최근 통신사를 비롯한 여러 기업에서 해킹으로 인한 대량의 개인정보 유출이 발생하면서 국민들의 불안이 가중되고 있다. 이런 불안을 해소하기 위해 정부는 더욱 강력한 개인정보보호법 집행을 예고하고 있다. 그러나 인공지능(AI) 시대의 프라이버시 위협은 단순히 해킹으로 인한 개인정보 유출과 같은 수동적 피해에 그치지 않고, 알고리즘에 의한 예측, 추론, 차별 등 개인이 통제할 수 없는 능동적 피해로 변화하고 있으며, 이에 따라 사전 동의, 데이터 최소 수집 등 개인정보보호 규제 원칙의 효용성이 점차 약화되고 있다.
◇프라이버시 위협을 초래하는 AI 신기술
새로운 프라이버시 위협을 초래하는 신기술로는 첫째 딥페이크(deepfake)가 있다. 이는 AI를 활용해 실제와 거의 구분하기 힘들 정도로 정교한 가짜 사진·영상을 만들어내는 기술이다. 이는 창작 등의 영역에서 긍정적으로 활용되지만, 연예인, 정치인 등 유명인의 신체를 무단 도용해 성착취물을 제작·유포하거나 선거 국면에서 허위 영상을 만드는데 악용되고 있다. 이는 프라이버시 침해를 넘어 인격 자체에 대한 도용이 이루어진다는 점에서 피해의 심각성이 있다. 또한 딥페이크는 눈으로 본 것은 믿을 수 있다는 사회적 신뢰를 파괴한다. 나아가 가짜뉴스로 인한 정보 불신은 민주주의의 기반까지 흔들 수 있다.
이에 대한 대응으로는 불법 합성물에 대해 형사처벌을 강화함과 동시에 플랫폼 사업자의 모니터링, 삭제 의무를 부과하고 워터마크 등 원본 인증 기술 도입을 의무화해야 할 것이다. 작년 12월 제정된 AI 기본법은 콘텐츠 게재 시 AI 생성물 표시를 의무화하고 있으며, 개인정보보호위원회는 개인정보보호법에 딥페이크 기술을 악용한 합성 콘텐츠에 대해 정보 주체가 직접 삭제를 요구할 수 있는 권리 도입을 추진 중이다.
둘째, 보이스 피싱(voice phishing)이다. 이는 전기통신을 이용하여 타인을 기망, 공갈함으로써 재산상의 이익을 취하거나 제3자에게 재산상의 이익을 취하게 하는 행위이다. 최근 AI 기술의 발전에 따라 보이스 피싱의 수단으로 딥보이스(deep voice)가 이용되고 있다. 이는 특정인의 목소리 데이터를 학습하여 실제 발화하지 않은 내용을 합성하는 기술이다. 가족, 지인 등 특정인의 목소리를 모방하여 금전적 이득을 얻거나 기밀 정보를 유출하는 데 사용된다. 이는 생체정보를 악용하여 경제적 피해까지 야기한다는 점에서 심각성이 있다.
이에 대해서도 AI 생성 음성임을 고지하도록 하는 투명성 규제나 딥보이스를 이용한 범죄에 대한 처벌을 강화해야 한다. 나아가 AI 기반 탐지 기술을 이용해 보이스 피싱을 차단하는 것도 중요하다. 개인정보보호위원회는 KT, LG유플러스가 자사 가입자의 전화 수발신 내역 데이터를 활용해 보이스피싱 의심 번호를 예측하고 이를 금융사의 이상 거래 탐지·차단에 이용하는 서비스를 출시하기 위한 사전적정성 검토를 승인한 바 있다.
셋째, 프로파일링(profiling)이다. 이는 개인의 온라인 행태 등 빅데이터를 기반으로 개인의 특성, 행동, 성향 등을 분석하고 분류하는 자동화된 과정으로, 맞춤형 광고, 신용평가 등에서 광범위하게 사용되고 있다. 문제는 이용자가 자신의 데이터가 어떻게 결합·분석되어 사용되는지 알 수 없다는 점이다. 나아가 프로파일링은 특정 개인이나 그룹에 대해 편향된 판단을 내릴 수 있다. 예컨대 아마존의 채용 알고리즘이 과거 남성 중심의 데이터로 학습되어 여성 지원자를 차별한 사례가 있었다. 이처럼 프로파일링 과정에서 알고리즘 편향은 개인의 삶에 대한 자기 통제권을 침해한다.
