폭로 전문 사이트 위키리크스는 지난 3월 깜짝 놀랄 내용을 공개했습니다. 미국 중앙정보국(CIA)이 애플, 삼성 등의 스마트폰과 스마트TV에 악성코드를 심어 무차별 도-감청했다고 폭로한 겁니다. [☞관련기사: “美CIA, 악성코드로 삼성 스마트TV 감청”]
그 뿐 아닙니다. TV가 꺼져 있을 때도 주변의 소리를 녹음해 CIA 비밀 서버로 보냈다는 것입니다. CIA가 2014년 영국 정보기관 MI5와 함께 개발한 TV 악성코드 ‘우는 천사’로 이런 어마어마한 일을 했다고 합니다.
안드로이드폰의 경우 데이터가 암호화되기 전 음성 및 메시지 정보를 수집했다고 합니다.
거실에 놓인 스마트TV가, 늘 휴대하고 다니는 스마트폰이 24시간 일거수일투족을 감시하는 무시무시한 기기로 악용될 수 있다는 뜻입니다.
이런 사례는 인간의 삶을 옥죄는 첨단기술의 어두운 단면을 잘 보여줍니다. 특히 AI의 어두운 미래는 중요한 논의 주제 중 하나입니다.
오는 22일 지디넷코리아 주최로 서울 포시즌스호텔에서 열리는 '아시아테크서밋 2017'에서도 이 문제를 놓고 열띤 토론을 벌일 예정입니다. [☞ ATS 컨퍼런스 사이트 바로가기]
■ AI 스피커, 내 목소리 어디까지 들을까
이런 위험에 노출된 게 스마트TV와 스마트폰 뿐일까요? 개인비서로 인기를 끌고 있는 ‘인공지능(AI) 스피커’는 괜찮을까요? 그래서 취재를 해보기로 했습니다.
AI 스피커와 관련한 궁금증은 크게 세 가지였습니다.
첫째. 호출 전에도 주변의 소리를 듣고 있을까?
둘째. 소리는 언제부터, 어디에 보관할까?
셋째. 저장된 음성 정보를 본인 또는 제3자에게 제공할까?
이런 궁금증을 풀기 위해 네이버, 카카오, SK텔레콤, KT 등 AI 스피커 판매업체들에게 직접 문의해봤습니다. 음성정보 수집 범위와 저장 여부 등을 물었습니다.
먼저 첫 번째 질문에 4개 회사 모두 기기가 켜져 있을 때는 호출이 된 상태가 아니더라도 항상 귀를 열고 있다는 답변을 받았습니다.
기기가 항상 여러분 주위에서 발생되는 소리를 듣고 있다는 뜻입니다. 쉽게 생각해보면 누가 내 이름을 불렀을 때 돌아보기 위해서는 내 귀가 항상 깨어 있어야 하는 것과 같은 이치입니다.
그 중에는 별 뜻 없는 정보도 있겠지만, 상사에 대한 욕설이나 현관 비밀번호가 들어있다면 어떨까요. 이제 조금 섬뜩한 생각이 드시나요?
그런데 다행스럽게도 호출 전 기기가 들은 음성은 서버에 저장되지 않는다는 공통된 답변이 돌아왔습니다. 다만 네이버는 기기 자체에 수초 간 저장되지만, 새로 입력되는 소리가 이를 덮어쓰는 방식이라고 설명했습니다.
■ 기기 호출 후, 음성 정보를 수집 및 보관할까
호출되고 난 뒤 입력되는 음성 정보는 어떨까요.
많은 이들이 알고 있듯 사용자 음성 명령어는 해당 사업자들의 중앙 서버로 전송됩니다. 이는 사업자들이 각 개인에 맞는 맞춤형 콘텐츠를 제공하고, 자연어 처리 기술을 향상시키기 위한 자원으로 쓰입니다.
사용자 취향에 맞는 콘텐츠를 추천해줘야 소비가 많이 이뤄지고, 또 수익이 발생하기 때문입니다. 자연어 정보가 사업자들에겐 귀한 대접을 받고 있습니다.
음성뿐 아니라 사용 서비스라든지 사용시간 등도 수집돼 보관이 됩니다.
단, 네이버의 경우 개인을 특정할 수 있는 어떤 ID도 저장하지 않기 때문에 특정 개인의 음성 정보를 추출할 방법이 원천 차단돼 있다고 설명했습니다.
SK텔레콤의 경우는 전체 명령어가 아닌 단어 기준으로 수집, 저장되고 특정 개인을 식별할 수 없도록 비식별화 보관한다고 답했습니다. 카카오 역시 음성정보와 개인정보를 분리 보관한다고 밝혔습니다.
■ 사용자 개인이 요구했을 때 정보 제공할까
사업자 서버에 저장된 음성 정보 등을 사용자가 자신을 증명하는 과정을 거쳐 직접 요청했을 때 카카오와 KT는 정책적으로 가능하다는 입장을 밝혔습니다.
다만 카카오는 제공 방법과 조건에 대한 논의가 더 필요하다고 덧붙였습니다.
네이버는 익명화 처리가 돼 있어 저장된 데이터가 누구의 것인지 알 수 없기 때문에 이를 사용자 본인에게 제공하는 것이 불가능하다고 설명했습니다.
SK텔레콤은 개인에게 제공할 수 없다고만 짧게 답했습니다.
■수사기관이 요구할 경우엔 어떻게 하나
수사기관이 아마존 에코 사건처럼 범죄자 검거 등을 이유로 각사에 특정인의 AI 스피커 음성 정보를 요구했을 때 사업자들은 어떻게 대처할까요.
