"개인정보보호법"에 대한 통합검색 결과
통합검색(11)
정치(1)
검색결과 총 11건
![30일 서울 시내 한 SK텔레콤 인증 대리점에 유심 재고 소진과 유심보호 서비스 가입 안내문이 동시에 붙어있다. SK텔레콤은 해킹 사태 여파로 29일에도 3만명 넘는 가입자가 다른 통신사로 번호 이동하며 유심 무상교체가 시작된 이후 이틀간 7만명 넘는 이탈 흐름이 이어졌다. [사진=연합뉴스]](/_next/image?url=https%3A%2F%2Fd2n8o1kxb7aqru.cloudfront.net%2Fupload%2F2025-04-30%2F2a1f9300-9d19-4036-a3cf-fa4f99081699.webp&w=3840&q=100)
"SKT는 과연?"... '집단소송' 부른 해외 통신사들 결말전 세계를 강타한 통신사 및 금융기관 대상 해킹 사건들이 기업 보안의 허점을 드러내며 거대한 법적 파장을 불러왔다. 국내에서 일어난 SK텔레콤 사건과 더불어 해외에서는 T-모바일, 옵투스 등 해외 주요 기업들은 수천만 명의 개인정보 유출로 소비자들의 집단소송에 직면한 바 있다. 그 결과 막대한 합의금과 강도 높은 규제 압박을 받아야 했는데 이들의 사례는 보안 부실이 초래할 수 있는 재정 손실과 평판 위기를 명확히 보여주는 동시에, 향후 유사 사건에 대한 법적 기준과 대응 전략 마련에 중요한 선례가 될 것으로 보인다. 30일 업계에 따르면, 최근 SK텔레콤의 USIM 정보 유출 사태로 인해 통신사 보안 문제에 대한 관심이 높아진 가운데 해외 사례에서 배워야 할 점들이 부각되고 있다. 미국과 호주에서는 대형 개인정보 유출 사건이 발생할 때마다 소비자들이 집단소송을 통해 기업의 책임을 강하게 추궁했고 정부 당국 역시 기업에 고액의 벌금과 제도 개선을 요구했다. T-모바일, 7600만 명 정보 유출 사건 2021년 8월 미국 T-모바일은 해커 존 빈스가 시험용 서버의 취약점을 노려 시스템에 침투하면서 총 7천660만 명의 고객 정보가 유출됐다. 이름, 생년월일, 사회보장번호, 운전면허번호는 물론 단말기 식별 정보까지 포함된 이 유출은 T-모바일의 반복된 보안 실패로 비판을 받았다. 사건 직후 수십 건의 소송이 제기되어 연방 법원 집단소송으로 통합됐고, 2022년 7월 T-모바일은 소비자들과 총 3억5천만 달러의 배상 합의를 체결했다. 이 합의금은 역대 최대급 규모로 평가되며 피해자에 대한 보상금과 신용 모니터링 서비스, 향후 보안 투자에 1억5천만 달러 추가 지출을 약속했다. T-모바일은 이후에도 각 주정부와의 협의를 통해 벌금 및 보안 감사 의무를 부과받으며 법적 대응을 이어가고 있다. 호주 옵투스, 980만 명 정보 유출 및 대규모 소송 진행 중 2022년 9월 호주 2위 통신사 옵투스는 인증 절차 없이 공개된 API 취약점을 통해 외부 해커가 고객 데이터베이스에 접속하여 총 980만 명의 개인 정보를 유출한 사건이 발생했다. 운전면허증 번호나 여권번호 등 민감정보까지 포함되었고 피해자 중 약 280만 명이 신원도용 위험에 노출된 것으로 확인됐다. 해커는 몸값 100만 달러를 요구하며 일부 데이터를 공개하기도 했다. 이 사건은 호주 인구의 절반에 가까운 피해 규모로 호주 사회에 큰 충격을 안겼으며, 2023년 4월 슬레이터앤고든 로펌이 집단소송을 제기해 약 10만 명 이상이 참여했다. 정부는 옵투스를 법적 책임 대상으로 지목하며 연방법원 제소, 벌금 부과 절차에 돌입했고 통신법상 의무 위반 혐의를 제기하고 있다. 지난해까지도 집단소송은 증거개시 절차를 포함해 본격적인 법정 다툼을 진행 중이다. 유출 피해 대응의 핵심… 선제적 보안 투자와 신속한 공개 위의 사건 모두에서 반복적으로 드러난 쟁점은 기업의 사전 보안 조치 부족과 해킹 후 대응의 적절성이다. T-모바일은 과거 해킹 전력에도 불구하고 취약점을 방치했고, 옵투스는 기본적인 인증 절차조차 없는 시스템 설정으로 정부의 질타를 받았다. 이들 기업은 피해 발생 이후 일정 수준의 책임을 인정하고 보안 강화를 약속했지만, 사후 대응의 시기와 방식에 따라 여론과 법적 책임의 강도는 달라졌다. 