한국인터넷진흥원(KISA) ‘EU 개인정보보호 협력센터의 개인정보보호법 소개
정수연(EU 개인정보보호 협력센터장)
매년 1월 28일은 EU를 포함한 미국, 캐나다 등 총 47개국에서 참여하는 ‘세계 개인정보 보호의 날(Data Protection Day)’이다. 1981년 유럽 평의회(Council of Europe)는 유럽인권조약에 따라, 모든 개인의 기본적 자유와 권리를 보장하기 위해 세계 최초이자 유일한 개인정보 보호 국제협약을 채택했다. 협약의 공식 명칭은 ‘개인정보의 자동 처리에 관한 개인정보 보호 협약(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)’으로, 유럽 평의회 조약 중 108번째로 등록된 ‘CoE 108’이라는 이름으로 널리 알려졌다.
2006년 유럽 평의회는 날로 중요해지는 개인정보 보호의 필요성과 개인정보에 대한 인식 제고를 위해 CoE 108의 서명이 시작된 날인 1월 28일을 개인정보 보호의 날로 지정했다. 이후 미국, 캐나다 등 전 세계 47개국에서 1월 28일을 개인정보 보호의 날로 지정하고 이를 기념하고 있다. 한편 한국은 개인정보 보호법이 제정된 9월 30일을 법정기념일로 지정해 운영하고 있다.
이날이 되면 각국의 개인정보 감독기관은 개인정보와 관련한 주제를 선정해 콘퍼런스와 세미나를 개최하거나, 학생과 일반인을 위한 교육, 워크숍 등을 진행하며 개인정보 보호의 날을 기념해 왔다. 팬데믹으로 지난 2~3년 동안은 웨비나 개최 혹은 성명서 발표 등으로 기념행사가 축소됐다.
하지만 올해로 19번째 생일을 맞은 개인정보 보호의 날을 기념하기 위해 독일, 벨기에, 이탈리아, 폴란드 등 여러 감독기관은 콘퍼런스와 세미나 등 오프라인 행사를 개최했다. 이들 행사에서 가장 열띤 논의가 펼쳐진 주제는 바로 AI였다.
2022년 11월 오픈 AI가 공개한 생성형 AI(Generative AI)인 챗GPT(GPT3.5)의 등장에 전 세계는 열광했다. 이후 글로벌 트렌드가 된 AI와 관련한 뉴스, 보고서 등이 매일 쏟아지고 있다. 이들 중에는 이러한 흐름에 합류하지 못하면 시장에서 한순간 도태될 것이라는 전망 역시 쉽게 찾아볼 수 있다. 이러한 이유로 IT뿐만 아니라 사회 모든 분야에서 AI 기술을 빠르게 도입하고 있으며, 이를 위한 투자 역시 확대되고 있다.
전 세계적 관심과 투자가 고조되는 가운데, AI 기술에 대한 경각심을 일깨우는 사건이 연이어 벌어지고 있다. 트럼프 전 미(美) 대통령이 성추문 입막음 혐의로 기소될 위기에 놓여있던 지난 2023년 3월, 그가 다수의 뉴욕 경찰에 쫓기고 수갑을 찬 채 연행되는 이미지가 ‘오늘 아침 트럼프가 맨해튼에서 체포됐다’라는 문구와 함께 SNS에 게시됐다. 게시글은 수많은 사람을 통해 공유되며, 진위도 확인하지 않은 채 기정사실화됐다. 이후 AP통신은 ‘해당 이미지는 조작된 딥페이크 이미지로, 트럼프 전 대통령은 체포되지 않았다’고 보도했다.
딥페이크는 딥러닝(Deep Learning)과 가짜(Fake)의 합성어로, 인공지능(AI)을 활용해 영상과 이미지, 음성 등을 합성하는 기술을 의미한다. 딥페이크는 비단 유명인만을 대상으로 하지 않는다. 지난 2월, 다국적 금융기업의 홍콩지사 직원이 딥페이크로 만들어진 가짜 화상회의에 속아 2억 홍콩달러(약 340억 원)를 사기당하는 일이 발생했다.
