개인정보(결제) 유출 관련

2023년 3월 20일 17시부터 3월 21일 2시 사이(미국 현지 시각 3월 20일 1시부터 10시 사이) 챗GPT 플러스에 접속한 전 세계 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에게 노출된 사건이 발생했다.

올해 4월 기준 챗GPT의 한국 이용자는 220만 명 정도다. 이 중에서 유료 서비스인 챗GPT 플러스 이용자는 8만 명 정도로 집계됐는데, 개인정보 유출 사건 당시 한국 이용자 687명(한국 IP 기준)도 포함된 것으로 확인됐다.

챗GPT의 개인정보 유출은 서비스 속도 증가를 위해 오픈소스 기반 캐시(임시저장소) 솔루션에서 알려지지 않은 오류(버그)가 발생한 것이 원인이었다. 개인정보위는 기술 전문가 검토 회의 등을 통해 정밀 분석한 결과 오픈AI가 일반적으로 기대 가능한 보호 조치를 소홀히 했다고는 보기 어렵다고 판단했다.

이에 안전 조치 의무 위반으로는 처분하지 않되, 유출 인지 후 24시간 내 신고하지 않은 신고 의무 위반에 대해 과태료를 부과하고, 개인정보처리시스템을 자체적으로 점검 후 재발 방지 대책을 수립할 것을 개선 권고하기로 결정했다.

국내 보호법 준수 관련

개인정보위가 챗GPT의 개인정보 처리 방침과 실제 가입 절차 등을 검토한 결과 처리 방침을 영문으로만 제공하고 있고 별도 동의 절차가 없었다(가입으로 대체 추정). 내용상 위수탁 관계, 구체적 파기 절차 및 방법, 국내 대리인이 명확하지 않은 등 보호법상 의무 미흡 사항 등도 발견됐다.

이외에도 챗GPT가 13세 미만에 대해 가입을 제한하고 있어 국내 보호법상 법정 대리인 동의 적용 연령 기준인 14세 미만과 다소 불일치하는 문제도 있었다.

다만, 조사 과정에서 오픈AI가 최근에 전 세계 서비스를 시작한 신규 사업자임을 설명하며 개인정보위와 협력해 개정 보호법 시행(9.15.) 등에 맞춰 국내 보호법 준수 의견을 공식적으로 제출해옴에 따라 현시점에서는 개선을 권고하고 이행 여부를 지속적으로 점검 및 확인하기로 결정했다.

개인정보 침해 위험 최소화 관련

개인정보위는 챗GPT의 프라이버시 침해 요인을 점검하기 위해, 데이터 수집 및 활용(개인정보 포함), 한국어 학습 데이터의 출처, 윤리 문제 예방 노력, 수집 거부 방법 등에 대해서도 자료를 요구하였으나 오픈AI 측의 설명은 일반적·포괄적 수준에 그쳐 명확한 분석이 곤란했다고 설명했다.

다만, 새롭게 등장한 서비스(초거대 생성형 AI)로 적용 법 규정 등이 아직 불명확한 상황에서 실태 점검 및 협의 개선을 통해 개인정보 보호의 조기 강화가 바람직하다고 판단해, 챗GPT를 포함해 국내외 주요 AI 서비스를 대상으로 사전 실태 점검을 실시하여 개인정보 침해 요인의 최소화를 추진하겠다고 밝혔다. 오픈AI에 대해서도 적극적 협력을 개선 권고할 방침이다.

개인정보위는 하반기 국내외 주요 AI 서비스 사전 실태 점검을 서비스 단계별로 요구되는 원칙에 따라 개인정보 침해 최소화를 위한 사전적 조치와 정보 주체의 개인정보 자기결정권 보장 강화에 중점을 두고 진행할 예정이다.

또한 개정 보호법(§63의2)은 개인정보 보호 취약점을 사전에 점검할 필요성이 인정되는 경우 실태 점검 후 처리자에게 시정을 권고하도록 되어 있음에 따라 처리자가 권고를 수락하고 이행 시 추가적 처분은 부과하지 않는다.