□ 방송일시 : 2025년 9월 17일 (수)
□ 진행 : AI챗봇 “에어”
□ 보조진행: 김영민 아나운서
□ 출연 : 염흥열 순천향대 정보보호학과 명예교수
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
◇김영민 아나운서(이하 김영민): 기업과 정부는 AI 시대에 개인정보 보호를 약속했지만 현실에서는 해킹 사고가 끊이지 않으면서 시민들의 불안감은 오히려 커지고 있습니다. 이 복잡하고도 중요한 문제 국내 최고의 개인정보보호 전문가 순천향대학교 정보보호학과의 명예 교수이자 한국 개인정보 보호 책임자 협의회 회장이신 염흥열 교수와 함께 이야기 나눠보겠습니다. 전화로 연결돼 있습니다. 교수님, 안녕하세요.
◆염흥열 순천향대 정보보호학과 명예교수(이하 염흥열): 네, 안녕하세요. 반갑습니다.
◇김영민: 교수님 본격적으로 AI 시대의 개인 정보에 대한 이야기를 해볼까 합니다. 교수님께서 회장으로 계신 협의회에서 최근에 AI 프라이버시 공동 선언문을 발표를 하셨는데 일단 어떤 내용이 담겨 있는지를 알아봐야겠고 그리고 이 시점에 이 선언을 하신 이유와 배경에 대해서도 설명해 주시면 좋을 것 같습니다.
◆염흥열: 네, 최근 금융 통신 분야를 망라해서 국내 기업에서 사이버 침해 사고가 빈번히 발생하고 있습니다. 그리고 그로 인해서 또 대규모 개인정보 유출 사고가 잇따르고 있습니다. 그래서 치매 사고하고 개인 정보가 연계돼서 발생하고 있고요. 그런데 아시겠지만 인공지능이 전례 없는 속도로 발전하고 있고 모든 산업 부분에 급속하게 융합되고 재편되면서 그 파괴 효과가 개인의 일상과 사회 전 영역에 급속히 확산되고 있습니다. 이런 가운데 우리나라를 비롯해서 미국, 유럽연합 등 약 95개국의 148개 개인정보 감독기관이 참여하고 있는 최대 국제 개인정보감독기구 협의체인 글로벌 프라이버시 어셈블리(GPA) 제47차 정기총회가 어제부터 19일까지 현재 서울에서 개최되고 있습니다. 이번 서울 총회를 계기로 개인 정보 유출 사고가 빈번히 발생하는 것에 대한 방지를 마련하기 위해서 한국 CPO 협의회와 개인정보보호위원회는 개인정보보호 한국CPO 협의회 산하에 한 61개국 21개 주요 공공기관과 민간 기업 CPO가 참여하는 AI 프라이버시 공동 선언문을 발표하게 되었습니다. 인공지능 기술 혁신은 저는 개인 정보하고 같이 가야 된다고 생각합니다. 그래서 여러 가지 개인정보 강화 기술을 인공지능 시스템에 적용해서 인공지능 기술 혁신을 촉진해야 된다고 생각하고 있기에 이런 공동 선언문을 마련했습니다.
◇김영민: 주요 내용은 어떻습니까?
◆염흥열: 7대 강령으로 구성돼 있습니다. 주요 내용에는 첫 번째로 PET로 알려진 개인정보 강화 기술을 통해서 AI 기술 혁신을 촉진한다. 그리고 그를 통해서 산업 육성의 기반을 마련한다. 두 번째는 AI 혁신의 사회적 수용을 높이기 위해서 투명성을 확보한다.AI가 판단하는 그 과정이나 내용을 투명하게 알려준다는 얘기죠. 셋째 AI 프라이버시 리스크가 굉장히 많습니다. 그런 것들을 선제적으로 관리한다. 네 번째는 모두에게 공평한 AI 혜택을 보장하기 위해서 포용성을 증진한다. 누구든지 차별 없이 AI 혜택을 받자는 것입니다.
◇김영민: 그것도 너무 중요할 것 같아요.
◆염흥열: 네, 그리고 AI가 오남용 될 수 있습니다. 예를 들어서 그 가정용품을 이용해서 폭탄물을 만들었다는 정보에 대해 AI가 책임감 있게 행동하는 것은 아닙니다. 그래서 책임감 있는 AI 개발과 활용을 위한 법 준수 프라이버시 관련 법을 준수한다라는 게 다섯 번째고요. 여섯 번째는 신뢰 기반의 AI 생태계 발전을 위해서 모두 서로 협력을 강화한다. 그리고 CPO가 개인정보보호 책임자가 이 AI 프라이버시 거버넌스를 중심으로 해서 확립해야 되는 거버넌스를 확립한다는 그런 7개 행동 강령으로 구성돼 있습니다.
