카톡 문장 94억 건 암호화 조치 안 해
성생활 등 정보 처리 시 동의 안 받아
개인정보위, ‘개인정보 부실처리’ 개발사에
총 1억330만원 과징금·과태료 처분
인공지능(AI) 대화 로봇(챗봇) ‘이루다’ 개발사가 실제 20대 여성의 카카오톡 대화 문장 1억건을 응답 데이터베이스(DB)로 구축해 서비스를 운영한 사실이 확인됐다. DB에 포함된 카카오톡 대화 내용은 가명 처리를 하는 등의 변형 없이 그대로 사용됐다.
개인정보보호위원회(이하 개인정보위)는 28일 전체회의에서 이루다 개발사인 ‘스캐터랩’의 개인정보보호 법규 위반 행위에 대한 시정조치 안건을 논의해 과징금 5550만원과 과태료 4780만원 등 모두 1억330만원을 부과하기로 결정했다고 밝혔다. 이번 행정처분은 AI 기술 기업의 개인정보처리에 대한 첫 사례다.
챗봇 이루다는 성희롱, 혐오발언 논란에 이어 개인정보 침해·유출 논란까지 일으키며 출시 한 달 만에 서비스가 중단됐다.
개인정보위에 따르면 스캐터랩은 자사 애플리케이션(앱) 서비스인 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 이용자 60만명의 카카오톡 대화 문장 94억건을 페이스북 메신저 AI 챗봇 서비스 이루다의 개발·운영에 이용했다고 발표했다.
이 과정에서 스캐터랩은 △개인정보 수집 목적을 정확히 밝히지 않았고 △가명 처리를 제대로 하지 않았으며 △성생활 등 민감 정보를 처리하면서 별도 동의를 받지 않았고 △14세 미만 아동의 개인정보를 수집한 것으로 드러났다.
조사 결과 스캐터랩은 앱을 통해 수집한 60만명의 카카오톡 대화문장 94억 건에 대해 이름, 휴대전화 번호, 주소 등 개인정보를 삭제하거나 제대로 암호화하지 않았다. 이루다 서비스 운영 과정에서 20대 여성의 카카오톡 대화 문장 약 1억건을 응답 DB로 구축하고, 이루다가 여기서 적절한 문장을 선택해서 발화하도록 했다.
배상호 개인정보위 조사2과장은 이날 브리핑에서 “식별성 있는 정보는 가명 처리를 했지만 카카오톡 대화 내용에 대해서는 일절 가명 처리를 하지 않았다”며 “응답 DB는 실제 발화된 부분이 700건 정도인데, 응답 DB 자체가 카카오톡 대화 내용을 변형 없이 그대로 발화시킨 부분이 개인정보에 해당한다고 봤다”고 말했다.
개인정보위는 카카오톡 대화가 개인정보이자 민감 정보에 해당한다고 판단했다. 대화에 실명과 휴대전화번호 등의 개인정보가 포함되어 있을 가능성이 높고 인간관계, 소속 등을 추정할 수 있는 대화를 통해 개인을 알아볼 가능성이 있기 때문이다. 또 스캐터랩은 경우에는 소셜 로그인 ID 등의 회원정보와 카카오톡 대화를 함께 수집해 이용하고 있어 대화에 포함된 개인정보와 회원정보를 결합하면 이용자를 알아볼 수 있다고 개인정보위는 설명했다.
개인정보위는 스캐터랩이 카카오톡 대화를 수집한 행위 자체는 민감정보를 수집한 것이 아니지만, 성적 취향을 알 수 있는 심리테스트 설문 응답 결과를 이용자 별로 저장해 놓은 것은 별도 동의 없이 민감정보를 수집한 것이라고 판단했다.
윤종인 개인정보위 위원장은 “이루다 사건은 전문가들조차 의견이 일치되지 않아 그 어느 때보다도 격렬한 논쟁이 있었고, 매우 신중한 검토를 거쳤다”며 “이번 사건은 기업이 특정 서비스에서 수집한 정보를 다른 서비스에 무분별하게 이용하는 것이 허용되지 않고, 개인정보 처리에 대해 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 것을 분명히 하였다는 점에 의미가 있다”고 말했다.
이어 “이번 처분 결과가 AI 기술 기업이 개인정보를 이용할 때에 올바른 개인정보 처리 방향을 제시하는 길잡이가 되고, 기업이 스스로 관리·감독을 강화해 나가는 계기가 되기를 바란다”고 덧붙였다.
스캐터랩은 이날 오후 입장문을 내고 “이번과 같은 일이 되풀이 되지 않도록 지난 1월 이루다 서비스 종료 후 바로 내부 태스크포스(TF)팀을 구성했다”며 “보다 엄격한 기준 하에서 개인정보 처리에 필요한 과정·기술들을 마련해 나가고 있다”고 밝혔다.
이어 “현재 만 14세 미만 사용자에 대한 서비스를 제한하고 가명처리 시스템을 고도화하는 조치를 취했고, 개인정보 및 민감정보 수집·이용 동의 절차 개선 등 개인정보 보호 강화를 위한 조치들을 준비 중”이라며 “개인정보위 시정 조치를 적극 이행하고 관련 법률과 산업계 전반의 사회적 합의에 의해 정해진 개인정보 처리 가이드라인을 적극적으로 준수해 나갈 것”이라고 덧붙였다.