또한 이들 사건은 집단소송 제도의 실효성과 기업의 법적 책임 확립에 중요한 영향을 끼쳤다. T-모바일은 수억 달러 합의에 이르렀고, 옵투스는 아직도 법정 공방 중이다. 집단소송의 성패는 피해자 범위의 인정과 기업의 과실 입증, 그리고 실제 피해와 정신적 고통에 대한 배상 기준이 어떻게 적용되느냐에 달려 있다. SKT도 같은 실수를 되풀이하지 말아야 SK텔레콤 역시 USIM 정보 유출 사건과 관련한 집단소송이 본격화하고 있다. 경찰도 이번 사건을 정식 수사로 전환하며 대응에 나섰다. 복수의 집단소송 전문 로펌의 소송과 경찰 수사를 동시에 받게 되면서 SKT의 사법 리스크가 본격화됐다는 평가가 나온다. 이에 전문가들은 이번 쟁점이 해외 사례를 타산지석 삼아야 한다는 목소리가 높아지고 있다. 기업의 책임 회피보다는 조속한 공개와 보안 개선이 신뢰 회복의 관건으로 장기적으로는 개인정보 보호법과 집단소송제도 개정이 병행되는 것이 중요할 것으로 보인다. 이와 관련해 법무법인(유한) 대륜 김국일 경영총괄대표는 "현재 고객들의 문의가 지속적으로 들어오는 상황이다. 이미 개인정보가 탈취된 상황에서는 어떤 피해가 발생할지 예측하기 어려운 만큼, 피해 규모는 더욱 커질 것으로 보인다"며 "설령 피해가 발생하더라도 SKT로 인한 피해임을 피해자 측이 직접 입증해야 하고, 그 모든 과정을 거친 뒤에야 보상 절차가 가능할 것으로 판단된다"고 밝혔다. 그러면서 "피해자들이 정당한 보상을 받을 수 있도록 최선을 다해 지원하고 SK텔레콤에 대한 명확한 책임을 묻겠다"고 강조했다.
3시간 전
딥시크, 신규 다운로드 재개…'한국 개인정보보허법 준수' 개인정보 수집 문제로 정부의 실태 점검을 받은 중국의 생성형 인공지능(AI) '딥시크'가 한국 정부의 시정권고를 일부 수용하고 신규 다운로드 서비스를 재개한 것으로 파악됐다. 딥시크는 28일(현지시간) 처리방침을 개정해 한국어판을 공개하고, 개인정보 정책을 일부 개정했다. 앞서 개인정보보호위원회는 23일 열린 제9회 전체회의에서 '딥시크 사전 실태점검 결과'를 심의·의결했다. 개인정보위 점검 결과 딥시크는 국외 이전에 대해 이용자 동의를 받거나 처리방침을 공개하지 않았고, 중국에 있는 틱톡 모기업인 바이트댄스의 자회사인 '볼케이노'로 국내 고객이 딥시크 채팅창에 입력한 프롬프트 정보를 넘겼던 사실이 확인됐다. 개인정보위는 딥시크에 국외 이전 시 합법적인 근거를 충실히 마련하는 것은 물론 프롬프트 정보 즉각 파기와 한국어 처리방침 공개, 아동 개인정보 수집 확인·파기 등을 시정권고한 바 있다. 딥시크는 이번에 개정된 처리방침에서 한국에 대한 별도의 부속 규정을 새로 마련하고 '한국 개인정보보호법을 준수해 개인정보를 처리한다'고 명시했다. 또 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전한다면서 '이용자가 개인정보 이전을 거부할 수 있다'고 밝혔다. 이용자 선택권 보장을 위한 '옵트아웃'(opt-out)' 기능도 마련했다고 알렸다. 옵트아웃은 생성형 인공지능(AI) 등에서 정보 주체가 명시적으로 거부 의사를 밝히면 이용자가 입력한 데이터를 삭제하고 AI 학습을 거부할 수 있는 기능이다. 이밖에도 '14세 미만의 아동을 대상으로 서비스를 제공하지 않으며 아동에게 적극적으로 정보를 수집하지 않는다'고 밝혔다. 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기하도록 권고한 부분에 대해 개인정보위 관계자는 "아직 확인은 안 된 상태"라고 전했다. 딥시크는 2월부터 국내 앱 마켓에서 잠정 중단했던 신규 다운로드 서비스도 재개한 사실이 확인됐다. 현재 구글 안드로이드 마켓과 애플 앱스토어 검색창에 '딥시크' 또는 영문명 'deepseek'를 넣으면 해당 앱이 노출되며 다운로드도 받을 수 있다. 딥시크 신규 서비스 재개 여부에 대해 "딥시크사(社)에서 자율적으로 결정한 것이고 재개 여부도 시정명령을 수용하고 이행이 어느 정도 됐다고 하면 사업자 측에서 자율적으로 결정할 수 있는 사항"이라며 구체적인 재개 시점을 언급하지 않았다.
