오픈AI가 출시한 '챗GPT(chat Generative Pre-trained Transformer)'의 이용자가 빠르게 늘고 있는 가운데, 챗GPT가 정보주체 등에게 허락을 받지 않고 개인정보 등을 수집하는 점이 논란이 되고 있다. EU 등 주요 국가들은 개인정보 무단 수집과 활용 금지를 논의하고 있으며, 이러한 분위기가 전 세계로 확대되고 있다.

우리나라에서도 챗GPT의 개인정보 수집 및 정보 유출을 우려하면서, 정부가 개인정보 무단 수집에 대한 규제 등을 마련할 필요가 있다는 목소리가 높아지고 있다.

유럽 등 국가에서 챗GPT로 인한 개인정보 유출을 막기 위해 즉각 조치에 나섰다.

이탈리아 데이터보호청은 지난달 31일(현지시간) 이탈리아 내 챗GPT 접속을 차단하고, 유럽연합(EU)의 개인정보보호규정(GDPR) 준수 여부를 조사한다고 밝혔다. 플랫폼 운영의 기초가 되는 알고리즘을 '훈련시킬 목적'으로 개인 데이터의 대량 수집 및 저장을 정당화하는 법적 근거가 없다고 판단했기 때문이다.

이탈리아에서는 GDPR에 따라 △개인정보를 수집했다는 사실을 사용자에게 알리지 않은 점 △정확하지 않은 개인정보를 제공할 수 있다는 점 △알고리즘 학습을 위해 개인정보를 수집하는 법적 근거를 제시하지 않은 점 △챗GPT의 콘텐츠가 13세 이상 사용자를 대상으로 하고 18세 미만은 부모 동의가 필요한데도 사용자에게 연령 확인을 요구하지 않는 점 등에 문제가 있다고 지적했다.

2018년 5월 25일부터 시행된 GDPR은 상업적 이익보다는 개인 데이터 보호에 중점을 뒀다. EU에서 운영되는 조직·기업이나 EU국민의 개인정보를 처리하는 조직·기업은 GDPR 규정을 예외없이 준수해야 한다.

이탈리아 당국은 오픈AI가 20일까지 관련 대책을 마련하지 않으면, 벌금을 부과할 방침이다. 벌금 규모는 2000만 유로(약 287억 원) 또는 전 세계 매출액의 4%가 될 전망이다.

프랑스, 아일랜드, 독일 등 국가들도 챗GPT의 개인정보 무단 수집 및 활용에 대한 조사 및 사용 금지를 검토 중이다. 유럽 소비자 기구(BEUC)는 주요 AI 챗봇을 조사할 것을 요구했으며, EU 집행위원회는 AI와 관련한 법령 마련을 논의 중이다. 다만 스웨덴은 챗GPT 사용에 대한 제재를 하지 않은 것으로 알려졌다.

캐나다 프라이버시위원회 역시 4일 "챗GPT가 사용자 동의 없이 개인정보를 수입·사용·공개했다"는 진정서를 받고 오픈AI에 대한 조사를 시작했다.

미국 상무부는 11일 챗GPT와 같이 유해한 정보를 유포하는 등 잠재적인 위험성을 지닌 AI모델이 출시되기 전 인증 과정이 필요한지 규정 마련을 위한 검토를 시작했다. 이 검토는 시민단체 등과 함께 60일간 진행될 예정이다.

개인정보 무단 이용에 따른 문제가 계속해서 지적되자, 오픈AI는 5일 블로그를 통해 "챗GPT에 대한 교육 데이터에서 개인정보를 제거하고 시스템에서 개인정보를 삭제하라는 개인의 요청에 응답하기 위해 노력하고 있다"며 "이러한 단계를 거쳐 개인정보를 포함하는 응답을 생성할 가능성을 최소화 하고 있다"고 밝혔다.

국내외 기업들도 챗GPT 사용을 자제하는 추세다. 삼성전자 DS에서는 챗GPT에 사내 정보를 공유하는 일이 몇 차례 발생한 것으로 알려졌다. 이에 각 부서 팀장들은 챗GPT 활용 범위를 교육하는 등 조치를 취하고 있다. 포스코는 내부 인트라넷을 통해서만 챗GPT를 활용하도록 했으며, SK하이닉스는 원칙적으로 챗GPT 사용을 제한하되 필요하면 허가를 받아 이용하는 방식을 채택했다.

