AI 시대 속 개인정보 보호 - 1단계 인식변화

지난 맥사이트픽 포스팅 “여러분의 고객 데이터는 안전한가요? (feat. DX·AX)”에서는 고객 데이터를 관리하지 못하는 기업이 점차 늘어나고 그에 따라 여러 문제가 발생하고 있음을 짚어봤습니다.

각 기업마다 가지고 있는 문제와 고객 데이터를 관리하는 환경은 전부 제각각 일 것입니다. 그렇다면, 각 기업의 문제점을 하나하나 들여다보기보단, 잘하고 있는 기업 사례를 살펴보고 유사하게 적용하려는 시도가 더 나은 방법일 수 있습니다.

이번 포스팅에서는 디지털 전환(DX)과 AI 전환(AX)을 잘 대처하면서도 개인정보 보호에 앞장서는 글로벌 기업 사례들을 살펴보겠습니다.

소비자의 개인정보 인식 실태

맥사이트픽을 읽는 여러분이 떠올리는 고객정보는 무엇인가요? 물론 취미나 관심사같은 사소한 정보까지 고객정보에 포함될 수 있겠지만, *PII와 같은 개인정보로 구성되어있는 데이터를 보통 고객정보라 칭하고 있습니다.

*PII(Personally Identifiable Information): 개인 식별 정보. 이름, 주민등록번호, 생성월일, 전화번호, IP주소 등 개인을 식별하거나 연락할 수 있는 모든 정보를 의미.

사실 대부분의 소비자들은 평소에 “내 개인정보가 잘 보호받고 있는가’, ‘기업이 내 개인정보를 소중히 다루고 있는가’에 대해 크게 의문을 갖지 않습니다. 나의 개인정보가 얼마나 중요한지 잘 체감하지 못하기도 하고, 내가 구매하고, 이용 중인 브랜드가 신뢰를 먼저 주는 경우도 잘 없기 때문이죠. 이 때문에, 회원가입 또는 기업의 이벤트를 참여하기 위해 기업이 제시하는 개인정보 제공 동의에 아무런 거부를 가지지 않는 경우가 많습니다. 단 1초만에 개인정보제출 동의를 클릭하고 다음 페이지로 넘어가는 것이지요.

하지만 이번 소비자도 개인정보 이슈가 발생하면, 아주 빠르게 뒤돌아 설 것입니다. 어쩌면 소비자는 기업에게 보이지 않는 신뢰를 주고 있었는지도 모릅니다. 기업은 이에 마땅히 응해야 하겠죠.

마이크로소프트: Privacy Dashboard

이미지 출처: Microsoft | Privacy Dashboard

고객데이터라는 기본 개념에 대해 마이크로소프트는 다음과 같이 말합니다. “고객에게 데이터 주권을 돌려주자”

이러한 개념을 바탕으로 Microsoft는 사용자에게 Privacy Dashboard를 제공하고 있습니다. Privacy Dashboard는 Microsoft 서비스 사용자가 자신의 계정을 통해 어떠한 데이터들이 수집되고 또 삭제, 관리되는지 등을 손쉽게 확인하고 직접 관리할 수 있게 하는 서비스입니다. 개인별로 원하는 수준의 개인정보보호 범위를 지정 가능하다는 장점이 있으며, 유럽 외 GDPR 국가 기준의 데이터 보호조치를 글로벌 표준으로 확장시킨 주역이기도 합니다. 현재는 구글 크롬과 같은 브라우저도 이와 비슷한 개인정보 설정 페이지를 운영 중입니다.

에어비앤비, 세일즈포스: 익명 기반의 데이터 분리 설계

해외 공유 숙박 브랜드 에어비엔비의 정보보안 핵심전략은 익명을 기반으로하는 데이터 분리 설계 입니다. 에어비엔비는 내부 직원이더라도, 데이터 엔지니어링팀도 개인 식별 가능 데이터, PII에 접근할 수 없습니다. 특히, 2018년 GDPR 도입 초기 기준을 철저히 따르도록 자체 개인정보보호 관리팀을 구성하고, privacy by design 이라는 코드베이스를 내장해 AI 기술을 활용하고 있습니다.

이처럼 데이터를 안전하게 다루기 위해서는 이를 위한 기술 뿐만 아니라 데이터 보안을 위한 조직 구조가 체계적으로 구현되어야 하는 점을 엿볼 수 있습니다. 유사한 사례로 세일즈포스는 AI와 관련된 제품과 서비스를 직접 개발하고 있지만, 동시에 AI 학습데이터에 개인 식별 정보가 포함되어있으면, 학습을 거부하도록 추가적인 정보 보호 조치를 만들어 놓고 있습니다.