먼저 네이버, 카카오, SK텔레콤, KT 모두 압수수색영장 집행 등 적법 절차에 의거 수사기관이 협조를 요청했을 때 자료 제출이 가능하다는 입장을 밝혔습니다.
다만 네이버의 경우 음성 데이터나 음성인식 결과 문장을 암호화해서 저장하고, 개인을 특정할 수 있는 ID도 저장하지 않아 누구의 음성인지 여부를 식별해 제공할 수 없다고 설명했습니다.
카카오의 경우도 영장의 기재 취지와 형사소송법 절차에 맞춰, 또 사생활 보호 원칙에 따라 가능한 범위 내에서 정보를 줄 수 있다고 했지만 전례가 없어 정확한 예측과 답변이 어렵다는 입장이었습니다.
SK텔레콤은 ‘홍길동’ 기기에서 수집된 음성 정보만을 모아 제공이 가능하지만, 해당 정보가 누구의 것인지 확인할 수 없는 비식별화된 정보로 제공된다고 첨언했습니다.
KT는 통화내역 제공에 준용한 기준에 따라 AI 스피커를 통해 수집된 명령어를 수사기관에 전달할 수 있다고 답했습니다.
결론적으로 나름의 사생활 보호 장치들이 적용돼 개인 식별이 어려울 수 있지만, 수사기관이 적법한 절차에 따라 자료를 요청하면 여러분의 음성정보를 제공할 수 있다는 뜻입니다.
■ 외국 사례는
AI 스피커의 음성 데이터 저장 문제는 미국에서도 큰 이슈가 됐습니다. 실제로 범죄 수사에 활용된 사례도 있습니다.
지난해 12월 미국 아칸소 주 경찰은 살인 사건 수사를 위해 아마존에게 피의자가 사용하던 에코의 음성 데이터 제공을 요청했습니다. 이에 아마존은 계정 정보와 구매 이력을 제공했지만, 음성 정보 제공은 수정헌법 제1조에 위반된다며 두 차례 거부했습니다.[☞관련기사: 아마존 에코로 살인범을 잡는다고?]
그러나 용의자가 본인 결백을 증명하기 위해 동의하자 아마존은 서버에 저장된 데이터를 경찰에 제공했습니다. 알렉사가 우연히 활성화 돼 살인이 일어났을 당시 중요 상황들이 일부 녹음됐을 가능성에서 이뤄진 수사였습니다.
이처럼 어딘가에 저장된 내 음성정보도 제3자에 제공될 가능성은 없을까요. 또 누군가 암호화되기 전 단계에서 내 정보를 탈취해 갈 염려는 없을까요.
문득 이 녀석이 내 비서가 아니라 조지오웰의 소설 ‘1984’에서 24시간 감시 역할을 하는 ‘텔레스크린’ 아닐까 하는 섬뜩함마저 듭니다.
지나친 우려와 걱정은 건강에 해롭겠지만, AI 스피커를 구매했거나 구매를 고려 중인 사용자들이 AI 스피커의 사생활 침해 가능성에 대해 경각심을 가질 필요는 있을 것 같습니다. 또 정부가 이들이 데이터를 어떻게, 얼마나 수집하는지, 또 제대로 관리하는지 검증할 필요도 있어 보입니다.
■ 취재 뒷이야기
국내외 대기업들이 경쟁적으로 AI 스피커를 출시하며 말로 다 되는 더 편한 세상을 꿈꾸게 하지만, 그 만큼 사람들의 평범한 일상은 더 쉽게 외부에 노출되고 맙니다.
아무리 기업들이 데이터 수집을 제한적으로 하고, 보관과 관리에 신경을 쓰더라도 CIA 같은 첩보기관이 개입했을 때는 무력해질 수밖에 없습니다. 해킹도 마찬가지입니다.
좀 더 편한 삶을 위한 대가로 소비자들은 더 많은 개인정보를 제공해야 하는 선택의 기로에 놓여 있습니다.
스마트폰뿐 아니라 카메라와 마이크가 달린 기기를 통해 우리의 민낯이 기업들에게, 또 수사기관이나 첩보기관에게 전송될 가능성이 점점 높아지는 것입니다.
그럼에도 AI 스피커를 출시한 기업들은 아직 이용자들에게 음성 정보가 언제, 어떻게 수집되는지, 또 얼마나 보관되는지 등의 안내에 소홀한 것 같습니다. 심지어 내부 정책조차 명확하지 않아 우왕좌왕 하는 모습도 엿보였습니다. 관련 질문에 답변을 미루기도 했습니다.
한편으론 이용자 사생활 보호를 위한 개인정보보호법과, 사회안전 가치를 위한 법률 사이에 충돌이 일어나 적절한 접점을 찾기란 쉽지 않아 보입니다.
관련기사
- 구글·아마존 AI스피커, 뻥뚫린 블루투스 보안 패치2017.11.21
- 스마트폰-터치 시대에 음성 UI가 각광받는 비결은2017.11.21
- 네이버 AI 스피커 '프렌즈‘ 써보고 말해보니...2017.11.21
- "카톡 힘 역시 세네"…'카카오 미니' 써보니2017.11.21
연세대학교 커뮤니케이션센터 강정수 겸임교수는 “AI 스피커를 통한 수집되는 정보와 처리방식, 직원들의 접근권 등 정부 차원의 가이드라인이 필요하다”며 “지나친 규제는 완화돼야 하지만, 과거의 기준으로 작성된 개인정보보호법에 대한 새 논의가 필요한 시점”이라고 말했습니다.
또 “내년에는 AI 스피커 시장이 더욱 커질 것이기 때문에 이에 대한 경각심을 갖고 대응책을 마련할 필요가 있다”고 조언했습니다.