◇김영민: 하나같이 다 너무 중요한 내용들이라서 꼭꼭 씹어서 하나하나 설명을 해 주셨습니다. AI가 개인 정보를 탈취하는 용으로 쓰이는 게 아니라 개인 정보를 보호하는 용으로 기술이 발전될 필요가 있다는 이야기를 해 주셨는데요. 이렇게 선언을 하셨던 것과는 반대편에 또 같은 날에 애플 계정 해킹이 되면서 한 100만 원가량이 탈취됐다 이런 뉴스가 나오기도 했거든요. 실제로 선언한 것이 무색할 정도로 개인 정보 보안은 취약한 상황이라서 이용자들은 너무너무 불안에 떨고 있는데요. 이렇게 해킹 사고가 끊이지 않는 이유가 뭐라고 보세요?
◆염흥열: 한마디로 얘기해서 개인정보 유출 사고의 근본 원인은 해킹에 있습니다. 그러면은 해킹을 대응할 수 있는 대응 능력 해커의 공격 능력에 비해서 우리 기업의 대응 능력이 거기에 미치지 못한다고 볼 수 있습니다. 최근에 KT나 SKT의 사이버 침해 사고가 발생했고요. 그로 인해서 KT 같은 경우는 IMSI 정보가 유출이 됐고요. SKT 같은 경우는 유심 정보가 굉장히 많이 유출이 됐습니다. 따라서 개인 정보를 막는 것은 대부분 해킹 자체를 막는 것이 필요합니다. 그런데 문제는 최근에 해커들이 인공지능 기술을 활용해서 공격 능력을 고도화하고 있습니다. 예를 들어서 AI 기술을 활용해서 사람들이 속기 쉬운 스팸 메일을 제작하기도 하고요. 아니면 기존 백신 시스템이 악성 코드를 탐지해내는데요. 신종 변종을 이렇게 만들어서 그 탐지가 어렵게 만들고요. 결국은 이 공격 능력이 해커들이 AI 기술을 활용해서 공격 능력을 고도화 하고 있는 반면에 우리 기업의 대응 능력은 이러한 발전 속도를 따르지 못하고 있다고 보여집니다. 그래서 근본 원인이 거기에 있다고 생각합니다.
◇김영민: 개인적으로 궁금한 질문입니다만, 기업이 대응 능력이 조금 부족하면 기업이 얻을 수 있는 데이터의 양을 근본적으로 조금 제한하면 어떨까요? 그럼 너무 기업이 활용하기가 어려워지려나요?
◆염흥열: 아니요. 그게 사실은 PET이라는 즉 프라이버시 강화 기술이 그런 겁니다. 예를 들어서 가장 중요한 게 개인정보 처리자가 정보 주체로부터 개인 정보를 수집하는 양을 줄이고 그러면서도 똑같이 그 비즈니스 효과를 발생할 수 있다면 이 그만큼 수집되는 개인 정보의 양이 줄어들기 때문에 그게 유출이 되더라도 그래도 이 그 피해 규모를 이렇게 막을 수가 있습니다. 그게 사실은 우리 협의회가 최근에 개인정보보호위원회가 PET 프라이버시 강화 기술에 대한 연구 개발도 하고 그다음에 그런 것들을 인공지능 에서 또 활용해서 이렇게 데이터의 수집되는 양을 줄이면서도 이 비즈니스 효과를 극대화할 수 있는 기술 개발이 필요한 부분입니다. 대표적으로 예를 든다면 있잖아요. 보통은 인공지능이 학습할 때 중앙 집중적인 방법으로 학습을 합니다. 그런데 그런 것을 여러 디바이스에 나눠서 이렇게 학습을 하고 그 학습 결과만 중앙 서버에 이렇게 넘겨주는 연합 학습 미의 기능이 있습니다. 연합 학습이 대표적으로 PET 기술 즉 프라이버시 강화 기술인데요. 그렇게 되면 중앙 서버는 이렇게 정보를 학습된 결과만 이렇게 받을 수 있고요. 그 다음에 디바이스는 자기 스마트폰에 있거든요. 아니면 자율자동차 같은 그런 그 안에 있거든요. 거기서 데이터를 다 학습하고 그리고 결과만 이렇게 넘겨주기 때문에 그렇기 때문에 중앙 서버에 있는 데이터를 해킹하더라도 개인 정보가 거기는 없는 거죠. 데이터를 최소화로 주니까요. 그래서 그렇게 얘기할 수 있을 것 같습니다.
