[디지털투데이 AI리포터] 캐나다 개인정보 당국이 오픈AI의 인공지능(AI) 모델 학습 과정이 연방 및 주 개인정보보호법을 준수하지 않았다고 판단했다.

6일(현지시간) IT 매체 엔가젯에 따르면, 캐나다 개인정보보호위원회와 앨버타·퀘벡·브리티시컬럼비아주 당국은 공동 조사 결과 오픈AI의 개인정보 수집 및 동의 절차에 문제가 있다고 결론 내렸다.

조사 당국은 오픈AI가 AI 모델 학습을 위해 개인정보를 적절한 보호장치 없이 대규모로 수집했으며, 수집과 이용 과정에서 당사자 동의를 받지 않았다고 판단했다. 적용 법률에는 캐나다 개인정보보호 및 전자문서법(PIPEDA)이 포함됐다.

문제는 챗GPT 이용자 대화에만 국한되지 않았다. 챗GPT는 대화 내용이 학습에 활용될 수 있다고 고지하지만, 오픈AI가 구매하거나 웹에서 수집한 제3자 데이터에도 이용자가 인지하지 못한 개인정보가 포함될 수 있다는 점이 지적됐다. 이용자가 해당 데이터에 접근하거나 정정·삭제할 수 없는 구조도 문제로 꼽혔다. 또한 챗GPT 응답의 일부 부정확성에 대해 오픈AI가 충분히 설명하지 않았다는 점도 지적됐다.

오픈AI는 조사에 협조적인 태도를 보였으며, 캐나다 법 준수를 위한 조치를 약속했다. 회사는 이미 문제가 된 기존 모델을 중단했으며, 현재는 공개 인터넷 데이터와 라이선스 데이터셋에서 이름과 전화번호 등 개인정보를 감지해 제거하는 필터링 도구를 적용하고 있다.

당국은 추가 시정 조치도 요구했다. 오픈AI는 3개월 이내에 로그아웃 상태의 챗GPT에 대해 대화가 학습에 활용될 수 있으며 민감한 정보 입력을 주의해야 한다는 안내를 추가해야 한다.

또 6개월 이내에 데이터 내보내기 기능을 더 쉽게 이해하고 사용할 수 있도록 개선하고, 이용자가 챗GPT 응답의 정확성에 이의를 제기하는 방법도 명확히 안내해야 한다.

아울러 사용이 중단된 데이터셋이 향후 모델 개발에 활용되지 않도록 보호 조치를 적용하고 이를 당국에 확인해야 한다. 또한 공인이 아닌 미성년 친족에 대해서는 이름이나 생년월일 공개 요청을 거부하도록 하는 보호 기능도 시험 적용하기로 했다.

이번 조사는 2023년 시작됐다. 오픈AI는 2026년 2월 텀블러 리지(Tumbler Ridge) 총격 사건과 관련해 추가 규제 압박도 받았다. 당시 오픈AI는 해당 사건 피의자 계정을 폭력 위험 경고 대상으로 분류했지만 이를 캐나다 법 집행기관에 상향 보고하지 않았다. 이후 오픈AI는 캐나다 법 집행기관 및 보건 기관과의 협력을 강화하겠다고 밝혔다.
 

• 앤트로픽 "이제 바이브 코딩 버릴 때"…AI 코딩은 이미 산업 됐다
• 영림원소프트랩, 삼정KPMG와 ‘회계감사 지원 ERP’ 시장 확장
• "AI·모바일 타고 날았다"…LGU+,1분기 영업익 2723억원
• 쿠콘-한자산홀딩스, 설계사 보험 영업지원 플랫폼 공동 개발
• IBM "2030년 금융 질서 바뀐다…토큰화 자산·스테이블코인·CBDC 전면화"