웰스파고: 표준화된 데이터 품질 관리 구축

미국의 웰스파고 은행에서는 단일 소스 형태로의 고객 데이터 통합을 준비했습니다. 이를 통해 표준화된 데이터 품질 관리 운영을 목표한다는 것인데요. 고객의 온오프라인 행동에 맞춰 언제 어디서라도 데이터는 생겨납니다. 다양한 접점에서 생성된 고객 정보와 금융 거래 데이터를 중앙 CDP로 통합시키고 관리한다는 것이 웰스파고의 보호 정책의 핵심이었습니다. 그 밖에 분석 솔루션을 통해 구축한 대시보드를 기준으로 데이터 품질과 오류 발생 등을 모니터링하였습니다. 통합된 데이터로 데이터 정합성을 높여 데이터 오분류 및 오용 리스크등을 사전 예방하겠다는 것입니다.

건강 데이터와 AI 익명 솔루션

해외에서는 개인정보 중에서도 환자의 건강 정보등을 매우 중요하게 보관, 관리하고 있습니다. 특히 전자의무기록(EHR)은 접근 권한을 엄격히 제어하여 관리 담당자가 아니라면 절대 이를 확인, 활용할 수 없도록 강력한 규제를 적용합니다. 모든 접근에 대한 감사로그 유지와 규제 준수를 위한 정기 관리 체계 등이 일반 기업의 개인정보 관리 체계와 비교해, 개인정보 보호관리가 가장 세분화된 분야일 것 입니다. 최근 국내 의료기관에서도 DX를 준비하고, 환자의 개인정보 보호를 위한 체계 마련에 서둘루고 있습니다. 환자의 정보는 일반인의 개인정보보다 더 민감한 정보들로 구성되기 때문에 법적, 윤리적 기준을 준수해야만 한다는 인식이 확고한 이유이기도 합니다.

북미 마이애미의 한 어린이 병원 Nicklaus Children's Hospital에서는 이러한 개인정보 보호 체계 위에 AI 기반 익명 솔루션을 도입시켜, 의료 영상과 문서, 진료 정보 등 PII를 자동 탐지하고 마스킹 처리가 가능하도록 구현하여 AI 도입으로 인해 예전보다 조금 더 빠른 개인정보 데이터 관리를 향상시키는 노력을 하고 있습니다.

개인정보 보호 모범기업의 공통점

지금까지의 기업 브랜드 예시를 살펴보면 공통점을 찾을 수 있습니다. 언급된 기업들 모두 단순히 자신들의 데이터를 기술 중심에서 활용하는 재료로만 취급하는 것이 아니라, 데이터 거버넌스, 데이터 보호 조직과 문화 그리고 표준화된 접근, 통제 방식 등을 구축하고 이를 실질적으로 구현하기위한 노력을 하고 있다는 것입니다. 여기에 투명한 감시체계를 결합하여 자신들이 고객정보 보호 체계에 조금의 문제라도 발생한다면 가장 빠르게 수습, 해결할 수 있는 프로세스까지 마련되어있죠. 소비자가 기업에게 개인정보 보호에 관련한 신뢰를 먼저 내어주었던 만큼, 기업은 그에 합당한 리소스를 투입해야하는 의무가 있습니다.

🚩맥소노미가 PICK한 이유

AI대전환을 맞이하고 있는 현재, 왜 AI에게 개인정보 보호를 전적으로 맡기지 못하느냐는 질문이 생길 수 있습니다. 분명 AI의 데이터 처리는 훨씬 더 빠르고 계산 및 학습 능력이 더 높아지는 것은 맞지만, 신뢰도가 같은 속도로 높아지고 있는지는 아직 의문입니다.

대표적으로 대중들이 현재 사용중인 LLM 기반 생성형 AI에는 과도한 데이터가 모이고 그 데이터 안에는 잘못된 데이터 비중이 높아지고 있습니다. 이 때문에 AI의 환각은 줄어들기는 커녕 오히려 가짜 정보를 진짜 정보인 것처럼 제공하는 경우가 더 흔해지고 있다는 시각이 있습니다.

이전 포스팅에서도 언급했지만 현재 변화하는 디지털 환경에서는 신뢰가 바탕이된 효율성이 필요합니다. 그런 의미로 다음 포스팅에서는 AI와 외부데이터를 연결시키는 표준 (MCP)에 대해 이야기하고, AI를 통해 데이터들이 처리되는 과정에 대해 이야기 해보겠습니다.