2025.04.28
'청약플러스' LH 직원 실수로 1100명 개인정보 유출 한국토지주택공사(LH)가 운영하는 임대·분양 청약사이트 '청약 플러스'에서 직원의 실수로 고객 1100여명의 개인정보가 유출됐다. 24일 LH 대전충남지역본부에 따르면 LH는 전날 오후 7시께 충남 아산 탕정 2지구 7블록, 15블록 국민임대 예비 입주자모집 신청자 서류 제출대상자 명단을 공개하는 과정에서 실수로 입주 신청자의 개인정보가 담긴 파일이 올라갔다. 이 파일에는 입주 신청자의 이름과 휴대 전화번호, 청약 순위와 배점 등이 담겨 있어 신청자 1100여명의 개인정보가 유출됐다. LH는 그로부터 2시간 가량 지난 뒤 유출 사실을 인지하고 파일을 삭제했다. 피해 고객에게는 15시간이 지난 이날 낮에야 개인정보 유출 사실을 개별 문자메시지로 안내했다. 피해자들은 유출된 개인 정보 파일을 누구나 청약 홈페이지를 통해 다운받을 수 있어 막대한 피해가 예상됨에도 LH 측은 유출 내용과 경위, 피해 사안을 정확히 안내하지 않았다며 울분을 터뜨렸다. 한 임대주택 신청자는 "오늘에서야 안내 문자가 왔는데 정확한 피해 사실을 물어보려고 LH에 전화해도 연락이 닿질 않는다"며 "홈페이지에도 별도 공지가 없어 불안하고 답답하다"고 밝혔다. 이에 LH 관계자는 "개인정보 보호법상 72시간 내 피해자에게 사실을 알려야 해 조처에 나선 것"이라며 "유출 사실을 파악 후 즉각 해당 자료를 삭제했고, 상세한 경위를 파악한 뒤 고객에게 문자 메시지를 통보하게 됐다"고 해명했다. 또 "피해 고객과 원활히 응대할 수 있도록 조처하겠다. 불편을 끼쳐 죄송하다"며 "유사 사고 방지를 위한 재발 방지 대책 마련에도 최선을 다하겠다"고 덧붙였다.
2025.04.24
개인정보위 "딥시크, 개인정보 중국 등에 무단 이전" 개인정보 수집 논란으로 국내 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) '딥시크(DeepSeek)'가 서비스 당시 중국과 미국 내 업체 여러 곳에 국내 이용자 정보를 무단 이전한 정황이 밝혀졌다. 개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열고 전날 전체회의에서 심의·의결한 '딥시크 사전 실태점검 결과'를 발표했다. 개인정보위에 따르면 딥시크는 올해 1월 15일 국내 서비스를 개시한 때부터 서비스를 중단한 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다. 딥시크는 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 이 업체는 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스(Bytedance)'의 계열사다. 딥시크는 점검과정에서 빠뜨렸던 국외이전 관련 법정 사항을 새롭게 마련한 한국어 처리방침에 포함해 개인정보위에 제출했다. 딥시크는 이용자 동의 없이 볼케이노에 개인정보를 이전한 사실은 확인했지만 보안 취약점과 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 설명했다. 개인정보위는 이용자가 딥시크 프롬프트에 입력한 내용의 이전은 불필요하다고 지적했고, 딥시크는 이달 10일부터 신규 이전을 차단했다. 개인정보위는 "볼케이노는 바이트댄스의 계열사이지만 별도 법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 (딥시크가) 소명했다"고 전했다. 또 딥시크는 AI 학습·개발에 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 이용했다. 그러면서도 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 '옵트아웃(opt-out)' 기능은 없었다. 딥시크는 이를 개인정보위가 지적한 다음 개선했다. 당초 처리지침 상 수집정보로 기재했던 '키 입력 패턴·리듬' 정보에 대해서는 국내 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 실제 수집한 사실은 없다고 알렸다. 개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다. 딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이럴 경우 시정 및 개선 권고에 대한 이행 결과는 60일 내 개인정보위에 보고해야 한다. 개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 밝히지 않았다.
