[단독] 정부가 ‘연구용’ 줬더니, 얼굴 영상 10만건 빼돌렸다

과기부 산하 진흥원 선정 민간업체
대구 수성구로부터 영상 제공받아
연말까지 AI 식별·추적시스템 구축

업체, 8·9월 통제구역 밖 무단 유출
확장자 변경…보안점검 교묘히 피해
정부는 두달 넘도록 파악조차 못해
개인정보 관리부실 AI사업 우려 커져

지방자치단체의 CCTV 관제센터. 사진은 기사 내용과 무관. <한겨레> 자료사진.

과학기술정보통신부(과기부) 산하 공공기관이 선정한 민간 개발업체가 인공지능 학습용으로 제공받은 시민들의 ‘얼굴 영상’ 10만여건을 통제구역(실증랩) 밖으로 무단 반출했다가 적발됐다. 과기부는 당사자 동의 없이 출입국자 사진을 활용한 ‘인공지능 식별·추적시스템’ 구축 사업으로 최근 논란이 일자, ‘보안조처를 갖춘 실증랩에서만 데이터를 쓰니 문제 없다’고 해명한 바 있다. 실증랩 관리 부실이 확인되면서 생체정보를 활용한 인공지능 사업에 대한 우려도 커질 것으로 보인다.

■민간업체가 CCTV 영상 무단반출

16일 <한겨레> 취재 내용을 종합하면, 대구 수성구는 ‘인공지능(AI) 융합 국민안전 확보 및 신속대응 지원 사업’에 참여하는 민간업체인 ‘씨이랩’이 시민들의 얼굴이 담긴 폐회로티브이(CCTV) 영상 10만여건을 허가 없이 회사 사무실로 빼돌려온 사실을 지난달 적발했다. 지난해 7월 과기부 공모로 시작된 이 사업은 미아·실종자 등을 시내 CCTV 영상으로 자동 식별하는 것을 목표로 올 연말까지 추진된다. 과기부 산하기관인 정보통신산업진흥원(진흥원)이 선정한 5개 민간 업체가 수성구로부터 CCTV 영상들을 제공받아 인공지능 알고리즘을 학습하는 방식이다.

수성구 쪽 설명을 들어보면, 씨이랩은 지난 8월25일과 9월13일 두 차례에 걸쳐 영상 정보를 실증랩 밖으로 빼냈다. 씨이랩이 실증랩 서버로부터 이동식저장장치(USB)에 영상을 옮긴 기록이 수성구 보안점검에서 확인되면서 덜미가 잡혔다. 구청은 씨이랩 사무실에서 이들 영상을 삭제하고 USB를 회수한 뒤 한국인터넷진흥원(KISA)에 개인정보 유출 피해를 신고했다. 류명환 수성구 스마트관제팀장은 <한겨레>와 한 통화에서 “평소에도 업체 직원들이 드나들 때마다 반출 파일을 일일이 확인하고 있으나 이미지·영상파일 확장자는 발견되지 않았었다. 해당 업체가 파일을 압축해 확장자를 바꾸는 등의 방식으로 보안 점검을 피한 것으로 추정하고 있다”고 말했다.

2010년 설립된 씨이랩은 대용량 영상데이터에 인공지능 기술을 결합한 솔루션을 개발해온 업체로 임직원 60여명의 중소기업이다. 2014년부터 국방부와 중소벤처기업부, 과기부 등 정부 부처나 공공기관의 기술 용역 과제 13건(정부 출연금 약 70억원)을 수주하는 등 정부와의 협업 경험이 많다는 특징도 있다. 올해 초 코스닥 시장에 상장했다.

■“실증랩에서 학습하면 안전” 정부 주장 무색

정부가 ‘통제된 환경’이라고 주장해왔던 실증랩에서 무단 반출 사고가 나면서 인공지능 학습 과정에서의 개인정보 유출에 대한 우려가 커지고 있다. 앞서 과기부·법무부는 지난달 낸 설명자료에서 “(인공지능 식별추적 시스템 사업에 참여한) 민간 기업은 데이터의 외부 반출이 금지된, 기술적 보안조처를 갖춘 실증랩 내에서만 해당 데이터를 안전하게 접근·학습한다”고 밝힌 바 있다. 민간업체에 개인정보가 포함된 데이터세트를 이전하더라도, 공공기관 감독이 이뤄지는 실증랩에서만 접속할 수 있으니 개인정보의 유출·유용은 아니라는 논리였다.

과기부 쪽은 씨이랩이 영상을 가져간지 2개월여가 되도록 사실 파악조차 못했던 것으로 확인됐다. 과기부 산하 기관인 진흥원 관계자는 <한겨레>에 “(지난달) 법무부 인공지능 식별추적 시스템 사업 등에 대한 (<한겨레>) 기사를 보고 수성구청에 보안실태 조사를 요청했다”고만 말했다. 씨이랩이 이들 영상을 어떤 목적으로 활용했고, 재차 외부에 넘겼는지 여부 등도 확인되지 않고 있다. 수성구는 업체 대표 등으로부터 “실증랩 바깥에서도 알고리즘 개발작업을 하기 위해 자료를 가져왔다”라는 취지의 진술만 확보한 상태다. <한겨레>는 씨이랩 쪽에 데이터 무단 반출 이유 등을 묻기 위해 여러 차례 연락을 남겼지만 답변을 받지 못했다.

권헌영 고려대 정보보호대학원 교수는 “업체 직원이 USB로 영상을 꺼내간 것은 실증랩 보안에 기술적으로 중요한 결함이 있다는 방증”이라며 "대다수 인공지능 개발사업과 관련된 정부 부처들이 심각하게 인식하고 실태조사에 나서야 한다”고 말했다.

■전담 공공기관은 ‘책임 돌리기’

데이터 무단 반출 사건을 둘러싼 책임 소재를 놓고도 공방이 일고 있다. 일단 진흥원 쪽은 씨이랩 등 5개 참여 업체를 선정한 것은 맞지만, 업체들과의 계약 당사자인 수성구의 관리 책임이 더 크다는 입장이다. 신명숙 정보통신산업진흥원 에이아이산업2팀장은 “(진흥원이) 데이터를 직접 볼 수는 없어서 수성구청이 (유출된) 데이터에 대해 직접 조사하고 있다. 데이터 처리자가 수성구청이어서 조사와 법률자문은 구청이 주도하고 있다”고 밝혔다.

수성구는 “과기부와 진흥원이 발을 빼려 한다”며 답답함을 토로한다. 사업 ‘전담기관’이 진흥원이고 ‘주무부처’가 과기부인 만큼, 이들 기관도 개인정보 유출 경위 등을 함께 조사해야 한다는 입장이다. 실제로 올 2월 과기부·진흥원이 낸 사업 공모안내서 등은 진흥원의 역할을 “사업관리, 예산집행 및 정산, 세부계획 수립 및 추진” 등으로 정하고 있다.

이름을 밝히길 꺼린 수성구의 간부는 “유출 사실이 확인된 후 진흥원 직원도 현장에 나와 유출 파일 목록 등을 직접 확인했다. 데이터를 볼 권한이 없다는 것은 사실이 아니다”라고 반박했다. 이어 “참여 업체들은 진흥원이 공모로 선정했기 때문에, 만약 영상 유출 업체와 계약을 해지하려고 해도 진흥원에 해지를 요청해야 할 상황”이라고 그는 덧붙였다.

천호성 기자 rieux@hani.co.kr