눈부신 발전과 폭발적인 활용으로 우리 삶에 큰 편의를 가져다주는 인공지능 기술. 인공지능이 우리들의 삶을 풍요롭게만 만드는 것일까요? 모든 일에는 양면성이 있듯이 인공지능으로 인해 마땅히 보호되어야 할 개인정보가 노출되어 피해를 입는 사례도 적지 않게 나타납니다. 본 글에서는 인공지능 기술의 활용이 개인정보에 미치는 위협을 살펴보고, 이에 대비하여 제안된 사용 프라이버시(Use-based Privacy, Use Privacy)에 대해 살펴보도록 하겠습니다.
인공지능의 활용과 민감정보의 유추
지난 2012년, 미국의 유명 대형마트 Target에 한 남성이 거센 항의와 함께 사과를 요구한 사건이 있었습니다. 바로 Target에서 고등학생인 자신의 딸에게 아기 옷, 침대 등의 유아용품 할인 쿠폰을 제공했기 때문입니다. 그는 Target의 이와 같은 추천이 ‘미성년자에게 임신을 권장’ 하는 것과 같다고 주장하면서 사과를 요구하였고, Target 측은 ‘다른 고객에게 가야 할 쿠폰이 잘못 전달된 것 같다’며 사과하였습니다.
하지만 이 사건에는 놀랄 만한 반전이 있습니다. 사과를 요구했던 남성의 딸이 실제로 임신중이었다는 점입니다 [1]. Target 측에서는 해당 학생이 영양제와 로션을 구매한 내역을 통해 임신 사실을 유추하였는데, 이는 임신 초기에는 영양제, 중기에는 로션을 주로 사용한다는 점에 착안하여 통계적으로 내려진 결론이었습니다. 이 정보를 활용하여 Target은 영양제와 로션을 구매한 고객들이 임신 말기에 이르렀다 판단, 곧 태어날 아이가 사용할 유아용품 할인 쿠폰을 제공했던 것입니다.
Target의 사례에서 한 가지 주목해야 할 점은, 물품의 구매 내역과 같은 상대적 비민감정보들을 사용하여 ‘임신중’이라는 민감정보를 얼마든지 유추하여 사용할 수 있다는 점입니다. 자신의 부모에게도 알리지 않을 만큼 은밀하게 감추었던 임신 사실을 몇가지 물품 구매 내역으로만 유추하였듯이, 개인정보를 어떻게 사용하느냐에 따라 아주 쉽게 프라이버시 침해가 발생할 수 있습니다. 이는 인공지능이 활용되었을 때 특히 우려되는 사항으로, 인공지능 시대에는 개인정보의 적합한 사용을 위하여 새로운 차원의 프라이버시 모델이 필요합니다.
개인정보의 올바른 사용과 사용 프라이버시
이러한 필요에 의하여 제안된 개인정보 보호 모델이 직접사용 프라이버시(Use-based Privacy; Direct-use privacy) [2] 입니다. 이는 개인 정보의 사용을 ‘특정한 용도, 시간, 범위에서만 사용’할 수 있게끔 제한합니다. 사용기반 프라이버시는 민감정보 뿐만 아니라 비민감정보들에 대해서도 그 ‘직접적인 사용’을 제한하기 때문에 사용자의 개인정보를 나쁜 목적으로 사용하는 것을 미연에 방지할 수 있습니다. 이처럼 개인정보의 사용을 제한하는 사용기반 프라이버시 모델은 인터넷 웹사이트나 서비스의 개인정보처리방침 등에서도 찾아볼 수 있습니다.
사용기반 프라이버시가 개인정보의 사용을 전면적으로 막을 수는 없습니다. 앞서 소개된 Target의 개인정보 침해 사례를 도식화한 <그림 1>을 살펴보면, 영양제(Pre-natal Vitamins)와 로션(Scent-free Lotion)의 직접적인 사용이 문제가 되었다기보단 이를 통하여 임신중(Pregnancy)이라는 사실을 유추하고, 또 유추한 사실을 기반으로 유아용품 할인 쿠폰을 발행한 것이 문제라는 사실을 알 수 있습니다. 따라서 인공지능이 민감정보를 유추하여 사용하는 것을 제한하는 기준이 필요합니다.