해외에서도 뱅크오브아메리카, 골드만삭스, JP모건 등 다수의 금융회사들이 챗GPT 사용을 전면 금지하거나 일부 제한하고 있다. 일본에서도 소프트뱅크, 미즈호파이낸셜그룹, 미쓰비시UFJ은행, 미쓰이스미토모은행 등이 업무에 챗GPT 등 대화형 AI를 활용하지 못하도록 했다.

국내 로펌들은 챗GPT를 활용하기보다는 로펌 자체적으로 AI를 활용한 프로그램 등을 개발해 사용하고 있다. 업무의 효율성은 높이면서 개인정보 노출 위험성은 줄이기 위한 취지다. 챗GPT를 사용하더라도 고객정보 등 기밀을 입력하지 않는 범위 내에서 활용하는 등 보안에 유의하고 있다.

법무법인 광장(대표변호사 김상곤)은 지난 2월 챗GPT를 통한 업무 효율성 증대 가능성, 그 활용방법과 한계에 대한 기준을 정립하기 위해 'ChatGPT TF'를 구성했다. TF는 고객 정보 노출과 환각(Hallucination, 거짓 정보를 사실처럼 제공) 현상의 극복 가능 여부를 우선 해결해야 한다고 보고, 가이드라인을 마련해 고객정보가 노출되는 일을 방지하고 있다.

또 분야별, 문서유형별 맞춤형 번역 솔루션을 구축하는 작업도 마무리 단계에 있다. 광장은 번역 솔루션이 완성되면 번역 업무에 소요되는 시간을 단축하고 번역의 정확성이 높아질 것으로 전망하고 있다.

법무법인 태평양(대표변호사 서동우)은 챗GPT를 활용 중인 업무는 없으나, 로펌 업무에 대한 AI 기술의 활용방안을 AI팀 및 TMT 분야 전문가들과 함께 검토 중이다.

2021년 11월부터는 로봇 업무 자동화(RPA) 솔루션을 도입해서 로펌에서 일상적으로 이뤄지는 각종 문서 조회 및 서류발급 등에 활용하고 있다. 지난해 6월에는 영미계 유수 로펌인 레이텀 앤 왓킨스와 프레스필즈에서 이용 중인 AI전문번역툴 '트라도스'를 도입해 번역 업무에 이용하고 있다.

법무법인 율촌(대표변호사 강석훈)은 리걸테크 연구개발팀 'eYulchon team'을 통해 법률 어플리케이션을 개발해왔다. 이 팀은 미국 AI 개발자들, MIT, 영국 로펌 등과 협업해 챗GPT의 결함을 극복하면서 업무에 도움이 되는 어플리케이션을 만들기 위해 논의 중이다.

율촌이 보유한 리걸테크 솔루션에는 △제약회사 영업담당자의 리베이트 관련 규정 준수 여부를 판단해주는 앱 ‘Sunshine Act eCompliance’ △상표모니터링 서비스 앱 △국제 건설분쟁에서 계약 위반 리스크를 사전에 진단하고 대책을 세울 수 있도록 돕는 프로그램 ‘Project Genie’ △조세자문 앱 ‘Treaty Finder i7’ △해외 왕래가 잦은 투자자들이나 기업인들의 거주자성 판단에 도움을 주는 앱 ‘Tax Residency Assessment’ 등이 있다.

법무법인 세종(대표변호사 오종한)은 챗GPT를 업무에 활용하기 위해서는 정보 보안 및 그 활용 방법에 대한 엄격한 규준이 필요하다고 보고, 활용 방안을 검토하고 있다.

현재 세종은 AI 기반 번역 솔루션, 문서 관리 시스템 구축을 추진하는 등 첨단 AI 기술을 도입하고자 노력 중이다.

법무법인 화우(대표변호사 정진수)는 판례 검색과 같은 일부 범위에서만 챗GPT를 활용 중이다. 다만 △고객 기밀 사항 △개인정보 △ 화우가 관리하는 내부 정보 △프로그램 소스코드 등의 개인정보 입력을 금지하고, 챗GPT가 내놓은 의견에 대해서는 반드시 출처를 확인하고 검증하는 작업을 거치고 있다.