◇김영민: 네, 실제로 프라이버시 강화 기술을 통해서 정보는 적게 취하면서도 기업이 비즈니스 활동을 원활하게 해 나갈 수 있는 방향으로 그렇게 실제로 나아가고 있었군요. 궁금증 해결해 주셔서 감사합니다.
◆염흥열: 보통은 어떻게 얘기하냐면요, 개인정보를 보호하면서도 데이터를 활용하는 그런 두 가지 서로 상충되는 요구 사항을 만족할 수 있는 기술이라고 그렇게 볼 수 있습니다.
◇김영민: 정말 우리가 사는 세상의 기술력이 이렇게 빨리 변하고 있다는 사실에 놀라움을 금치 않을 수가 없습니다. 교수님, 최근에 한 보안 전문가가 AI 공격으로 25분이면 해킹이 완료된다, 이런 충격적인 경고를 하기도 했는데 앞으로의 AI 기술 발전 속도로 보면 이런 대규모의 해킹 사고는 지금보다 훨씬 더 많이 그리고 더 크게 발생할 수도 있을 것 같거든요. 기존의 보안 체계로 이게 감당이 될까요?
◆염흥열: 아니요, 감당이 안 됩니다. 기존의 보안 체계로는 감당이 안 돼서 결국은 공격하는 데도 AI 기술이 이용되고 있다면 수비하는 데도 AI 기술들이 활용돼야 됩니다. 결국은 공격을 위한 AI 대 수비를 위한 AI의 대결이라고 볼 수밖에 없습니다. 그 아까 지금 아나운서님이 말씀하셨던 25분 만에 이 해킹이 완료된다는 부분은 세계적인 사이버 보안 회사인 팔로알토의 아시아 지역 총괄 사장이 얘기한 부분인데요. 이게 단순한 과정이 아니라고 저는 생각합니다. 그만큼 해커들이 AI 기술들을 활용해서 정보 시스템의 취약점들을 빨리 알고 그다음에 우리가 비밀번호를 많이 활용하고 있는데요. AI 기술들을 이용해서 패스워드 비밀번호를 크래킹하고 그다음에 피싱을 하기에 적합한 콘텐츠를 만들고 그래서 이제 그렇게 하면은 빠른 시간 내에 공격이 완성된다는 얘기입니다. 그러면 대응하는 사람 입장에서는 25분 만에 공격이 완성되기 때문에 25분 만에 대응을 해야 된다는 얘기입니다. 그러면 그게 인간으로서는 한계가 있는 거거든요. 그래서 이제 AI를 기반으로 만들어서 이 공격을 미리 예측을 하고 그다음에 AI가 만들었던 악성 코드 변종을 효과적으로 신속하게 탐지하고 그다음에 기존의 수동적인 보안 체계에서 자동화된 보안 체계를 활용하고 그래서 공격 방어 기술 AI를 활용한 공격 방어 기술 그다음에 실시간 위협 탐지 대응 체계 프라이버시 강화 기술들을 도입해서 운영해야 된다고 생각합니다.
◇김영민: 그런 말 있잖아요, 해커가 나쁜 해커가 있고 화이트 해커가 있는 것처럼 세상이 더 발전하니까 ‘나쁜 AI와 화이트 AI가 싸우는 시대가 도래했다’ 이런 생각이 좀 드는 것 같아요. 요즘 정말 개인정보 유출 사고가 끊임없이 뉴스를 통해서 세상에 보도가 되고 있는데 교수님이 보시기에 우리 사회에 사이버 보안 시스템이 갖고 있는 가장 시급하게 해결해야 될 구조적인 문제점이 있다면 뭐가 있을까요?
