카나나 AI 서비스의 개인정보보호 노력
최근 AI 서비스는 이용자 문의 처리를 넘어 콘텐츠 생성, 업무 자동화까지 다양한 분야에서 제공되고 있습니다. 생성형 AI 서비스는 대량의 데이터 처리가 필요할 뿐만 아니라, 다양한 유형의 정보를 문맥에 따라 종합적으로 이해하고 활용할 수 있어야 하는 특징을 가지고 있기 때문에 지금까지 우리가 적용해 온 개인정보 보호 정책이나 처리 방식이 AI 서비스 환경에서도 여전히 적절한지, 또는 보완이 필요한 부분은 없는지에 대한 논의가 이어지고 있습니다.
카카오 역시 카나나 앱 출시를 준비하는 과정부터 기존의 개인정보 보호 원칙을 준수하는 것으로 충분한지, 국내 개인정보보호법에 저촉될 소지는 없는지 등을 고민해 왔는데요, 이번 글에서는 카나나 서비스 출시 과정에서 이용자의 개인정보를 안전하게 보호하기 위해 카카오가 고민한 내용과 그 노력을 소개해 드리고자 합니다.
1. 서비스 특성을 고려한 이용자 개인정보보호 방안 마련
카나나는 개인 및 그룹방에서 이용자를 돕는 대화형 ‘AI 메이트’로 기획되었습니다. 개인 대화방에서는 ‘나나’, 그룹 대화방에서는 ‘카나’가 작동하여 이용자의 대화 맥락을 이해하여 알맞은 정보를 제공합니다. 기존 생성형 AI가 1:1 대화만 지원하던 것과 달리, 카나나는 그룹 대화 내 여러 사람의 발화를 파악하고 상황에 맞는 대응을 할 수 있는 것이 특징입니다.
이처럼 카나나는 이용자와 AI의 1:1 대화뿐만이 아니라 친구들과의 그룹 대화 속에서 자연스럽게 질의를 처리해야 한다는 특성을 가지고 있기 때문에 이용자 간의 자유로운 대화를 방해하지 않으면서도, 정보주체의 개인정보를 효과적으로 보호하기 위한 방안을 고민하였습니다.
먼저, 개인정보처리방침 외에 ‘카나나 AI 서비스 개인정보 처리 안내’를 별도로 마련하여, 이용자들이 카나나 서비스에서 개인정보와 데이터가 어떻게 처리되는지 쉽게 확인할 수 있도록 했습니다.
카나나 앱 > 설정 > 약관 및 정책 > 카나나 AI 서비스 개인정보 처리 안내또한 기술적으로 주민등록번호는 AI 응답 과정에서 처리되지 않도록 제한하고, 이용자의 악의적인 질문이나 부적절한 답변이 제공되지 않도록 자체적인 안전장치인 Safegaurd를 거쳐 서비스가 제공되도록 설계하였습니다. 카카오 Safeguard는 한국어와 한국 문화를 반영한 한국어 평가 데이터셋을 적용하여 한국어 텍스트 기반의 환경에서 이용자의 부적절한 입력과 LLM의 위험한 출력을 효과적으로 필터링이 가능하기 때문에 안전하고 신뢰할 수 있는 AI 서비스 제공이 가능합니다.
* 참고 : 안전한 AI 서비스를 위한 가드레일 'Safeguard by Kanana’ (link)
2. 학습데이터에 대한 이용자의 선택권 보장과 보호조치 적용
AI 모델의 성능을 지속적으로 개선하고, 보다 정확하고 유용한 응답을 제공하기 위해서는 일정 수준의 학습데이터가 반드시 필요합니다.
카나나 AI 서비스 이용 과정에서 이용자가 입력한 정보와 질의 내용, 인공지능 모델의 답변 및 생성 결과물은 카카오의 인공지능 연구 및 품질 향상, 신규 인공 지능 서비스 개발 및 제공을 위한 목적으로 모델의 개선, 개발 및 학습에 활용할 수 있으나, 이러한 목적으로 데이터를 처리하는 경우 회사는 이용자에게 그 사실을 알리고 동의를 받으며, 이용자가 언제든지 이에 동의하거나 철회할 수 있도록 선택권을 보장합니다.
