[권기원 칼럼] 생성형 AI 서비스 개인정보 보호 가이드 활용법

[권기원 법무법인(유한) 대륙아주 입법지원실장]

 

최근 챗GPT(ChatGPT), 제미나이(Gemini), 클로드(Claude) 등 생성형 AI 서비스의 활용이 급격히 늘어나면서 관련 법·제도 정비도 속도를 내고 있다.

이에 따라 '인공지능 발전과 신뢰 기반 조성 등에 관한 기본법' (인공지능기본법) 이 올해 1월 22일 시행되었으며, 후속 개정 법령도 잇따라 마련되고 있다.

정부는 개정 법률의 본격 시행일인 2026년 7월 21일을 앞두고, 법률에서 위임한 세부 사항을 규정하기 위한 인공지능기본법 시행령 개정안을 마련했다. 해당 개정안은 5월 21일 입법예고를 통해 국민 의견을 수렴하는 절차를 거쳤다.

이러한 변화에 발맞춰 개인정보보호위원회는 2026년 5월 19일 '생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드'를 발간했다. 가이드의 핵심은 많은 이용자가 궁금해하는 질문인 '내가 AI에 입력한 프롬프트 속 개인정보는 안전할까?'에 대한 답을 제공하는 데 있다.

추진경과

개인정보보호위원회가 그동안 기업과 기관의 책임 강화와 제도 정비에 주력해 왔다면, 이번 가이드는 생성형 AI 시대의 핵심 주체인 ‘이용자’의 AI 문해력(AI 리터러시) 향상에 초점을 맞췄다. 복잡한 AI 서비스 환경에서 자신의 개인정보가 어떻게 활용되는지 이해하고, 필요한 설정을 직접 선택·관리할 수 있을 때 사회 전반의 프라이버시 보호 수준도 실질적으로 높아질 수 있다는 취지다.

이번 가이드는 데이터 수집부터 AI 학습, 서비스 이용에 이르기까지 개인정보 처리 과정을 한눈에 이해할 수 있도록 구성됐다. 특히 생성형 AI 환경에서 개인정보가 처리되는 주요 이슈 8가지를 시각적으로 설명해 이용자의 이해를 돕는다. 또한 학습 활용 거부(Opt-out) 기능과 대화 기록 저장·삭제 설정 등 이용자가 직접 확인하고 통제할 수 있는 주요 기능도 함께 안내한다.

개인정보보호위원회는 이번 가이드 발간을 통해 국민들이 생성형 AI 서비스 이용 과정에서 발생할 수 있는 개인정보 침해 위험을 스스로 점검하고 예방함으로써, 생성형 AI 활용에 대한 불안감을 줄일 수 있을 것으로 기대하고 있다. 아울러 기업과 개발자에게도 이용자들의 우려와 요구를 파악하고 서비스 설계에 반영할 수 있는 참고자료가 될 것으로 보고 있다.

이번 가이드는 생성형 AI가 문서 작성, 정보 검색, 일정 관리 등 업무 영역은 물론 일상생활 전반에 폭넓게 활용되는 상황에서 마련됐다. 이용자가 자신이 입력한 정보가 어떤 방식으로 처리되는지 이해하고, 필요한 경우 이를 스스로 통제할 수 있도록 지원하는 것이 핵심 목적이다.

한편, 올해 초 인공지능기본법 시행을 전후해 '고영향 인공지능 판단 가이드라인', '인공지능 투명성 확보 가이드라인'이 발표됐으며, '가명정보 처리 가이드라인'도 추가 개정을 거쳐 새롭게 공개됐다.

가이드의 주요 내용

첫째, 입력 데이터의 학습 활용과 관련하여, 이번 가이드는 이용자가 입력한 질문, 파일, 이미지, 음성 등이 모델 개선을 위한 학습에 활용될 수 있으나, 이는 서비스마다 다르고 같은 서비스라도 설정에 따라 달라질 수 있다고 설명하고 있다. 따라서 이용자에게 이용 전 서비스별 정책을 통해 입력 데이터의 학습활용 여부를 확인하고 원치 않으면 제한 설정을 할 것을, 그리고 주민등록번호·여권번호·계좌번호 등 중요한 정보는 입력하지 않을 것을 권고하고 있다.

