챗GPT 한국인 이용자 687명 개인정보 유출… “안전조치 의무 위반은 아냐”

실시간
뉴스

보안

챗GPT 한국인 이용자 687명 개인정보 유출… “안전조치 의무 위반은 아냐”

디지털데일리 발행일 2023-07-27 11:26:55

이종현 기자

URL복사

27일 정부서울청사 3층 합동브리핑룸에서 오픈AI의 개인정보보호 법규 위반행위에 대한 시정조치건에 대해 브리핑 중인 남석 개인정보위 조사조정국장 ⓒ개인정보위

[디지털데일리 이종현기자] 챗GPT의 유료 서비스 ‘챗GPT 플러스’의 이용자 정보 일부가 유출되는 일이 지난 3월 발생했다. 이중에는 한국인 이용자 687명의 정보도 포함된 것으로 파악됐다.

27일 개인정보보호위원회(이하 개인정보위)는 챗GPT의 운영사인 오픈AI에게 개인정보 유출 신고 의무 위반으로 과태료 360만원을 부과했다.

유출 피해자는 한국시각으로 3월20일 오후 5시부터 3월21일 오전 2시 사이 챗GPT 플러스에 접속한 이들 중 687명이다. 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일 등이 다른 이용자에게 노출됐다.

개인정보위는 서비스 속도 증가를 위해 오픈소스 기반 캐시 솔루션에서 알려지지 않은 오류가 발생한 것을 원인이라고 전했다. 전문가의 검토를 거친 결과 오픈AI가 일반적으로 기대 가능한 보호조치를 소홀히 했다고는 보기 어려워 안전조치의무 위반으로는 처분하지 않았다는 설명이다.

다만 유출 인지 후 24시간 내 신고하지 않은 것이 문제가 됐다. 개인정보위는 오픈AI에게 신고 의무 위반에 대해 과태료 360만원을 부과하고 개인정보처리시스템을 자체적으로 점검 후 재발 방지대책을 수립할 것을 권고했다.

또 개인정보위는 오픈AI의 개인정보 처리방침과 가입 절차 등을 검토한 결과 처리방침을 영문으로만 제공하고 있고 별도 동의 절차가 없으며 내용상 위‧수탁 관계, 구체적 파기 절차 및 방법, 국내대리인이 명확하지 않은 등 개인정보보호법상 의무 미흡 사항이 발견됐다고도 전했다.

오픈AI는 조사과정에서 국내 대리인을 통해 최근 전 세계 서비스를 시작한 신규 사업자이며, 개인정보위와 협력해 오는 9월 개정 개인정보보호법에 맞춰 법을 준수하겠다는 의견을 개인정보위에 제출했다.

개인정보위는 생성형 AI 등 새롭게 등장하는 서비스에 대한 법 규정이 불명확한 상황에서 실태점검 및 협의 개선을 통해 개인정보보호의 조기 강화가 필요하다는 입장을 내비쳤다. 챗GPT를 포함해 국내‧외 주요 AI 서비스를 대상으로 사전 실태점검을 실시해 개인정보 침해요인 최소화를 추진한다고 밝혔다.

다만 국내 법인을 두고 있지 않은 오픈AI에게 과태료를 부과하는 것이 실효성이 있느냐에 대한 질의에 대해 개인정보위 남석 조사조정국장은 “오픈AI가 국내 대리인을 지정해 저희와 소통 창구가 마련됐다. 자료 제출 과정에서 오픈AI도 우리에게 적극적으로 협력하겠다는 의사를 내비친 만큼 이번 의결에 대해서도 충실히 협력할 것으로 생각한다”고 말했다.

개인정보위는 이번 조치가 글로벌 신규 서비스에 대해 한국 이용자 존재 시 국내 보호법이 적용됨을 명확히 한 것이라고 의미부여했다. 앞으로도 해외사업자 대상 안내서 발간, 국내 대리인 제도의 실질적 개선 등을 통해 주요 글로벌 개인정보처리자들의 국내 법규에 대한 인지도를 제고하고 집행력을 확보하겠다는 방침이다.