2025.04.24
개인정보 유출 신고 2배 증가… 절반 이상 차지한 항목?개인정보 유출 사고가 여전히 심각한 사회적 문제로 떠오르는 가운데, 지난해 공공기관의 개인정보 유출 신고 건수가 전년 대비 2배 이상 증가한 것으로 나타났다. 특히 해킹으로 인한 유출 비중이 절반 이상을 차지하며 사이버 보안의 취약점이 다시 한번 드러났다. 21일 업계에 따르면, 개인정보보호위원회와 한국인터넷진흥원(KISA)은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서를 발표했다. 이 보고서는 지난 1년간 접수된 개인정보 유출 사고를 분석해 원인별 예방 대책을 제시했다. 보고서에 따르면, 2023년 개인정보 유출 신고 건수는 총 307건으로 전년(318건)과 유사한 수준을 유지했다. 유출 원인으로는 해킹이 56%(171건)로 가장 높은 비중을 차지했고, 업무 과실(30%·91건)과 시스템 오류(7%·23건)가 뒤를 이었다. 특히 해킹 사고는 전년(151건) 대비 13.2% 증가해 개인정보 보호의 필요성이 더욱 강조됐다. 해킹 유형별로 살펴보면, 관리자 페이지의 비정상적인 접속(23건)이 가장 많이 발생했다. 이어 ▲SQL 인젝션(17건) ▲악성 코드 삽입(13건) ▲크리덴셜스터핑(9건) 순으로 나타났다. SQL 인젝션은 악의적인 명령어를 삽입해 데이터베이스를 조작하는 방식이며, 크리덴셜스터핑은 탈취한 계정 정보를 이용해 다른 웹사이트에 무단 로그인하는 기법이다. 이밖에도 원인이 명확하지 않은 해킹 사고(87건)도 전체 해킹 건수의 절반 이상을 차지했다. 업무 과실로 인한 개인정보 유출 사례는 ▲게시판이나 단체 채팅방에 개인정보 파일을 게시한 경우(27건) ▲이메일 동보 발송 시 개인정보가 포함된 경우(10건) ▲이메일·공문에 개인정보 파일을 잘못 첨부한 사례(7건) 등이 주를 이뤘다. 시스템 오류로 인한 유출 사고 중에서는 ▲소스코드 적용 오류(14건) ▲API 연동 오류(8건) 등이 많았다. 기관 유형별로는 공공기관이 전체 유출 신고의 34%(104건)를 차지하며, 2023년(41건) 대비 2배 이상 증가했다. 개인정보위는 이러한 증가 원인으로 2023년 9월 개정된 개인정보보호법을 꼽았다. 개정된 법안에 따르면 기존에는 1000명 이상의 개인정보가 유출된 경우에만 신고 의무가 있었으나, 이제는 민감 정보나 고유식별정보가 1건 이상 유출되더라도 반드시 신고해야 한다. 실제로 공공기관의 유출 신고 104건 중 68%(71건)는 1000건 미만의 개인정보 유출 사례였다. 공공기관 유형별로는 ▲중앙행정기관 및 지방자치단체(42%) ▲대학교 및 교육청(41%) ▲공공기관 및 특수법인(17%) 순으로 집계됐다. 반면, 민간기업의 유출 신고 건수는 전체의 66%(203건)로, 2023년(277건) 대비 감소했다. 민간기업 중에서는 중소기업(60%)의 비율이 가장 높았으며, 이어 ▲해외 사업자(12%) ▲협·단체(12%) ▲중견기업(11%) ▲대기업(5%) 순이었다. 한편, 개인정보위 관계자는 “개인정보 입력 페이지에서 비정상적인 아이디·비밀번호 대입 행위를 탐지·차단하는 조치를 마련하고, 웹 방화벽(WAF) 등의 보안 솔루션을 적극 도입해야 한다”고 강조했다. 또한, 보안 취약점을 사전에 점검하고 정기적인 보안 업데이트를 수행하는 것이 중요하다고 덧붙였다.