둘째, 대화 기록 삭제의 의미와 한계와 관련하여, 이용자가 대화 기록 ‘삭제’ 버튼을 눌러도 이용자가 입력한 정보가 시스템 전반에서 한 번에 완전히 제거되기보다는 접근 차단, 일정 기간 백업 보관 등 여러 단계로 처리될 수 있음을 안내하고 있다. 따라서 이용자에게 개인정보처리방침, 이용약관 또는 서비스 설정을 통해 ‘대화기록 삭제’ 기능과 데이터 보관 정책을 확인할 것, 기록(저장/히스토리) 기능의 기본값을 점검하고 필요시 해당 기능을 끌 것, 로그아웃 후 다운로드 파일까지 완전히 삭제할 것을 권고하고 있다.

셋째, 국외 이전 가능성과 관련하여, 이용자가 이용하는 생성형 AI 서비스의 서버가 해외에 있으면 대화 내용·업로드 파일, 접속 기록 등이 국외로 전송되어 보관·처리될 수 있고, 장애 대응, 보안 점검, 고객 지원을 위해 해외 법인이 데이터에 접근하는 경우도 있다는 점을 알려주고 있다. 따라서 이용자에게 개인정보처리방침 등에서 이전 국가·항목·목적·보유기간·이전받는 자를 확인한 뒤 개인정보 입력 여부를 결정할 것을 권고하고 있다.

넷째, 대화 내용의 개인정보 해당성과 관련하여, 이름·연락처처럼 직접 개인을 식별할 수 있는 정보뿐만 아니라, 예를 들면 “○○초 3학년 2반 담임”처럼 여러 단서가 결합되어 특정 개인이 드러나는 정보도 개인정보가 될 수 있다는 점을 안내하고 있다. 나아가, 텍스트뿐만 아니라 이미지, 음성 등으로 단서가 누적되면 처음에는 안전한 것으로 보여도 결합 시 특정 개인의 식별로 이어질 수 있으며, 가족·동료 등 제3자 정보를 입력하면 타인의 개인정보까지 처리될 수 있다는 점을 유의하여야 한다고 설명하고 있다. 따라서 이용자에게 입력하려는 내용에 그 정보 자체로써 또는 다른 누적된 정보와 결합함으로써 본인 또는 제3자를 식별할 수 있는 정보가 포함되어 있는지 여부를 확인할 것을 권고하고 있다.

다섯째, 업무·조직 내부 정보의 입력과 관련하여, 조직 내부 정보에 개인정보뿐만 아니라 미공개 업무 정보, 내부 의사결정 내용, 계약 관련 정보가 포함될 가능성도 있으므로 개인정보가 아니라는 이유만으로 업무 관련 정보를 자유롭게 입력해서는 안 된다고 명시하고 있다. 특히 고객·거래처의 개인정보, 회사 내부의 인사 정보 등 제3자의 개인정보를 입력하면 사전 동의나 법적 근거 없이 외부로 전달될 위험이 있음을 강조하고 있다. 따라서 업무 목적으로 생성형 AI 서비스를 이용하는 경우, 조직 차원에서는 다른 목적 활용을 계약·정책으로 통제하는 기업용 라이선스를 사용할 것, 개인 차원에서는 소속 조직의 AI 서비스 이용지침과 승인 절차를 준수할 것을 권고하고 있다.

여섯째, 답변에 개인정보가 포함된 경우의 대응과 관련하여, 생성형 AI가 본인이나 가족 등 제3자의 개인정보가 담긴 답변을 생성하면, 공유, 활용을 중단하고 화면 캡처로 증빙을 확보한 후 서비스 내 신고·피드백 기능을 이용해 해당 대화/파일/생성물 등의 삭제 등 조치를 요청하라고 안내하고 있다. 또한, 외부 연동 관련 설정을 확인하여 해제하고, 과거 대화 이력 점검을 하는 것 역시 함께 권고하고 있다.

일곱째, 플러그인·외부 서비스 연동과 관련하여, 이용자가 생성형 AI와 연동된 일정 관리, 회의록 정리 등 연동 서비스를 이용하는 경우 이용자가 입력한 정보가 외부 서비스로 전달되어 처리되므로 연동된 서비스의 개인정보 수집·이용·보관 방식을 함께 살펴야 한다고 설명하고 있다. 전달된 정보는 연동을 해제해도 외부 서비스 정책에 따라 일정 기간 보관될 수 있으므로, 이용자에게는 기능별·권한별로 필요한 범위에서만 연결하고 과도한 권한 요구 시 연동 필요성을 재확인할 것을 권고하는 한편, 사업자에게는 필요한 범위 내에서만 정보를 처리하고 관련 내용을 이용자가 이해하기 쉽게 명확히 안내할 필요가 있다고 알려주고 있다. 