◆염흥열: 네, 결국은 우리 사회가 지금 공격에 대해서 공격에 대해서 대응하는 체계가 미흡할 수밖에 없다라는 부분입니다. 그래서 왜 그러냐 하면 기업과 정부가 보안 시스템 도입에는 투자를 하지만요. 이거를 계속 운영하고 점검하고 업데이트 해 줘야 되는데 거기에 대해서 소홀히 하고 있고요. 그리고 기존의 장비가 노후화되고 있습니다. 노후화된 장비를 계속 새로운 장비로 이렇게 업데이트해 주는 그런 부분에 대해서 투자를 해 줘야 되는 부분이고요. 그리고 현재 정보보호 전문 인력들은 글로벌 차원에서 미 부족하다고 하고 생각 알려지고 있고 우리나라도 굉장히 부족한데 그나마 고급 인력들이 대기업이나 아무래도 대우가 좋은 대기업에 편중돼 있어서 중소기업 지방 공공기업 이런 부분에 대해서는 크게 전문 인력이 부족한 부분입니다. 그래서 국가 차원의 보안 거버넌스가 또 여러 군데 이렇게 분산되다 보니까 이게 사고가 이렇게 났을 때 효과적으로 바로 대응할 수 있는 초기 대응에 있어서도 어려움을 갖고 있습니다. 그래서 국가 전반의 이 사이버 대응 체계 고도화가 필요하다고 그렇게 생각합니다.
◇김영민: 국가 전반의 사이버 보안 대응 체계의 고도화가 필요하다. 사실 앞으로 개인 정보나 프라이버시에 대해서는 개인이나 기업을 넘어서서 국가 차원에서 대응할 필요가 있다라고 해석해 봐도 좋을까요?
◆염흥열: 네, 제가 가끔 언론에 얘기하고 있는데요. 이스라엘에 미사일을 막는 아이언돔 이라는 게 있지 않습니까? 그래서 이스라엘의 물리적 공간을 외부에 있는 미사일로 공격으로부터 이렇게 막는 하나의 안전 지역을 구축하는 거거든요. 그런데 우리나라가 사이버 공간이 이렇게 있고 그 사이버 공간에 여러 산업 부분이 있습니다. 구체적으로는 통신 부분 그다음에 금융 부분 에너지 그다음에 의료 부분. 그러면 각각의 산업 부분에 사이버 보안 체계가 첫째 잘 강화돼야 됩니다. 그리고 나서 우리나라를 사이버 공간의 방어 체계를 잘 만들려면 그 각각의 체계 내에서 서로 정보 공유도 해야죠. 왜 그러냐 하면 있잖아요. 해커는 악성 코드를 이렇게 한 곳에만 사용하지 않고 여러 군데 이렇게 공격하는 데 사용할 수가 있으니 그래서 미리 다른 산업 부문에서 어떤 악성 코드가 탐지가 됐다면 그걸 다른 산업 부문에 예를 들어서 넘겨주면 바로 그 공격에 오면 그걸 또 막을 수가 있습니다. 그래서 이렇게 그런 것들을 사이버 보안 조정 활동 또는 정보 공유 활동이라고 합니다. 그래서 그런 부분들을 우리나라의 안전한 사이버 돔을 구축하기 위해서 이 사이버 국가 사이버 보안 체계가 강화돼야 된다고 생각합니다.
◇김영민: 그러면 비슷한 맥락인데 질문을 조금 바꿔서 해볼게요, 개인정보 보호의 책임 주체가 개인과 기업 정보 중에 어디가 가장 무거울까요?