2025.03.21
[AI 동향과 법] 한국의 개인정보 해법은? EU GDPR VS 美 미국의 대표적인 신용정보회사인 Equifax는 해킹 공격을 당해 1억4700만 명의 개인정보가 유출되는 대규모 사고를 겪었다. 이 사건으로 인해 Equifax는 연방거래위원회(FTC)로부터 7억 달러(약 9조 원)에 달하는 배상 판결을 받았다. 또한, 페이스북(Facebook)도 생체정보 보호법(BIPA) 위반으로 6억5천만 달러(약 8400억 원)의 배상 판결을 받았다. 이러한 사례들은 미국의 개인정보 보호법이 사전 규제를 최소화하는 대신, 사고 발생 시 강력한 징벌적 손해배상을 부과하는 구조를 띠고 있음을 보여준다. 그러나 이와 같은 강력한 처벌은 예상치 못한 개인정보 유출로 인해 기업의 도산할 위험을 높이기도 한다. 반면, 유럽연합(EU)의 GDPR(General Data Protection Regulation)은 사전 규제를 적용하여, 기업이 일정한 보안 조치를 준수할 경우 책임을 경감하는 방식을 취하고 있다. 그렇다면 대한민국의 개인정보보호법은 어느 방향으로 나아가야 할까? 개인정보 보호와 기업 성장, 그리고 AI 등 신산업 활성화를 고려할 때, 한국은 GDPR을 기반으로 한 사전 규제 모델을 도입하되, 신산업 테스트베드를 마련할 필요가 있다. GDPR 역시 기업에 전 세계 연간 매출의 최대 4%에 달하는 과징금을 부과할 수 있지만, 그 핵심은 개인정보 보호를 위한 사전 조치와 기업의 준수 의무 강화에 있다. 개인정보를 수집·활용하기 전에 반드시 명확한 동의를 받아야 하며, 기업이 적절한 보안 조치를 이행했다면 유출 사고 발생 시 일부 책임이 면제될 수 있다. 반면, 미국은 연방 차원의 GDPR과 같은 포괄적인 개인정보 보호법이 없으며, 주(州)별·산업별로 개별적인 법률을 운영한다. 이에 따라 데이터 활용이 비교적 자유로운 반면, 사고 발생 시 강력한 처벌이 부과된다. 예를 들어, 기업이 개인정보 유출을 방지하지 못할 경우, 캘리포니아 개인정보권리법(CPRA)은 집단소송을 허용하며, 일리노이 생체정보 보호법(BIPA)은 징벌적 손해배상 및 집단소송이 가능하도록 규정하고 있다. 대한민국의 개인정보보호법은 GDPR을 기반으로 하면서도 미국식 모델의 요소를 가미하는 방식으로 발전해 왔다. 그러나 최근 AI, 빅데이터, 헬스케어 등 신산업이 활성화되면서 보다 명확한 정책 방향이 필요한 시점이다. 기업이 일정 수준의 개인정보 보호 조치를 준수한 경우, 사고 발생 시 법적 책임을 일부 완화하는 방안이 바람직하다. 개인정보 보호를 지나치게 강조하면 대기업만이 보호 시스템을 구축할 수 있어 혁신성이 저하될 우려가 있으며, 기존과는 다른 방식의 해킹 등 불가항력적인 사고가 발생할 가능성도 고려해야 한다. 신산업 발전을 위해서는 정부가 전문 테스트베드를 운영하여 데이터 활용 환경을 제공해야 한다. 특히 스타트업들은 양질의 데이터에 접근하기 어려운 경우가 많아, AI 모델 학습과 데이터 기반 서비스 개발이 제한된다. 따라서 전문기관을 설립하여 개인정보 활용을 위한 사전 검증 및 보안 조치 지원을 수행하고, 신산업 기업들이 안전한 환경에서 혁신을 추진할 수 있도록 해야 한다. 마이데이터, 공공데이터 개방 등과 연계하여 개인정보 보호를 유지하면서도 데이터 산업이 활성화될 수 있는 환경을 조성해야 한다. 유럽의 GDPR의 사전 규제를 산업별/기업별로 유연하게 적용하고, AI 및 데이터 신산업 발전을 위해 테스트베드 전문기관을 운영하는 방향으로 나아가야 한다. 이를 통해 기업들이 과도한 법적 리스크 없이 개인정보를 활용할 수 있도록 하고, 동시에 국민의 개인정보 보호를 강화할 수 있을 것이다.
