권고 하기로 했다.

관련기사

개인정보위 측은 이번 조치에 대해 “글로벌 신규 서비스에 대해서도 한국 이용자 존재 시 국내 보호법이 적용됨을 명확히 한 것”이라며 “앞으로도 개인정보위는 해외사업자 대상 안내서 발간, 국내 대리인 제도의 실질적 개선 등을 통해 주요 글로벌 개인정보처리자들의 국내 법규에 대한 인지도를 제고하고 집행력을 확보함으로써 우리 정보주체 등의 개인정보보호를 강화해 나갈 방침”이라고 밝혔다.

이어서 “특히 AI 같은 최신 기술 및 서비스에 대해서는 사전 실태점검 등을 통해 안전한 서비스 이용을 지원할 방침이며 추후 지속적으로 구체화해 나갈 계획”이라고 강조했다.