데미언 키어런 툴스 포 휴머니티 최고 법률 및 개인정보 보호 책임자
|
이처럼 무수한 두려움 속에서도 흔히 간과하는 위협 하나는 다름 아닌 디지털 세상에서 우리의 프라이버시, 익명성 및 안전을 보존하는 역량 문제이다.
인간과 봇을 구분해야 할 필요가 그 어느 때보다 커진 최근 주목받는 방식들은 여전히 많은 사용자 정보를 요구한다. 각종 식별 정보, 신분증, 얼굴 인식 혹은 개인적인 질문에 대한 답변까지, 모두 우리의 신원을 도용하려는 공격자에게는 반갑기만 한 취약점으로 작용할 뿐이다. 그리고 생성형 AI는 이러한 문제를 더욱 악화시킬 것이다.
프라이버시를 포기하거나 자신을 위험에 빠뜨리지 않으면서도 디지털 거래 및 상호작용 시 자신이 인간임을 증명할 수 있는 대안 마련은 시급하단 점은 모두 이해하나 현행 규제들이 이러한 문제를 해결할 기술의 발전을 돕는지 진지한 제고가 필요해 보인다.
예를 들어 2018년 인터넷 문제에 대응하기 위해 제정된 GDPR(EU개인정보 보호법)은 기업이 온라인 사용자 정보를 추적하고 광고 목적으로 판매하는 행위를 규제하는 데 초점을 맞춘다. 다만 이미 AI봇이 사람의 목소리와 외모를 모방하고, 캡차(CAPTCHA)를 속이는 사례가 등장하는 최신 기술과 신종 위험을 반영하기에는 부족하다. AI 시대에는 악의적 행위자들이 쉽게 스스로를 인증하고, 개인의 신원을 삭제, 생성 또는 변경하여 범죄를 반복하는 것을 막기 위해 사람과 봇을 구별하는 방식이 변경 불가능하며 인간 고유의 특성을 반영해야 하기 때문이다.
만약 선거가 있는 해에 'X'와 같은 플랫폼이 고유한 익명의 변경 불가능한 디지털 여권으로 각 계정 소유자가 고유한 인간임을 확인한다고 가정해보자. 계정 소유자는 개인정보 노출 없이 안전하게 활동할 수 있는 반면, 플랫폼들은 인간 여부를 가려내 콘텐츠 우선순위도 정하고, 외부 에이전트나 AI가 다수의 계정을 조작하여 정책을 위반하는 행위도 차단할 수 있을 것이다. 물론 이는 악의적 행위자들이 익명 디지털 여권을 마음대로 삭제하고 새로 만들어 계정 제재를 회피할 수 없도록 하는 것이 전제되어야 한다.
GDPR이 개인 데이터에 대해 삭제, 수정, 복사 요청 등 다양한 권리를 보장하지만 데이터가 익명화될 경우 이를 개인 데이터로 간주하지 않는다는 점은 합리적이다. 문제는 익명화의 기준에 대한 논쟁이 GDPR 시행 후 지속되고 있다는 점이다.
개인정보 보호 전문가들은 실용적인 데이터 익명화 기술을 개발해 왔으며, 이 기술들을 AI시대에 개인정보 보호 문제를 해결할 중요 도구로 보고 있다. 그런 반면, EU 규제 당국은 GDPR을 적용하는 과정에서 새로운 개인정보 보호 기술을 검토하며 익명화를 사실상 불가능하게 만들고 있다.
필자가 참여하고 있는 툴스포휴머니티와 월드ID 프로젝트들도 이런 견해 차이를 극복해 나가야 한다. EU 규제 당국이 다른 포럼에서 칭찬한 바로 그 프라이버시 강화 기술(PETs)을 사용한다는 이유로 당국의 비판을 받고 있기 때문이다. 규제 당국은 기술에 대한 이해가 완전치 않다는 점은 인정하면서도 이런 기술이 보장할 프라이버시와 보안을 이해하기보다는 익명화가 불가능하다는 견해를 고수하고 있다. 당국이 요구하는 기술적 수정사항들이 GDPR 준수를 위해 더 많은 데이터를 수집해야 하는 역설적인 상황을 만들어내고 있는 점도 흥미롭다.
따라서 일상이 된 AI 시대에는 무조건적인 비판보다는 프라이버시 강화 기술의 광범위한 사용을 장려하고 이 기술들의 작동 방식과 혜택을 이해하는 데 시간을 들여야 한다.
정책 입안자들과 규제 당국 역시 온라인 익명성을 제한하기보다는 이를 더 폭넓게 활용할 기회를 모색하고, AI 시대에 걸맞게 기존 규제를 재해석해야 할 필요가 있다. 이야말로 인류가 AI 시대에 스스로를 보호할 수 있는 근본적인 해결책이 되지 않을까.
※ 툴스 포 휴머니티(Tools For Humanity)는 2019년 챗GPT 창립자 샘 올트먼이 알렉스 블라니아와 공동 설립한 기술 기업으로, 월드 ID와 월드 앱 등을 통해 AI 시대에 인간과 AI를 구분하는 디지털 신원 인증 시스템을 개발하고 있다.