2025.03.06
딥시크, '틱톡' 모회사에 이용자 데이터 유출 정황…내 정보도? 국내 서비스가 잠정 중단된 중국의 생성형 인공지능(AI) 딥시크가 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스'에 이용자 관련 데이터를 넘긴 정황이 파악됐다. 구체적으로 딥시크가 바이트댄스에 전송한 데이터의 내용이나 양, 목적 등이 밝혀지지는 않았다. 18일 개인정보보호위원회에 따르면 개인정보위는 딥시크 서비스가 출시된 이후로 딥시크 본사에 개인정보 수집·처리 방식에 관한 공식 질의를 보냈고, 딥시크 서비스에 대한 자체 분석에도 착수했다. 이 과정에서 딥시크가 제3자인 바이트댄스에 이용자 입력 정보를 전송했다는 사실을 확인했다. 개인정보위 관계자는 "딥시크가 (바이트댄스와) 통신하는 사실을 확인했다"며 "다만 어떤 정보가 얼마나 넘어갔는지는 아직 확인하지는 못했다"고 덧붙였다. 국내 개인정보보호법상 사업자가 제3자에게 이용자 관련 정보를 제공할 경우 정보 제공자인 이용자에게 이런 사실을 구체적으로 알리고 동의를 받아야 한다. 개인정보위는 딥시크의 개인정보 처리방침이 이러한 내용을 준수하지 않는 등 여러 가지 미흡한 점을 확인했다. 딥시크는 10일 국내 대리인을 지정한 데 이어 글로벌 서비스 출시 과정에서 국내 개인정보보호법에 대해 일부 소홀했음을 인정했다. 또 향후 개인정보위에 적극 협력하겠다는 의사도 전해왔다. 개인정보위는 딥시크가 관련 서비스를 시정하기까지 상당한 시일이 걸릴 것으로 파악, 추가적인 우려가 확산하지 않게 하기 위해 딥시크 국내 서비스를 잠정 중단할 것을 권고해 딥시크는 이를 수용했다. 이에 대해 일각에서는 바이트댄스에 전송한 데이터가 개인정보보호법상 민감한 개인정보에 해당하는 게 아닌지 의문을 갖는 목소리가 나온다. 한편 딥시크의 잠정 서비스 중단에 따라 딥시크 앱의 신규 다운로드는 15일부터 제한됐다. 개인정보위는 딥시크 서비스 중단 기간 동안 딥시크의 개인정보 처리 실태를 면밀하게 점검할 계획이다. 또 이같은 점검 과정에서 딥시크 서비스가 국내 개인정보보호법에서 요구하는 요건을 갖추도록 개선을 적극 유도할 방침이다. 점검 최종 결과 발표 때는 해외 AI 개발사가 국내 서비스 출시 전 점검해야 할 사항을 가이드 형태로 제시할 계획이다. 생성형 AI 등 AI 서비스가 대중화된 만큼 AI 활용과 개인정보 보호가 균형을 이룰 수 있도록 개인정보보호법상 AI 특례 신설, 해외 사업자 대상 집행력 강화 등을 담아 법 개정에도 나설 것으로 보인다. 개인정보위는 딥시크 앱을 기존에 앱을 내려받았거나 웹을 통한 딥시크 활용에는 제한이 없는 만큼 서비스를 이용할 때 유의를 당부했다. 남 국장은 "이미 다운로드받아서 사용하시는 분이나 인터넷을 통해 이용하시는 분은 (개인정보 유출) 위험성이 있으니 신중한 이용을 당부드린다"며 "자체적으로 삭제하고 이용하지 않는 방법도 있다"고 당부했다.
2025.02.18
[북부파수꾼의 법생각] 인스타그램(SNS)에 내 아이 사진, 과연 괜찮을까요 "너무 예쁜 내 아이 다른 사람들도 보면 좋지 않을까?"에서 비롯된 행동이 ‘셰어런팅’이라는 신조어를 만들 정도인데요. 셰어런팅은 Share(공유) + Parenting(양육)이 합쳐져 만들어진 단어로 부모가 자녀의 일상을 자신의 SNS에 공유, 소통하는 것을 일컫습니다. 하지만 이러한 셰어런팅에는 분명한 문제가 존재합니다. 바로 불특정 다수가 아이의 다양한 정보에 접근 가능해진다는 것입니다. 즉, 아동대상 범죄를 도모하는 자들이 아이가 사는 동네를 비롯해 아이의 학교, 학원, 노는 장소와 이동 시간 등 미처 고려하지 못하는 수많은 정보를 아주 손쉽게 취득할 수 있게 되고, 이 때문에 실제로 발생한 범죄 사례들도 다수 존재하고 있습니다. 나아가 아이가 성년이 되기 전 인터넷에 등록된 정보들이 사라지지 않고 계속하여 남아 있다는 점 또한 큰 문제라고 볼 수 있습니다. 