◆염흥열: 당연히 기업입니다. 왜 그러냐면 기업은 정보 주체의 개인 정보를 이용해서 비즈니스 활동을 영위하고 있습니다. 그래서 이제 그걸 통해서 정보 주체가 꼭 필요한 만큼의 정보를 최소한의 정보를 수집해서 그걸 처리해서 이 비즈니스를 통해서 이익을 얻고 있습니다. 그렇기 때문에 정보 주체가 제공한 개인 정보를 안전하게 관리하는 게 굉장히 중요합니다. 우리나라 개인정보보호법에서는 개인정보보호 안전성 조치라는 게 있습니다. 그래서 암호화를 해서 저장하라. 어떤 특수한 정보는 암호화해서 저장하라. 이 평문으로 저장했을 때는 해커가 공격하면 빼나가 버리면 완전히 정보가 유출되잖아요. 그리고 그 정보가 유출이 되게 되면 그다음에 추가적인 2차 피해나 이런 것들을 이렇게 받을 수 있잖아요. 대표적으로 KT의 소액 결제가 어떻게 이루어지고 있는 것인지는 조사가 필요하겠지만 하여튼 어떤 정보를 습득해서 다른 정보 다른 사이버 공격이나 아니면 사이버 사기에 이용하고 있거든요. 그래서 기업의 역할이 가장 큽니다. 그래서 기업은 이 정보 주체로서 수집되는 개인 정보를 안전하게 관리하는 책임이 있는 거고요. 유출이 되지 않게끔 하는 거고요. 정보 주체의 역할도 중요합니다. 왜 그러냐 하면 필요 없는 정보를 기업한테 줄 필요는 없습니다. 그래서 예를 들어서 필수 정보는 반드시 제공을 해줘야 될 되고요. 선택 정보는 이렇게 줄 필요가 없습니다. 그래서 그거를 최소화하는 그런 부분이 좀 필요할 것 같고요. 국가 사회는 국가의 역할도 굉장히 중요합니다. 기업이 그런 이 정보 주체로부터 수집된 개인 정보를 안전하게 관리할 수 있게 하고 그다음에 만약에 유출이 됐을 때는 적정하게 피해 보상도 하고 그다음에 재발 방지도 할 수 있는 그런 법 제도를 운영할 필요가 있습니다. 그게 우리나라에서는 개인정보보호법에 근거해서 개인정보보호위원회가 하고 있는 역할이라고 봅니다.
◇김영민: 개인과 기업 정부 모두가 각각의 책임과 역할이 있지만 가장 핵심적으로는 기업이 개인 정보를 관리하고 보안을 강화하는 데 있어서 가장 큰 책임을 가지고 있다는 이야기를 해 주셨습니다. 사실 기업과 정부의 노력 물론 너무너무 중요하지만 앞서서 개인이 선택 정보는 제공하지 않는 등 주의를 기울일 필요가 있다 이런 이야기도 해 주셨거든요.AI 시대에 개인이 자신의 개인 정보를 지키기 위해서 반드시 실천해야 하는 그런 습관이나 행동 강령들이 있다면 뭐가 있을까요?
◆염흥열: 굉장히 중요한 부분이고요. 개인 정보를 보호하기 위해서는 개인이 지켜야 될 몇 가지 기본 수칙이라는 게 있습니다. 그래서 아까도 제가 얘기했다시피 첫 번째로 개인 정보는 최소한으로 제공해야합니다. 그래서 앱이나 서비스에 가입할 때는 꼭 필요한 정보만 입력하고 그다음에 소셜 로그인 등을 사용할 때도 제3자에게 어떻게 제공되는지를 확인해서 불필요한 항목들 제공한 항목들을 해제하는 게 바람직합니다. 특히 사진, 음성, 위치 정보와 같은 민감성이 있는 데이터는 더욱 신중하게 제공해야 됩니다. 둘째는 이 AI 서비스를 이용할 때는 개인정보 보호에 특히 유의해야 됩니다. 왜 그러냐면 챗봇, 번역기, 이미지 생성기와 같은 서비스에는 혹시 주민등록번호랄지 아니면 계좌번호 번호랄지 아니면 건강 정보랄지 민감한 정보 절대로 입력하면 안 됩니다. 예를 들어서 저는 그렇게 하고 있거든요. 어떤 특정한 사람 이름을 넣을 때는 존이라는 이름처럼 일반화 한다든지 아니면 홍길동이랄지 이렇게 바꿔서 이 AI가 그거를 처리할 때 이 처리하고 나서 그다음에 그거를 이렇게 그 정보를 또 다시 이렇게 출력해 주는 그런 위험을 막을 수가 있고요. 셋째는 아까도 얘기했다시피 개인기기에 대한 보안을 강화할 필요성이 있습니다. 그래서 스마트폰이랄지 PC에서는 항상 최신 보안 업데이트를 적용하고 강력한 비밀번호를 설정할 필요성이 있습니다. 그리고 필요에 따라서는 서비스 사용자가 2단계 인증을 제공하게 되면 1단계 인증은 비밀번호로 하되 2단계 인증은 OTP나 SMS 문자 인증을 한다면 그걸 적극적으로 활용할 필요성이 있습니다.
◇김영민: 네, 오늘 정말 많은 것을 배워갑니다. 지금까지 순천향대 정보보호학과 염흥열 명예교수와 함께했습니다. 고맙습니다.
[저작권자(c) YTN radio 무단전재, 재배포 및 AI 데이터 활용 금지]