최근 문제가 되는 맞춤형 광고는 소비자에게는 관심 없는 광고에 노출되지 않는 편리함을 주지만, 개인의 온라인 활동 정보를 수집하고 분석하는 과정에서 프라이버시를 침해할 수 있다. 그렇다고 이에 대해 사전 동의를 강제하는 것은 기술혁신과 시장 성장에 방해가 되며, 구독 모델 도입으로 인해 이용자 부담이 늘어날 수도 있다는 점을 유의해야 한다.
맞춤형 광고를 포함한 프로파일링 규제의 방향은 기업이 어떤 정보를 수집하는지, 어떻게 활용하는지, 그리고 어떤 목적으로 사용하는지를 이용자가 알 수 있도록 공개하는 것이다. 이를 통해 이용자는 자신의 정보가 어떻게 사용되는지 파악하고, 불필요한 정보 제공을 거부하거나 수정할 수 있는 권리를 행사할 수 있다.
넷째, 스마트홈 및 IoT(사물 인터넷)이다. 이는 가정 내 기기들이 상호 연결되어 데이터를 주고받으며 자동화된 서비스를 제공하는 것인데, 이를 통해 이용자의 생활 패턴 전반에 대한 상시적인 데이터를 수집한다. 이의 대표적 프라이버시 위험은 보안 취약점을 악용한 해킹이다. 2022년 한국에서 발생한 '월패드 해킹 사건'은 카메라가 달린 월패드가 해킹되어 아파트 가구 내부 영상이 유출된 사례이다. 문제는 이용자가 매 순간 발생하는 모든 데이터 전송에 일일이 사전 동의를 하는 것이 불가능하다는 것이다. 결국 포괄적 동의만이 가능하며 이는 개인정보자기결정권 침해가 될 수 있다. 대안으로는 기기 개발 단계부터 보안 취약점 점검을 의무화하고, 데이터 전송 시 암호화를 철저히 적용하는 것이다. 한국 정부도 이를 추진하고 있다.
다섯째, 안면인식 기술이다. 이는 이미지나 영상을 기반으로 개인의 얼굴 특징을 분석하여 신원을 식별하는 기술인데, 금융 거래나 범죄 수사 등 다양한 분야에 활용된다. 신원 확인 목적으로는 높은 정확성과 편의성을 제공하지만, 대규모 식별 목적으로 활용될 경우 심각한 프라이버시 침해를 야기할 수 있다. 2020년 미국의 클리어뷰 AI는 구글, 페이스북, 유튜브를 비롯한 소셜 미디어 플랫폼과 웹사이트에서 수십억 개의 사진을 무단으로 스크랩하여 거대한 안면 인식 데이터베이스를 구축하고 이를 주로 법 집행 기관에 판매했는데, 비록 공개된 정보이지만 정보주체의 동의가 없다는 것이 문제가 됐다. 안면인식과 같은 생체데이터는 비밀번호와 달리 유출 시 변경할 수 없기 때문에, 단 한 번 유출로도 영구적인 피해를 가져온다.
또, 감시로 이어질 수 있는 공공 영역에서의 무차별적인 실시간 안면인식 기술 사용은 엄격히 제한되어야 한다. EU 인공지능법은 이를 금지되는 AI로 규정했다. 개인정보보호위원회는 불특정 다수가 촬영되어 사전 동의가 곤란한 영상정보의 특수성을 고려해 '영상정보처리기기 설치·운영 등에 관한 법률(가칭)' 제정을 추진 중이다.