우선적으로, 아이에 관하여 공유된 정보들이 범죄에 활용되지 않도록 방지하기 위한 노력으로 세계 각국에 법률규정이 존재하는데, 프랑스는 ‘프라이버시법’에서 “자녀의 동의 없이 이미지를 공개할 경우, 징역 1년 혹은 4만500유로의 벌금”을, 영국은 「개인정보법」에서 “부모가 동의 없이 자녀의 개인정보 또는 사진 등을 셰어런팅한 경우, 자녀가 그 부모를 상대로 소송 제기 가능”을, 미국은 「프라이버시 보호법」에서 “13세 미만 아동 개인정보를 처리할 때 보호자 고지, 아동의 동의 획득 등 명확한 개인정보 처리 방침을” 각 규정하고 있습니다. 한편, 우리나라에서는 개인정보보호법 제22조의2에서 개인정보처리자가 “만 14세 미만 아동의 개인정보 처리를 위하여 그 법정대리인의 동의를 받아야 하고”, “대통령령으로 정하는 최소한의 정보만은 법정대리인 동의 없이 직접 수집 가능하고”, “아동에게 개인정보 처리와 관련한 사항의 고지를 할 때에는 이해하지 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다”고 규정합니다. 이러한 법 규정의 내용에는 안타깝게도 아동이 자신의 개인정보를 관리할 수 있는 방법이 포함되어 있지 않다는 것을 확인할 수 있는데요. 이렇다 보니 헌법상 기본권인 ‘자기결정권’에 포함된다고 볼 수 있는, 아동의 권리인 개인정보통제권이 사실상 실질적으로 보장되고 있다고 하기 어려운 현실입니다. 여기에 더해 아동의 개인정보를 보호하기 위해서는 또한 ‘잊힐 권리’를 보장해야 합니다. 잊힐 권리는 앞서 말씀 드렸던 아동, 미성년자 시기에 인터넷에 등록된 정보가 사라지지 않고 남아 있는 문제점을 해결하기 위한 것입니다. 즉, 게시물 중 개인정보가 포함되어 있는 게시물을 삭제하도록 요구하거나 다른 사람이 검색하지 못하도록 하는 것인데, 인터넷이 발달하고 수많은 정보와 자료가 축적되며 새로이 등장한 권리입니다. 일명 ‘지우개서비스’를 통해 이 잊힐 권리를 보장받을 수 있습니다. 다만, 지우개서비스는 ① 30세 미만의 자가 ②미성년 시기(19세 미만)에 작성한 개인정보가 포함된 게시물에만 서비스를 이용할 수 있습니다. 우리는 개인정보 보호의 대상인 아동, 미성년자가 개인정보의 주체이기도 하다는 점을 명심하면서, 아동, 미성년자를 보호하기 위하여 위와 같은 제도를 적극 홍보하여 이용할 수 있도록 해야만 합니다.
2025.02.17
[AI 동향과 법] 개인정보 줄줄 새는 딥시크, 왜 ‘AI판의 메기’인가 최근 AI 분야에서 가장 뜨거운 이슈 중 단 하나를 뽑으라면 단연 ‘딥시크(DeepSeek)’의 등장이다. 지난달인 1월 27일, 中 인공지능 기업 딥시크가 AI모델 'DeepSeek-R1'을 공개했다. 딥시크가 공개한 내용에 따르면, 메모리 사용량은 75% 줄이고 속도는 두 배 향상시켰으며, API 비용도 95% 절감했다. Chat GPT와 비교해서도 성능은 뛰어나면서도 개발 비용은 1/20 수준인 것이다. 시장은 즉각 반응했다. AI 반도체 시장의 선두주자인 엔비디아의 주가는 하루 만에 16.7% 급락했고, 약 850조 원의 시가총액이 증발했다. 하지만 딥시크는 사용자의 채팅 기록, 검색 쿼리, 기기 정보, 키 입력 패턴, IP 주소뿐만 아니라 다른 앱에서의 인터넷 활동까지 광범위한 데이터를 수집하는 것으로 알려졌으며, 이를 중국 내 서버에 저장하고 있다. 아울러 중국의 데이터 안전법에 따라 공안이 국가 안전이나 수사를 이유로 요청할 경우 기업은 이에 협조해야 한다. 이에 사용자 개인정보가 본인의 동의 없이 중국 정부로 넘어갈 가능성이 제기되고 있다. 이토록 개인정보 보호에 취약한 딥시크가 AI 산업의 판도를 흔드는 게임체인저로 주목받는 이유는 무엇일까. AI 산업의 기존 패러다임은 AI의 성능, 즉 GPU(Graphics Processing Unit) 확보에 따라 달라지도록 바뀌었고, 이는 곧 엔비디아의 독주로 이어졌다. 