당시 화상회의에는 본사의 최고재무책임자(CFO)와 다수의 직원이 참석하고 있었는데, 이 모든 게 다 딥페이크로 조작된 것이었다. 엄청난 양의 데이터를 학습한 결과, 딥페이크는 더욱 정교한 이미지 등을 생성할 수 있게 된 것이다.
이러한 상황을 반영하듯, 이번 개인정보 보호의 날 행사에 참석한 전문가들은 AI 기술 발달이 가져올 긍정적인 변화를 전망하면서도 개인과 사회에 야기될 수 있는 피해를 우려하며, 신속한 대응 방안 마련을 주문했다.
EU와 미국, 영국은 ‘안전한 AI’를 목표로 각기 다른 AI 기술 규제 방안을 추진하고 있다. 먼저 EU는 세계 최초로 AI 법을 제정하면서 AI에 대한 글로벌 표준(global standard)을 제시했다. 미국은 행정명령을 통해 빅테크 기업을 위한 규제의 불확실성을 제거하고, 영세 AI 스타트업에게 규제 면제 혜택을 제공하는 등 자국의 AI 기술 보호와 성장에 초점을 맞추고 있다. 마지막으로 영국은 2023년 11월 세계 최초로 개최한 ‘AI 안전 정상회의(AI Safety Summit)’에서 한·미‧중 등 세계 28개국 및 EU와 함께, 안전한 AI를 위해 공동 대응 및 협력할 것을 다짐하는 ‘블레츨리 선언’을 채택했다.
이는 AI 안전과 관련한 국제사회의 첫 협력 선언이다. 이어 1차 회의 때 논의한 사항을 점검하는 차원에서 진행하는 2차 정상회의가 올해 5월 한국에서 개최할 예정이다.
이처럼 AI 기술에 대한 규제는 자국의 입장과 상황을 반영하는 만큼, 규제 간의 격차가 크다. 또한, 개인정보를 포함한 데이터 처리와 서비스 제공이 초국가적으로 이뤄지는 AI 환경에서는 개별 국가의 규제만으로는 한계가 있다. 때문에 글로벌 AI 개인정보 규범 마련을 위한 논의의 필요성이 지속해서 제기되고 있다.
글로벌 AI 개인정보 규범에는 기존 개인정보 보호법에서 수호하는 개인정보 보호 원칙을 AI 기술에 어떻게 적용할 것인지를 고민한 결과가 반영돼야 한다. 이와 동시에 안전하고 신뢰할 수 있는 이용 환경을 구축해 인류를 위한 AI 기술 발전과 혁신을 촉진해야 한다.
대한민국은 10여 년이 넘는 기간 동안 개인정보 보호법을 기반으로 높은 개인정보 보호 수준을 유지하고 있으며, 전 세계 오직 3개국만이 상용화하는 초거대 AI 언어모델(LLM)을 개발‧서비스할 정도로 높은 AI 기술 경쟁력을 보유하고 있다.
감히 단언컨대 대한민국이야말로 개인정보와 AI 기술에 대한 이해와 경험을 두루 갖춘 국가가 아닐까 싶다. 이렇게 풍부한 경험과 경쟁력을 바탕으로 앞으로 대한민국이 국제 논의에 적극적으로 참여하며, 새로운 디지털 시대의 질서 정립을 주도해 나가길 기대해 본다.
개인정보보호위원회와 한국인터넷진흥원은 독일 에슈본에 EU 개인정보 보호 협력센터를 설립(‘21.11.10.)해 우리 기업의 개인정보 보호 활동을 지원하고 있습니다. 해외 개인정보 보호와 관련한 자료를 이용하시는 분들의 편의를 위해 그동안 분산돼 있던 해외 개인정보 보호 관련 자료를 통합해 개인정보보호위원회 누리집에서 한 번에 제공하고 있습니다. EU를 비롯해 해외 각국의 개인정보 보호 관련 주요 정책, 법제‧개정 동향을 확인하실 수 있습니다. 많은 관심과 성원을 부탁드립니다. 감사합니다. ▶ 개인정보보호위원회 → 해외 개인정보 자료실 → 해외법령/지침, 동향 및 사례, 기타 https://www.pipc.go.kr/np/cop/bbs/selectBoardList.do?bbsId=BS271&mCode=D060030010 |