이와 같은 민감정보의 ‘간접적인 사용’을 방지하기 위하여 제안된 간접사용 프라이버시(Use Privacy; Proxy-use Privacy) [3] 는 인공지능 내부에서 행해지는 연산을 검토, 인공지능 모델이 사용자의 민감정보를 유추하려고 하는지 파악하고, 그렇게 유추한 민감정보를 사용하는 것을 제한함으로써 개인정보를 보호합니다. 간접사용 프라이버시는 민감정보의 유추를 통한 사용에 대한 절대적인 제한보다는 정량적인 한도를 정하여 문제가 되지 않을 정도의 사용을 허용함으로써 개인정보를 합리적으로 보호하고자 합니다.
개인정보가 유출되지 않게 안전하게 지키는 것도 중요하지만, 어떻게 사용되는지를 올바로 제어하는 것도 프라이버시의 중요한 한 축입니다. 사용 프라이버시는 제한적인 정보사용을 통한 프라이버시를 논하고 있습니다. 특히 개인정보의 적절한 활용으로 다양한 서비스를 누릴 수 있는 인공지능 시대에서는 개인정보의 사용을 원천봉쇄하여 유출을 막기보다는 올바른 사용을 유도하는 것이 보다 합리적이라고 할 수 있습니다.
개인정보 보호의 제도화와 인권으로서의 프라이버시
2016년 유럽연합에서 제정한 GDPR (General Data Privacy Regulation) [4] 에는 ‘개인의 정보를 사용하는 자동 의사결정(automated decision-making) 프로세스에 대해 설명을 요구하고 이의를 제기할 권리가 있다’는 조항이 포함되어 있습니다. 이는 인공지능이 개인정보를 오남용하는 상황을 우려했기 때문에 포함된 조항으로, 인공지능 시대에 새로이 나타난 정보사용 제한의 프라이버시를 반영하고 있다고 할 수 있습니다.
한국 또한 2020년 8월 시행을 앞둔 데이터3법 [5] 제정으로 유럽연합의 GDPR 모델을 따라가는 중이지만, 자동 의사결정 프로세스에 관한 조항은 포함되지 않았습니다. 한국도 인공지능 시대의 정당한 개인정보 보호정책을 실현하기 위해서는 이 조항을 포함시킬 필요가 있다고 생각됩니다.
개인정보와 프라이버시의 개념은 시대에 맞게 변해 왔고, 실질적인 뒷받침이 되는 제도 또한 그에 따라 변해왔습니다. 오늘날 개인정보보호의 모델로 삼고 있는 정보유출 방지와 정보사용 제한의 프라이버시 또한 추후 사회의 필요와 개인정보/프라이버시에 대한 이해에 따라 얼마든지 바뀔 수 있습니다. 이처럼 변화하는 시대를 통틀어 중요한 원칙은, 개인정보에 대한 보호가 사람이라면 마땅히 가져야 하는 기본 인권으로써 취급되어야 한다는 점일 것입니다.
* 본 글은 동 저자가 보안뉴스에 기고한 칼럼 <인공지능 시대의 개인정보와 프라이버시> [6] 의 확장된 버전입니다.
[1] 부모도 모르는 딸의 임신, 대형마트는 알고 있다, 한겨레
[2] Fred Cate, Peter Cullen, and Viktor Mayer-Schönberger, Data protection principles for the 21st century. Oxford Internet Institute, 2013
[3] Anupam Datta, Matt Fredrikson, Gihyuk Ko, Piotr Mardziel, Shayak Sen, Use Privacy in Data-Driven Systems, CCS 2017
[4] General Data Protection Regulation, Europian Union
[5] 데이터3법: 개인정보보호법 / 정보통신망법 / 신용정보법, 국가법령정보센터
[6] 인공지능 시대의 개인정보와 프라이버시, 보안뉴스
KAIST 사이버보안연구센터 AI기술보안팀장. 인공지능 모델에서 발생하는 보안, 프라이버시 및 공정성 문제를 해결하기 위한 다양한 연구를 수행하고 있다.
좋아요 같은걸 누르고 싶은데 찾아볼수없군요..
관심에 감사드립니다. 소셜 미디어 버튼 바로 아래에 보시면 “공감” 버튼이 있습니다 🙂