과거 AI 산업은 인간의 언어를 문법과 같은 규칙으로 정의하고 이를 인공지능에 입력하여 결과를 도출하려 했으나, 수많은 실패의 역사만을 반복했다. 현재의 AI는 과거와 전혀 다른 방식을 취한다. 방대한 양의 데이터를 학습하여 패턴과 관계를 파악하고 이를 기반으로 결과물을 생성하는 방식이다. 즉, 지금의 인공지능은 인간 언어의 법칙을 이해하는 것이 아니라, 단순히 방대한 데이터를 학습하여 스스로 패턴을 파악하고 결과물을 도출하는 것이다. 이러한 방식은 필연적으로 대규모 병렬 처리를 요구하며, 그 해답은 방대한 데이터를 동시에 처리할 수 있는 GPU였다. 결국, 더 발전된 인공지능은 곧 더 강력한 GPU를 의미하는 것처럼 보였다. 이에 AI 열풍은 곧 GPU 시장의 절대 강자 엔비디아 열풍으로 이어졌다. 이는 엔비디아의 높은 주가를 정당화했다. AI 경쟁이 곧 GPU 확보 경쟁을 의미한다면, 막대한 자금력을 보유한 미국의 거대 기업들에 비해 한국 AI 기업들이 우위를 점하기는 어려운 것이 현실이다.그러나 최근 딥시크의 성공은 한국 AI 산업 전반에 새로운 희망을 제시하고 있다. 딥시크는 557만 6000달러(약 79억원)라는 비교적 적은 비용으로 OpenAI의 GPT-4와 유사한 수준의 성능을 구현하는 데 성공했다. 이는 대규모 투자 없이도 혁신적인 AI 모델을 개발할 수 있음을 입증한 사례로, AI 경쟁이 단순한 자본력 싸움이 아니라 최적화와 효율성에 따라 새로운 기회가 열릴 수 있음을 보여준다. 최수연 네이버 대표 역시 딥시크의 성과를 "매우 혁신적"이라고 평가하며, 후발 주자가 선도 업체를 상대적으로 작은 투자로도 선도 업체를 추격할 수 있다는 점에서 그 의미를 강조했다. 미국의 거대 기업과의 AI 기술 격차를 좁히는 데 있어 새로운 가능성을 시사한다. 한국 AI 산업의 새로운 가능성을 응원하며, [AI 동향과 법] 연재에서는 이를 현실화하기 위한 대한민국의 법제도, 개인정보 보호법과 리걸테크 진흥법을 살펴보고자 한다.
2025.02.17
'개인정보 유출 논란' 딥시크, 국내 서비스 잠정 중단 개인정보 유출 논란이 불거진 중국 생성형 인공지능(AI) 애플리케이션 '딥시크'의 국내 사용이 잠정적으로 중단됐다. 개인정보보호위원회(이하 개인정보위)는 17일 '딥시크' 앱에 대한 국내 서비스를 지난 15일 오후 6시부터 잠정 중단했다고 밝혔다. 잠정 중단 기간 동안 '딥시크' 앱의 신규 다운로드가 불가능하다. 개인정보위는 국내 개인정보보호법에 따른 '딥시크' 측의 개선·보안이 이뤄진 후 서비스를 재개할 예정이라고 설명했다. 다만 기존에 내려받은 '딥시크' 앱과 PC 버전은 그대로 이용이 가능한 상태다. 남석 개인정보위 조사조정국 국장은 "기존 앱을 다운로드해 이용하는 경우에는 사업자 측면에서 할 수 있는 마땅한 조치가 없다"며 "기존 이용자들을 대상으로 실태 점검 과정에서도 필요한 조치가 있는지 살펴볼 것"이라고 밝혔다. 개인정보위에 따르면 '딥시크'는 지난 14일 글로벌 서비스 출시 과정에서 국내 개인정보보호법에 대한 고려가 일부 소홀했으며 앞으로 이와 관련해 적극 협력하겠다는 의사를 표명했다. 이와 관련해 '딥시크'는 지난 10일 국내 대리인을 지정하기도 했다. 개인정보위는 '딥시크'가 과도한 개인정보를 요구하고 해당 정보를 중국 내 서버에 보관하는 등 개인정보 처리방침상 미흡한 부분이 확인됐다며 이에 대한 해명을 요구하는 공식 질의서를 보낸 바 있다. 이와 함께 국내 전문가들과 함께 '딥시크'에 대한 자체 분석에도 착수했다. '딥시크' 서비스 개선까지는 상당한 시일이 소요될 것으로 예상되고 있다. 개인정보위는 "추가적인 우려가 확산하지 않도록 우선 잠정 중단 후 개선·보완하도록 '딥시크'에 권고했으며 이들이 이를 수용했다"고 전했다.
2025.02.17