여덟째, 공개된 정보의 학습 활용과 관련하여, 기사나 블로그처럼 누구나 볼 수 있게 공개된 정보가 AI 학습에 사용될 수 있다고 안내하면서도, 공개된 정보라고 해서 무제한적으로 활용할 수 있는 것은 아니라는 점을 명확히 하고 있다. 즉, 공개된 내용에 이름·사진·연락처 등 특정 개인을 알아볼 수 있는 정보가 포함되어 있다면, 이러한 개인정보에 대하여는 법에서 정한 기준과 보호조치를 준수해야 한다는 것이다.

한편, 온라인 게시물 등 공개되는 정보의 작성자로서는 게시물 공개범위 조정, 학습 데이터 제외 신청, AI크롤러(Crawler) 접근 제한 설정을 활용할 것을 안내하고 있다.
 
 이용자의 대응과 개선 방향

본 가이드는 생성형 AI 서비스의 이용자들이 참고할 수 있는 자료이지만, 앞에서 살펴본 8대 이슈는 곧 생성형 AI 서비스를 제공하는 사업자가 개인정보보호법령을 준수하기 위하여 어떠한 측면을 점검해야 하는지 보여주는 것이다. 

AI 서비스를 제공하는 기업이라면, 본 가이드가 이용자에게 안내한 기능들이 서비스 내에 실제로 구현되어 있는지 점검할 필요가 있다. 구체적으로 ①입력 내용을 학습에서 배제하는 옵트아웃 설정, ②대화기록 삭제 기능과 삭제 후 보관 단계·기간에 관한 안내, ③국외이전 시 이전 국가·항목·목적·보유기간·이전받는 자에 관한 고지, ④외부 서비스 연동 시 기능별·권한별로 범위를 나눠 선택할 수 있는 기능 등이 마련되어 있는지, 그리고 이에 관한 내용이 개인정보 처리방침·이용약관 등에 충분히 반영되어 있는지를 확인해야 한다.

한편, 임직원이 범용 AI를 업무에 활용하도록 허용하는 기업이라면, 이에 관한 내부 규제 없이 이루어지는 AI의 무분별한 이용은 임직원의 개인정보는 물론 기업의 대외비 정보까지 외부로 유출시킬 우려가 있다. 따라서 AI 활용에 관한 사내 이용지침을 마련하고, 지침에 관련 내용을 충분히 반영한 후 그 준수 여부를 수시로 점검할 필요가 있으며, 입력한 내용이 학습에 활용되지 않도록 통제되는 기업용 라이선스(License) 도입을 고려할 필요가 있다.

한편, 인공지능기본법 정의규정에 명시된 “고영향 인공지능”과 관련하여 2026년 초에 하위법령인 "고영향 인공지능 판단 가이드라인"을 발표하였는데, 2026년 3월 31일 개정된 “가명정보 처리 가이드라인” 상의 가명정보 처리 위험도 3단계 중의 하나인 “고위험”과 인공지능기본법 상의 “고영향”과의 차이점을 명확하게 인식하여 대응할 필요가 있다.

“고위험” 가명정보 처리와 “고영향” 인공지능 판단에 대한 이용자의 대응에 있어서 혼란을 방지하기 위하여 “고위험” 가명정보 처리의 소관기관인 개인정보보호위원회와 “고영항” 인공지능 판단의 소관부처인 과학기술정보통신부 상호 기관 간의 적극적인 협조가 요구되고, 또 필요시 가이드라인 개선 노력도 따라야 할 것이다.

권기원 필진 주요이력 

▲ 경남대 극동문제연구소 초빙교수 ▲ 前​ 미국 우드로윌슨센터에서 객원연구원 ▲ 前 국회 국방위원회 전문위원 ▲ 前과학기술정보방송통신위원회 수석전문위원 ▲ 前 외교통일위원회 수석전문위원 ▲아주경제 로앤피 고문(아주경제 객원기자)  ▲법무법인 대륙아주(유한) 입법지원실장 ▲중앙대학교 의회학과 객원교수