카카오페이 민감정보 해외위탁 논란..AI 활용했다면?

최근 카카오페이가 고객의 민감한 정보를 중국에 유출한 의혹이 제기되면서 금융권에서의 프라이버시 보호 문제가 다시금 주목받고 있다. 금융정보원은 “인공지능(AI)이 금융권 프라이버시 보호 업무에서 중요한 역할을 할 수 있을 것”이라고 전망했다.

28일 금융보안원은 ‘코리아 핀테크 위크 2024’에서 ‘금융권 AI 거버넌스 가이드’를 주제로 세미나를 열었다.

이날 세미나에서 스트레이트뉴스는 카카오페이의 4000만 회원 민감정보 해외 이전 사태와 관련해 금융권의 고객 프라이버시 관리에 있어 AI 도입 시 기대 효과를 질문했다.

서호진 금융보안원 팀장은 “현재는 주민등록번호와 같은 민감한 정보를 탐지하고 차단하는 데 패턴 기반의 AI 기술이 사용되고 있다”며 “핀테크사가 프라이버시 보호 측면에서 AI를 도입하면 기존 패턴에 맞지 않는 정보유출도 효과적으로 탐지할 수 있을 것으로 기대된다”고 설명했다.

AI 기술이 발전함에 따라 더욱 정교한 프라이버시 보호가 가능해질 것이라는 의견이다.

서 팀장은 “핀테크사가 AI 기술을 활용할 때 데이터를 적법하고 투명하게 수집하고 활용해야 한다”며 “고객정보 보호 뿐만 아니라 데이터 공급망 관리 체계를 마련할 필요가 있다”고 설명했다. 이어 “AI 관련 제3자 협력은 필수적”이라며 “책임있는 제3자를 선정하고 이들과 협업할 필요가 있다”고 덧붙였다.

카카오페이는 알리페이와의 업무 위수탁 관계에 따라 개인을 특정할 수 없도록 비식별화된 정보를 제공했다는 입장이다. 

반대로 금융감독원은 “카카오페이가 공개된 암호화 프로그램 중 가장 일반적으로 통용되는 암호화 프로그램(SHA256)을 사용했고, 암호화(해시처리) 함수에 랜덤값을 추가하지 않고 전화번호, 이메일 등 위주로만 단순하게 설정했다”며 “암호화 과정에서 필요한 함수구조를 지금까지 전혀 변경하지 않아 일반인도 공개된 암호화 프로그램으로 복호화가 가능하다”고 말한다.

또 다른 문제는 카카오페이의 고객 민감정보 보호에 대한 준법의식 수준에 있다. 카카오페이는 신용정보법 제17조 제1항을 이유로 ‘개인신용정보의 처리 위탁으로 정보가 이전되는 경우에는 정보주체의 동의가 요구되지 않는 것으로 규정된다’고 주장한다. 원활한 업무 처리를 위해 제3자에게 정보를 제공할 경우 사용자 동의가 필요하지 않다는 것이다. 

그러나 개인정보보호법 제26조 3항 2절에는 “개인정보의 처리 업무를 위탁하는 개인정보처리자(카카오페이)가 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(알리페이 등)를 정보주체(소비자가)가 언제든지 쉽게 확인할 수 있도록 공개하여야 한다”는 내용이 명시됐다.

카카오페이의 프라이버시 이슈와 마찬가지로 핀테크업 전반의 AI 기술 활용에 대한 가이드라인도 필요한 실정이다.

특히 서 팀장은 “금융사는 신뢰성과 안전성이 중요하다”며 “금융권에서 AI 활용이 확대됨에 따라, 관련 규제와 거버넌스 구축이 더욱 중요해질 것으로 보인다”고 말했다. 이어 “금융기관은 AI 기술의 도입과 활용에 있어 신중함을 기하고, 관련 법령과 규제를 준수하며, 안전한 금융 서비스를 제공하기 위한 노력이 필요할 것”이라고 설명했다

미국 재무부는 2023년 AI 행정명령에 따라 '사이버 보안 위험 관리 보고서'를 발표했고, 이 보고서는 금융기관 간의 격차 해소와 AI 관련 규제 당국과의 협력 등을 주요 내용으로 다루고 있다. 또한, 미국 국립표준기술연구소(NIST)는 AI 시스템의 안전성 평가 기준을 마련하고 있으며, 주요 AI 기업들은 행정부와 안전하고 투명한 AI 기술 개발을 약속하는 자발적 약속을 발표했다.

국내에서는 AI 규제 관련 법안들이 다수 발의되었지만, 대부분 계류 중이다. 서 팀장은 "현행 법령에서 AI를 일부 규율하고 있으며, 특히 자본시장법과 신용정보법에서 AI와 관련된 사항을 다루고 있다"고 말했다. 

최근 금융위원회와 금융보안원 등 다양한 기관들이 AI 활용 가이드라인과 정책을 발표하며, AI의 안전한 활용을 위한 체계를 마련하고 있다.

서 팀장은 “AI 거버넌스의 구축 목표는 안전하고 신뢰할 수 있으며 책임 있는 인공지능 개발과 활용 문화를 조성하는 것”이라며 “금융사가 AI 기술을 활용할 때에도 기존의 금융 관련 법령을 철저히 준수해야 한다”고 강조했다. 그는 “AI 기술이 완벽할 수는 없기 때문에, 금융 서비스 개발 시 AI와 함께 인간의 역할이 반드시 필요하다”고 덧붙였다.

한편 국가별로 AI에 대한 접근 방식이 상이한 상황에서 국내 AI 거버넌스가 국제적인 환경에서 제대로 기능할 수 있을지에 대한 우려가 있다.

이에 대한 스트레이트뉴스 질문에 대해 서 팀장은 “AI 기술이 국제적인 협력이 중요한 분야”라며 “정책 변화와 글로벌 동향을 지속적으로 모니터링하고 거버넌스를 발전시켜 나가야 한다”고 말했다.

그는 “금융정보원이 마련한 거버넌스 가이드는 현재 논의되고 발표된 국제적인 기준들을 종합한 것”이라며, “글로벌 스탠다드에서 크게 벗어나지 않는다”고  덧붙였다.

[스트레이트뉴스 조성진 기자]