개인정보보호위원회가 27일 한국인을 포함한 챗지피티(ChatGPT) 이용자들의 개인정보를 유출하고도 국내에는 신고를 하지 않은 오픈에이아이(OpenAI)에 대해 과태료 360만원을 부과하기로 했다고 발표하고 있다. 개인정보보호위원회 제공
개인정보보호위원회가 한국인 687명을 포함한 챗지피티(ChatGPT) 이용자들의 개인정보를 유출하고도 국내에 신고하지 않은 오픈에이아이(OpenAI)에 대해 신고 의무 위반으로 과태료 360만원을 부과하기로 했다고 27일 발표했다. 오픈에이아이에 국내 법을 적용해 과징금이나 과태료를 부과한 것은 우리나라가 처음이다.
개인정보위는 오픈에이아이에 재발 방지대책을 수립하고, 국내 개인정보보호법을 준수할 것 등도 권고했다.
개인정보위는 지난 3월 생성형 인공지능(AI) 서비스 챗지피티에서 개인정보 유출이 있었다는 오픈에이아이 공지와 언론 보도에 따라 직권조사에 착수해, 한국시간 기준으로 3월20일 오후 5시부터 다음날 새벽 2시 사이 챗지피티 유료 버전에 접속한 이용자들의 정보가 뒤바껴 노출된 사실을 확인했다. 조사 초기 오픈에이아이는 명확한 피해자 숫자는 공개하지 않고, 해당 시간대에 접속한 이용자의 1.2%가 영향을 받았다고만 밝혔다.
개인정보위는 이후 조사 과정에서 오픈에이아이에 서면 질문을 보내 총 4차례의 답변을 받았다. 이를 통해 한국 아이피(IP)를 기준으로 한국인 이용자 687명의 이름, 이메일 주소, 결제장소, 신용카드 번호 4자리, 만료일 등이 다른 이용자에게 노출됐다는 구체적인 피해 사실을 밝혀냈다. 지난 4월 기준으로 챗지피티 한국 이용자는 220만명 수준이며, 이 가운데 유료 서비스인 챗지피티 플러스 이용자는 8만명 수준인 것도 확인됐다.
오픈에이아이(OpenAI)는 지난 3월24일 누리집 공지를 통해, 유료 이용자 개인정보 유출 사실을 알렸다. 오픈에이아이 누리집 갈무리
개인정보위는 “오픈에이아이가 아직까지도 이용자 개인정보 유출 사고를 국내에는 신고하지 않고 있다”며 “이는 개인정보 유출 인지 후 24시간 내 신고하도록 한 국내 개인정보보호법을 위반한 것”이라고 설명했다.
다만, 개인정보위는 챗지피티 이용자 개인정보 유출 사고가 서비스 속도 증가를 위해 오픈소스 기반 캐시(임시저장소) 솔루션을 손보는 과정에서 오류가 발생한 탓으로, 오픈에이아이 쪽이 보호 조치를 소홀히 했다고 보기는 어려워 안전조치 의무 위반으로 보지는 않았다. 개인정보위는 “오픈에이아이가 최근 글로벌 서비스를 시작한 신규 사업자인 점 등을 감안해 과태료를 산정했다”고 밝혔다.
국내 법에 맞지 않는 개인정보 처리 방식도 개선하도록 했다. 개인정보위는 오픈에이아이가 개인정보 처리방침을 영문으로만 제공하고 있고, 별도 동의 절차가 마련돼 있지 않으며, 정보 위·수탁 관계나 구체적 파기 절차 등을 명확히 밝히지 않는 등 국내 법에 규정된 의무를 이행하지 않고 있다며 개선을 권고했다. 또 챗지피티가 13살 미만에 대해 가입을 제한하고 있는데, 이는 국내 법정대리인 동의 적용 연령 기준 14살 미만과 일치하지 않는다고 지적했다.
개인정보위는 이번 오픈에이아이 조사를 계기로 삼아, 하반기에 챗지피티를 포함해 국내외 대표 초거대·생성형 인공지능 서비스 전반에 대한 실태점검에 나서기로 했다. “오픈에이아이에 데이터 수집 및 활용, 한국어 학습 데이터의 출처, 윤리 문제 예방 노력, 수집 거부 방법 등에 대한 자료를 요구했으나 일반적 답변만을 들었다”고 배경을 설명했다.
개인정보위는 “향후 조사 대상을 확정하고 보다 구체적인 실태 파악에 나서 개인정보 침해요인을 사전에 최소화할 방침”이라고 밝혔다.
임지선 기자
sun21@hani.co.kr