인공지능(AI) 개발 시 발생할 수 있는 리스크 유형부터 최고개인정보보호책임자(CPO) 중심 내부 거버넌스 구축까지 AI 프라이버시 리스크를 체계적으로 관리하는 정부 차원의 모델이 나왔다.
개인정보보호위원회는 19일 서울시 서초구 엘타워에서 'AI 시대 개인정보 정책 종합 설명회'를 열고 '안전한 AI·데이터 활용을 위한 AI 프라이버시 리스크 관리 모델'을 공개했다. 리스크 관리 모델은 AI 기업이 자율적으로 프라이버시 리스크를 관리할 수 있도록 돕는 일종의 안내서로, 모든 개별 조치의 이행이 반드시 요구되는 것은 아니다.
우선 AI 프라이버시 리스크를 네 단계에 걸쳐 관리하는 절차를 제시했다. AI는 매우 다양한 맥락·목적으로 활용되고 있어 데이터 요구사항과 처리방식이 다르기에, 가장 먼저 AI의 구체적 유형·용례 파악이 필요하다. 이를 토대로 AI 유형·용례별로 구체적 리스크를 식별하고, 리스크 발생확률, 중대성, 우선순위, 수용가능성 등 정성적·정량적 리스크 측정을 수행할 수 있다. 이후, 리스크에 비례하는 안전조치를 마련해, 리스크를 체계적으로 관리할 수 있다.
프라이버시 맥락에서 AI 리스크 유형도 내놨다. AI 생애주기에 따라 AI 모델·시스템의 기획·개발 단계와 서비스 제공 단계로 나눠 리스크를 구분했다. 기획·개발 단계에선 권리침해 우려가 있는데, 적법하지 않은 학습데이터를 수집·이용하거나 AI 학습데이터의 부적절한 보관·관리 등이 리스크로 꼽힌다.
서비스 제공 단계는 생성 AI와 판별 AI로 구분했다. 생성 AI의 경우 딥페이크 성범죄 등 악의적 AI 합성콘텐츠로 인한 정보 주체 권리 침해가, 판별 AI는 자동화된 결정으로 인한 정보주체 권리 약화 등이 리스크로 열거했다.
리스크를 경감하기 위한 관리적·기술적 안전조치도 안내했다. 다만 모든 경감조치를 필수적으로 취해야 하는 것은 아니며, 개별 맥락에 따라 최적의 안전조치 조합을 마련하면 된다는 게 개인정보위 측의 설명이다.
관리적 안전 조치엔 △학습데이터 출처·이력 관리 △허용되는 이용방침 마련 △AI 프라이버시 레드팀을 통한 개인정보 침해유형 테스트 및 조치 △AI 가치망 참여자 간 역할 명확화 △부적절한 답변 등에 대한 정보주체 신고방안 마련 등이 포함된다. 또 학습데이터에 민감한 정보가 포함될 개연성이 높거나 대규모 개인정보가 포함되는 경우 △개인정보 영향평가 수행도 권장된다.
기술적 안전 조치는 △AI 학습데이터 전처리 △AI 모델 미세조정을 통한 안전장치 추가 △입·출력 필터링 적용 △차분 프라이버시 기법의 적용 등이다.
아울러 CPO 중심의 내부 거너번스 체계를 정비하고 리스크를 다각적·전문적으로 평가할 수 있는 담당조직을 구성하는 등 리스크 관리체계를 구축할 것을 제안했다. 또 AI 기업 등은 AI 밸류체인 내에서 당해 기업·기관의 권한 및 책임의 범위를 명확히 파악하고, 다른 기업·기관과 협력체계를 구체화할 필요가 있다고 강조했다.
개인정보위는 리스크 관리 모델을 지속 업데이트하는 한편 소규모 조직, 스타트업, 공공기관이나 추가학습, 기능보강 등 세부 대상과 영역에 특화된 안내자료도 조만간 마련할 예정이다.
고학수 개인정보위 위원장은 “AI 영역은 불확실성이 높기에 일률적 규제보다는 합리적·비례적 관리를 통해 리스크를 총체적으로 최소화하는 것이 필요하다”며 “리스크 관리 모델이 AI 기업 등이 프라이버시 리스크를 이해하고 체계적으로 관리하는 데 도움이 되길 바란다”고 말했다.
그러면서 “혁신 지향적이고 기술 중립적인 원칙 기반 규율체계를 법·제도적으로 구체화하기 위한 'AI 정책 2.0'을 준비하겠다”고 덧붙였다.
조재학 기자 2jh@etnews.com