◇AI 신기술 부작용 막는 대안은
살펴본 바와 같이 AI 등의 신기술이 적용되면서 사전 동의는 비현실적이고 비효율적일 수 밖에 없다. 수많은 데이터가 실시간으로 생성·결합되는 상황에서 이용자가 일일이 동의 여부를 판단할 수 없으며, 더욱이 이용자는 서비스 이용을 위해 형식적 동의를 할 수밖에 없어 이런동의는 기업들에게 면죄부가 될 뿐 실질적 프라이버시 보호 기능을 하지 못한다. 또한 AI 등 신기술에 의한 프라이버시 침해는 회복 불가능한 영상정보 침해, 대규모 감시, 경제적 피해로의 확대 등 어느 때보다 심각한 상황이다.
이에 대한 대안으로 첫째, 데이터 보호에 관한 국가책임제를 고려할 수 있다. 어차피 정보주체는 깨알 같은 동의 문구를 인식하고 동의를 할 수 없는 이상 국가가 개인정보처리방침의 적법성과 적정성을 심사하고 나아가 개인정보처리실태도 점검함으로써 국가가 기업의 개인정보처리의 안전성과 신뢰성을 보장하는 방안이다. 실제 업무 수행은 협회 등에 위탁하는 자율규제 모델을 고려할 수 있다.
둘째, 프라이버시 중심 설계(Privacy by Design, PbD)의 의무화다. PbD는 서비스나 기술 개발의 가장 초기 단계부터 프라이버시 보호를 시스템 설계에 내재화하는 접근 방식으로 데이터 최소화, 목적 제한, 보안 내장 등을 시스템 아키텍처 차원에서 구현하는 것이다. 이를 통해 프라이버시 침해를 사고 후 수습이 아닌 사전 예방의 관점에서 접근할 수 있다. EU의 GDPR(일반 데이터 보호 규정) 제25조는 '기본 설정에 의한 데이터 보호(Privacy by default)'를 명시하고 있고, 개인정보보호위원회도 이의 법정 인증화를 추진하고 있다.
셋째, 프라이버시 강화 기술(Privacy-Enhancing Technologies, PETs)의 도입이다. 이는 데이터를 암호화하거나 난독화한 상태에서도 분석, 처리, 활용이 가능하도록 함으로써 데이터 활용과 프라이버시 보호를 동시에 가능하게 한다. 동형 암호, 차분 프라이버시, 연합 학습 방법 등이 있는데, 향후 이의 도입을 적극적으로 유도하거나 일정 규모 이상 기업에 의무화하는 것을 고려할 수 있을 것이다.
결론적으로 AI 기술의 발전이 가속화되면 기존 사전 동의에 기반한 개인정보보호 제도는 더 이상 실효성을 담보하기 어려운 상황인데, 프라이버시 침해로 인한 피해는 어느 때보다 심각한 상황이다. 이에 향후 프라이버시 보호의 패러다임을 기술적 접근을 통한 사전 예방과 국가의 적극적 개입을 통한 실질적 보호라는 두 축으로 변경하는 것이 필요하다.
이성엽 고려대 기술경영전문대학원 교수·기술법정책센터장 dysylee@korea.ac.kr
고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 졸업한 후 미국 뉴욕주 변호사 자격을 취득했고, 서울대에서 법학박사 학위를 받았으며 하버드 로스쿨 방문학자를 거쳤다. 1991년 제35회 행정고시 출신으로 정보통신부, 국무조정실과 김앤장 법률사무소를 거쳐 고려대 기술경영전문대학원 교수로 재직 중이다. 한국데이터법정책학회장, 한국공법학회 부회장, 플랫폼법정책학회 부회장을 맡고 있고 고려대 기술법정책센터장/데이터·AI법센터 대표를 겸하고 있으며, 국가데이터정책위원회 위원, 개인정보보호위원회 규제심사위원장 및 범정부 마이데이터협의회 위원으로 활동하고 있다. 행정 경험과 법률 실무를 기반으로 행정규제, 방송, 통신, 인터넷, 개인정보, 데이터·AI 분야 법과 정책에 정통한 권위자이다.
박지성 기자 jisung@etnews.com
![[로터리] 아무도 책임 안 지는 금융권](https://newsimg.sedaily.com/2025/08/25/2GWRGD2ATE_1.png)
![[동십자각] 깜깜이 AI 기본법, 속 타는 기업들](https://newsimg.sedaily.com/2025/08/24/2GWR1XW740_1.jpg)