법률전문가들은 챗GPT가 개인정보를 무단 수집하면 추후 문제가 발생할 위험성이 높고, 회사 기밀을 유출하는 경우에는 형사처벌까지 받게 될 수 있으니 주의할 필요가 있다고 목소리를 높였다. 또 이러한 위험을 막기 위해 정부에서는 신속하게 가이드라인을 마련해야 한다고 강조했다.

개인정보전문가협회 회장을 맡고 있는 최경진 가천대 법대 교수는 "챗GPT 등으로 기밀이 유출되면 정보의 성격에 따라 산업기밀유출방지법 등 위반으로 처벌되는 등 제재를 받게 될 것"이라며 "데이터를 입력을 못하게 하는 문제가 아니라 애초에 지켜야 하는 데이터를 조직 밖으로 나가지 못하도록 하는 게 핵심"이라고 설명했다.

이어 "마이크로소프트의 차세대 AI 비서 '코파일럿(Copilot)' 등 다른 툴에 챗GPT가 연계될 가능성이 높다"며 "회사에서 AI툴을 사용하더라도 정보 입력 범위를 어디까지로 설정해야 할지 논란이 있을 것"이라고 전망했다.

그러면서 "결국 기업에서는 외부 네트워크가 차단된 형태로 내 서버에서 정보가 넘어가지 못하도록 하는 맞춤형 서비스를 개발하는 등 조치를 취하게 될 것"이라며 "사람들이 (개인정보 보호에 대한) 의식할 수 있도록 기본적인 가이드라인 마련도 필요하다"고 밝혔다.

박민규(변호사시험 4회) 회사법 전문변호사는 "부정한 이익을 얻거나 비밀보유자인 회사에 손해를 가할 목적이 없더라도 챗GPT에 회사 영업비밀을 무단 반출하면 업무상 배임에 해당할 수 있다"며 "이러한 경우 10년 이하 징역 또는 3000만원 이하의 벌금에 처하도록 규정하고 있으므로 챗GPT 사용에 주의가 필요하다"고 지적했다.

이어 "챗GPT의 발전속도를 법과 제도의 개정으로 따라잡기는 어려울 것"이라며 "포괄적인 내용을 완벽하게 담은 법과 제도의 개선을 하기보다는 우선 선의의 피해자가 생기지 않도록 순차적으로 조속하게 법 개정을 해야 한다"고 주장했다.

그러면서 "기술의 자유로운 사용을 제한하지 않되, 챗GPT 사용을 통해 회사나 정부가 불측의 손해를 입지 않도록 관련된 행위에 대한 제한이 필요하다"고 밝혔다.

최재원(변시 3회) 변호사는 "아무런 보안 툴 없이 전반적인 정보를 모두 수집해서 학습시키는 방식은 상당히 위험하다"며 "챗GPT 등에 기업 기밀이 학습돼 있으면 학습된 대로 결과가 나오고 제3자가 '원본을 보여달라' '출처를 알려달라'는 등의 질문을 하면 답을 받을 수도 있다"고 지적했다.

이어 "만약 변호사가 수임 받은 사건 내용을 입력하고 '준비서면을 만들어줘'라고 하면 모든 정보는 이미 공유된 후"라며 "기본적으로 민감한 개인정보를 바탕으로 한 법률상담이 학습되면 향후 큰 문제를 불러일으킬 수 있다"고 예측했다.

또 최 변호사는 "법조계에서도 법률플랫폼이 판결문이 아니라 사실관계가 담긴 상담 내용 자체를 ‘약관 포괄동의’를 통해 수집하고 있어(상단 이미지 참고) 챗GPT 논란과 유사한 문제가 발생할 수 있다"고 우려했다.

한편 정부는 아직 챗GPT 활용에 대한 가이드라인을 마련하지 못한 상황이다.

고학수 개인정보위원회 위원장은 3일(현지시간) 워싱턴DC에서 열린 특파원 간담회에서 챗GPT 유료회원 정보 노출과 관련하여 “한국 이용자 정보가 공개됐는지, 어떤 식으로 한국 데이터가 챗GPT 학습데이터에 반영됐는지 확인하는 중”이라고 밝힌 바 있다.

우리나라에서는 6일 국정현안관계장관회의에서 ‘AI 경쟁력 강화 방안’을 비공개로 논의했으며, 과학기술정보통신부가 이번 주 중으로 AI 윤리 정책을 포함한 논의 결과를 발표할 예정이다.

/임혜령 기자