생성형 AI, 개인정보 처리 허점…투명성 요구가 커진다

생성형 인공지능(AI) 서비스들이 최근 비약적으로 발전하고 있지만, 개인정보 보호 측면에서는 여전히 중요한 허점이 드러나고 있다. 최근 우리나라 개인정보보호위원회(이하 개인정보위)가 공개적으로 생성형 AI 서비스들의 개인정보 처리방침이 미흡함을 지적하면서, 산업계와 정책당국 모두에게 투명성 제고와 신뢰 회복에 대한 압박이 커지고 있다.

생성형 AI의 핵심은 인터넷상의 대규모 텍스트·이미지·음성·기타 데이터를 수집, 가공하고, 이 데이터를 이용해 새로운 결과물을 생성하는 데 있다. 이러한 과정에서 대량의 개인정보가 AI 학습 데이터에 포함되거나, AI가 생성하는 답변 혹은 콘텐츠에 개인 관련 정보가 무의식적으로 노출될 가능성이 높다. 특히 텍스트 기반의 챗봇, 이미지 생성, 코드 생성 등 여러 서비스에서 입력값·수집정보가 실제로 어떻게 저장되고 사용되는지에 대한 투명성은 AI 신뢰성의 근간과 직결된다.

개인정보위의 이번 발표는 몇 가지 지점을 중점적으로 다룬다. 첫째, 다수의 생성형 AI 서비스가 개인정보 수집·이용 목적, 보관 기한, 제3자 제공 등에서 규정의 명확성은 물론 실제 안내 자체가 부족했다는 점이다. 예를 들어, AI 학습 과정에 활용된 데이터가 실제로 누구의, 어떤 형태로 들어갔는지 알기 어렵고, AI 모델 개선을 위해 유저 입력값이 활용되지만 이에 대한 충분한 고지도 이뤄지지 않고 있다. 둘째, AI가 생성하는 콘텐츠가 예상치 못한 방식으로 개인을 식별할 수 있는 정보, 또는 민감정보(예: 의료·금융 정보)까지 노출할 가능성이 있음에도 예방 매커니즘 및 책임소재 규명이 불명확하다는 것 역시 문제로 꼽았다.

국제적으로도 상황은 크게 다르지 않다. 유럽연합(EU)에서는 AI Act 본격 도입 외에도 GDPR(일반개인정보보호규정) 위반 여부를 집중 감시하며, 미국·일본 등 주요국 역시 사례별 규제·가이드라인 마련에 고심하고 있다. 이미 2025년 구글, 오픈AI 등 글로벌 IT 기업들은 자사 서비스에 ‘투명성 제고’ 선언과 함께 서비스별 개인정보 처리 과정, 데이터 저장 주기, 삭제 및 익명화 절차 등을 더욱 상세히 공개하기 시작했다. 그러나 이들마저도 AI 학습 전체 경로, 입력-출력 시 개인정보 교차노출 문제에 대해선 완전한 해법을 내놓지 못하고 있다. 국내에서는 네이버, 카카오 등 빅테크뿐 아니라 다양한 AI 스타트업이 관련 서비스를 쏟아내고 있으나, 개인정보 처리방침 공지 및 업데이트 주기, 정보주체 권리 보호 프로세스 마련 등 미비점이 반복적으로 지적되고 있다.

기술 원리 측면에서 보면, 대규모 언어모델(LLM)·생성형 AI는 웹 크롤링 및 인앱 데이터(유저 피드백, 대화 기록 등)를 학습자료로 삼는 과정에서 의도치 않게 개인정보가 포함될 수밖에 없다. 일부 메이저 AI 기업은 사전 데이터 정화(Preprocessing)와 출력 필터링(Post-processing), 입력값 마스킹 등 다양한 기술적 조치를 도입하고 있지만, 데이터가 실시간으로 생성·축적되는 서비스 특성상 완벽방어가 쉽지 않다. 또한, AI가 ‘기억’하지 않는다고는 하나, 파운데이션 모델의 거대한 파라미터 안에 이미 일부분 개인정보가 잠재되어 있을 수 있다. 최근 기술연구에서는 정보유출 탐지, 삭제요청 기반 재학습 등 방안이 제안됐지만, 상용서비스에 도입해서 검증된 사례는 아직 드물다.

실제 사례를 살펴보면, 지난 2025년 세계적으로 이슈가 된 한 이미지 생성형 AI의 ‘유명인사 얼굴 및 신상정보 무단 노출’ 사건, 그리고 국내 대형 챗봇의 ‘이용자 대화 일부가 다른 이용자에 노출’된 버그 등이 반복적으로 논란이 됐다. 사용자들의 신뢰 하락과 더불어, 기업은 거액의 과징금 또는 서비스 일시 중단 등 치명적 타격을 피할 수 없었다. 이에 글로벌 AI 거버넌스 논의는 ‘개인정보 비식별화’ 자동화, AI 서비스가 개인정보에 접근하거나 이에 기반해 생성출력을 하는 경우 실시간 안내 의무 강화 등의 조치로 이어지고 있다.

전망을 보면, AI 산업은 개인정보 이슈를 해소하지 못한다면 장기적으로 성장동력이 약화될 수밖에 없다. AI 기업들이 사용하는 데이터의 투명성 수준이 곧 시장 신뢰 지표로 작용하며, 규제기관 역시 업계와 협의해 ‘사전 투명고지→실시간 정보주체 통제→사후 이력 공개’로 이어지는 다층적 투명성 메커니즘 도입을 요구하는 중이다. 한국 내 AI 산업의 빠른 도약을 위해선, 기술적 방어장치 도입과 투명성 강화가 병행되어야 한다. 특히 스타트업, 중소기업 역시 ‘처리방침 고도화’, ‘신고 및 삭제창구 신속가동’ 등 규모·역량에 걸맞는 체계적 대응이 필요해지고 있다.

종합하면 생성형 AI 산업이 단기 혁신에 집중해온 나머지, 개인정보 투명성 이슈가 그림자처럼 누적되고 있다. 기업과 이용자, 그리고 감독당국이 함께 기술의 발전과 신뢰의 토대를 동시에 구축해야 할 시점이다. 기술 낙관주의를 견지하더라도 사회적 신뢰축적 없이는 AI 생태계가 제대로 성장하기 어렵다. 미래의 AI는 데이터 투명성과 사회적 합의를 기반으로 진정한 혁신을 이룰 수밖에 없다.

— 이도현 ([email protected])