<동의 / 철회 메뉴 위치 안내>
ㅇ 앱 설정 > 개인/보안 > 개인 정보 수집 및 이용 > 모델 성능 개선을 위한 데이터 활용 동의
카카오는 학습에 활용되는 데이터의 출처와 적정성을 검증하며, 불필요한 개인정보가 포함되지 않도록 식별자 제거와 개인정보 필터링 등 비식별 처리 절차를 적용합니다. 수집된 데이터는 내부 기준에 따라 최대 5년간 보관되며, 그 기간 동안 안전하게 관리될 수 있도록 필요한 기술적⋅관리적 보호조치도 함께 적용합니다.
3. 외부 LLM 모델 활용에 대한 보호 강화
카나나는 기본적으로 카카오가 자체 개발한 LLM을 우선 사용하지만, 일부 보완적 기능을 위해 외부 LLM 모델을 함께 활용할 수 있습니다. 이러한 과정에서도 안전하게 개인정보를 처리하기 위해 다음과 같은 조치를 적용하였습니다.
이용자 응답 처리를 위해 외부모델 활용 시, 해당 외부 사업자와 개인정보 위수탁 계약을 체결하고 있습니다. 해당 계약에는 카카오가 위탁한 업무 목적을 위해서만 데이터를 활용해야 하고, 외부모델 자체의 학습이나 사업목적으로 쓰이지 않도록 해야 한다는 조건을 명시하고 있습니다. 또한 이용자의 응답 처리 후에는 지체 없이 삭제처리하도록 규정하였습니다.
이와 함께 개인정보 위수탁 계약 체결 사실을 개인정보처리방침을 통해 투명하게 이용자에게 알리는 한편, 고유식별정보와 계좌번호, 카드번호 등 개인정보보호법에 따른 암호화 대상인 데이터는 자체 모델에서 처리하거나 암호화된 형태로 외부에 전달하도록 기술적 조치를 적용하였습니다.
4. 개인정보위 사전적정성 검토 신청
카나나 서비스의 기획 초기부터 개인정보보호법 준수 여부에 심도 있게 검토하였으나, AI 기반 신기술의 특성상 기존 법령 해석이나 집행 선례만으로는 판단이 어려운 부분이 많다는 점을 고려하여, 개인정보보호위원회(이하 개인정보위)의 사전적정성 검토 제도를 통해 법적 불확실성을 해소하고자 노력했습니다.
※ 사전적정성 검토제란
신청인이 인공지능(AI) 등 신기술·신서비스 기획·개발 단계에서 기존 법해석·집행 선례만으로는 명확한 개인정보 보호법 준수방안을 찾기 어려운 경우, 개인정보위와 협력하여 신청 대상 신기술·신서비스 환경에 적합한 법 적용방안을 마련하고, 이를 신청인이 이행하면 사후에 불이익한 처분을 부과하지 않는 제도
카카오는 카나나 서비스가 개인정보 보호법을 준수하며 프라이버시 친화적으로 설계·운영될 수 있도록 기획단계에서 개인정보위 사전적정성 검토제를 통해 회사가 설계한 개인정보보호 방안이 적절한지 보완이 필요한 부분이 없는지에 대해 검토를 요청하였습니다. 그 결과 지난 3월 13일 개인정보위의 사전적정성 검토 심의·의결을 통과되었는데요, 특히 이 과정에서 개인정보위와 논의된 개선조치 요구들을 모두 수용하여 서비스를 출시하고 그 이후에도 해당 논의 내용을 충실히 반영하는지 이행점검을 받기로 하였습니다.
이처럼 카나나는 출시단계부터 서비스 제공 이후까지 법적 불확실성 없이 신뢰할 수 있는 방식으로 운영될 수 있도록 노력하고 있습니다.
* 참고: 개인정보위, “인공지능 친구 ‘카나나’ 서비스 관련 사전적정성 검토 결과 심의‧의결” (link)
AI 서비스는 성능만큼이나 이용자와의 신뢰를 유지하는 것 역시 핵심적인 요소입니다.
카카오는 기획 초기부터 AI 서비스에 적합한 개인정보 보호 기준이 무엇인지에 대해 깊이 고민해 왔으며,
기존의 법과 제도를 충실히 준수하는 한편, 새로운 기술 환경에 맞는 보호조치를 마련하고자 지속적으로 노력해 왔습니다.
앞으로도 카카오는 신뢰할 수 있는 안전한 AI 서비스를 제공하기 위해, 기술적·제도적 측면에서의 점검과 개선을 계속해 나가겠습니다.
