정부와 출입국자동심사시스템을 고도화하는 '인공지능 식별추적시스템 구축 사업'을 진행하는 인공지능(AI) 업체가 개인정보 침해 문제 가능성에 대해 "전혀 가능성이 있는 사안이 아니다"라고 입장을 밝혔다.
사업에 참가한 업체들은 일관되게 "기업 입장에선 개인정보를 열람하거나 소유할 수 있는 방법 및 권한이 전혀 없다"고 설명했다. 이번 사업이 수탁 기업 입장에서 개인정보를 함부로 열람하거나 외부로 반출할 수 있는 사안이 아니라는 내용이다.
이번 논란은 21일 법무부가 공항 자동출입국심사대를 통과하는 사람의 신원을 식별할 수 있는 'AI 식별 시스템 개발'을 추진하는 과정에서 내·외국인 얼굴 사진 등 1억 7000만여 건의 개인정보를 민간 AI 업체에 넘겼다는 언론보도가 나오면서 불거졌다. 해당 내용은 국회 법제사법위 소속 박주민 더불어민주당 의원이 과기정통부와 법무부에 제출받은 자료에서 나왔다.
해당 보도가 나오고 과기정통부는 국민과 외국인에 대한 정보를 수집·활용할 수 있는 법적 근거가 있고, 해당 정보를 민간기업이 함부로 열람·활용할 수 없도록 보호 조치를 취했다고 반박했다.
그렇다면 이번 사업에 참여한 민간업체의 입장은 어떨까? 이번 사업에는 4곳의 AI 업체가 참여한 것으로 알려졌다. 해당 기업에 문의를 해본 결과 기업 측은 공통적으로 "개인정보를 가져갈 수 있는 방법이 전혀 없다", "최근 개인정보 문제가 민감한 만큼, 이로 인해 발생한 오해로 보인다"고 답했다.
사업에 참가한 한 업체 관계자는 22일 기자와 전화통화에서 "이번 연구는 인천공항 데이터베이스(DB) 서버 내 공간과 상암동에 설치한 실증 랩(LAB)에서만 진행 된다"며 "이 시설에는 기업에서 출장 온 개발자가 개인정보를 함부로 열람하거나 가져갈 수 없도록 보안 조치가 취해져 개인정보를 보거나 반출할 수가 없다"고 말했다.
또 다른 업체 관계자는 "기술이 개발되면 법무부와 기업이 공동으로 소유해 개인정보가 노출될 수 있다고 염려하는 것 같은데 이는 AI와 해당 사업에 대한 이해가 부족해 발생한 오해가 아닐까 생각한다"며 "기술이 개발돼 해당 솔루션에 얼굴 인식결과가 남아도 사진이 아닌 비식별화된 정보만 남으므로 기업 입장에선 어떠한 개인정보도 알 수 없다"고 설명했다.
기업 측의 설명에 따르면, AI 식별 시스템은 공항에 위치한 랩과 상암동에 있는 랩에서만 이뤄진다. 연구를 위해선 개발자가 연구실에 상주해야 한다. 랩에는 개인이 개인정보에 함부로 접근하거나 외부로 반출할 수 없게끔 보안조치가 되어 있다. 연구해야 할 데이터 용량은 크지만, 보안조치로 1~2개 서버에서만 연구하도록 제약이 걸려 오히려 관련 사업 진행이 힘들다는 게 기업 관계자의 설명이다.
또 기업 측은 기술이 실증을 마쳐 지식재산권을 법무부와 공동 소유를 해도 개인정보에 대해서는 전혀 알 수 없다고 설명했다. 지식재산권에는 개인정보가 포함되지 않고, 관련 알고리즘만 가져오기 때문에 정보를 알 수 있는 방법이 전혀 없다고 밝혔다. 알고리즘에 얼굴 인식결과가 남아도 해당 정보는 얼굴이 아닌 '점'으로 표현된 비식별 정보만 남으므로 어떤 정보도 알 수 없다고 부연했다.
한 업체 관계자는 오히려 기업 입장에선 법무부와 기술을 공동 소유한다는 점에 불합리한 부분이 있다고 밝혔다. 법무부가 기업이 개발한 알고리즘과 소스코드 등을 모두 공동 소유하려고 하는데, 이 과정에서 기업이 가진 기술력을 모두 뺏길 수 있다는 것.
그는 "기업 입장에서는 80% 개발된 알고리즘을 법무부에서 받은 데이터로 90%로 높였을 뿐인데, 법무부가 기술 전체를 공동 소유로 가져가려고 해서 오히려 이 부분을 염려하고 있다"면서 "과기정통부가 이 문제를 중재해 해결하고 있어 상황을 지켜보고 있다"고 말했다.
한편, 이번 논란에 대해 과기정통부는 21일 해명자료를 내며 "법무부는 출입국 심사를 위해 출입국관리법 제3조, 제6조, 제12조의2조에 근거하여 안면이미지 등 국민과 외국인에 대한 정보(생체정보)를 수집·활용할 수 있는 법적 근거가 있다"며 "이는 개인정보보호법 제15조 제1항 제2호의 '법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우'에 해당된다고 반박했다.
또 "민간기업과 '개인정보위탁처리 계약서' 상에 개인정보의 목적 외 이용 금지, 민간기업의 재위탁 금지, 개인정보의 안전성 확보조치, 수탁자에 대한 관리·감독, 손해배상 책임 등을 구체적으로 명시했다"며 "얼굴 사진 등 개인정보는 법무부 소속기관(인천공항출입국·외국인청) 보안구역에 기술적 보안조치를 갖춘 실증랩 내에서 인공지능 학습만을 목적으로 수탁 업체가 접근해 사용할 수 있도록 개인정보 보호 조치를 취했다"고 해명했다.
정석윤 법무법인 원 변호사는 이번 사항에 대해 "시스템 개발은 법무부 주관으로 이뤄지는 것이고, AI 기업은 위탁업체로 참가하는 것이기 때문에 법무부가 개인정보를 제3자에게 제공했다고 보기 어렵다"며 "시스템을 개발하고 기술을 공동소유 한다고 해도 AI업체는 알고리즘에 대한 지식재산권을 가지는 것이고, 그 알고리즘에는 개인정보가 포함되지 않을 것이라는 법무부 설명이 타당해 보인다"고 말했다.
AI타임스 김동원 기자 goodtuna@aitimes.com
