SKT의 AI 서비스인 ‘에이닷(A.)‘이 제공하는 통화 녹음 및 요약 기능은 사용자 편의성을 크게 높여왔습니다. 그러나 이 과정에서 민감한 통화 기록이 처리되면서 프라이버시 침해 우려가 제기되었습니다. 이에 따라 개인정보보호위원회(PIPC)는 AI 응용 서비스의 안전 조치 의무 준수 여부를 선제적으로 확인하기 위한 에이닷 통화기록 보안 점검을 실시했습니다.
이번 점검은 AI 시대에 개인 데이터 보호 기준을 어떻게 설정하고 준수해야 하는지에 대한 중요한 기준점을 제시했다는 점에서 큰 의미가 있습니다.
규제 당국 지적: 통화 기록 시스템의 안전 조치 미흡
에이닷 통화기록 보안 점검 결과, 개인정보보호위원회는 SKT의 시스템 운영에서 중대한 미흡 사항을 확인했습니다. 핵심은 민감한 통화 녹음 텍스트 데이터를 임시 저장하는 서버의 접근 기록을 법정 의무 기간 동안 충분히 보관하지 않은 사실입니다. 이는 개인정보 보호법상 ‘기술적·관리적 안전 조치 의무’를 위반한 것으로 판단되었습니다.
핵심 문제: 개인정보 접근 기록의 미비는 누가, 언제 민감 정보에 접근했는지 추적을 근본적으로 불가능하게 만듭니다. 이는 잠재적 데이터 유출 위험 발생 시 책임 규명과 선제적 대응을 어렵게 하는 중대한 보안 결함으로 평가됩니다.
개인정보보호위원회가 SKT에 내린 구체적인 시정 권고 사항
PIPC는 재발 방지와 사용자 보호 강화를 위해 SKT에 다음과 같은 구체적인 시정 조치를 권고했습니다:
- 보관 기간 최소화: 텍스트 파일의 보관 기간을 요약 완료 즉시 대폭 단축해야 합니다.
- 비식별 처리 의무화: 민감 정보에 대한 비식별 및 암호화 처리를 강화해야 합니다.
- 명확한 고지: 데이터 처리 과정 및 정책을 이용자에게 상세하고 투명하게 설명해야 합니다.
SKT의 신속한 시정 조치와 신뢰 회복을 위한 노력
SK텔레콤은 개인정보보호위원회로부터 제기된 사전 시정 권고를 전면적으로 수용하고, 지적 사항을 해소하기 위한 기술적 조치를 즉각 시행했습니다. 이는 ‘에이닷 통화기록 보안 점검’ 과정에서 미흡했던 텍스트 파일 보관 시스템의 보안 체계를 근본적으로 강화하는 데 중점을 두었습니다.
주요 시스템 개선 사항
- 내부 직원의 데이터 접근 기록 관리 체계를 대폭 강화 및 정교화하여 추적 가능성을 높였습니다.
- AI 학습 데이터의 보관 기간을 개인정보 보호 원칙에 따라 최소한으로 단축 조치했습니다.
- 접근 권한 재분류를 통해 비인가자의 데이터 접근 가능성을 원천적으로 차단했습니다.
“SKT의 선제적 대응은 단순 법규 준수를 넘어, AI 서비스 운영 전반에서 사용자의 민감한 통화 기록과 개인정보 보호를 최우선 가치로 두겠다는 확고한 의지를 사회에 보여준 사례입니다.”
이러한 체계적인 개선 노력과 더불어, SKT는 AI 서비스 전반의 개인정보 처리 지침을 사용자 친화적인 언어로 더욱 투명하게 공개하고 동의 절차를 구체화했습니다. 이는 기업이 높아지는 규제 기준과 사회적 요구 속에서, 사용자와의 신뢰 회복을 서비스 지속 가능성의 핵심으로 인식하고 있음을 명확히 보여줍니다.
기술적 진보: 온디바이스 AI로 프라이버시 극대화
에이닷 서비스는 단순히 통화 편의성을 넘어, 핵심 데이터인 통화기록 보안 점검 영역까지 기술 혁신을 확장하며 신뢰도를 높이고 있습니다. 최근 주목받는 ‘AI 보이스피싱 탐지’ 기능은 보안과 사용자 프라이버시를 동시에 지키는 획기적인 사례로, 그 핵심에는 진일보한 온디바이스 AI(On-Device AI) 기술이 있습니다.
온디바이스 AI 작동 원리: 데이터 유출 원천 차단
온디바이스 AI는 보이스피싱 의심 키워드 분석부터 경고 알림까지 모든 AI 처리 과정이 외부 서버를 거치지 않고 사용자의 단말기 내에서만 이루어지는 방식을 말합니다. 이 기술은 기존 서버 기반 처리 방식이 가질 수 있는 잠재적 보안 우려를 원천적으로 해소합니다. AI가 단말기 내에서 통화 패턴을 분석하고 즉시 경고를 제공함으로써, 지연 없는 실시간 대응이 가능해집니다.
민감한 통화 음성 데이터는 사용자의 기기를 단 한 순간도 벗어나지 않으며, 서버로 전송되거나 저장될 염려가 완전히 차단됩니다. 이를 통해 사용자에게 데이터 처리 과정에 대한 최고 수준의 통제권, 즉 데이터 주권을 제공하는 중요한 기술적 진보로 평가받습니다.
온디바이스 AI 도입 효과
- 프라이버시 극대화: 통화 내용의 서버 저장 및 전송 우려를 원천적으로 해소합니다.
- 실시간 대응 능력: 단말기 내에서 즉각적인 분석 및 경고 알림을 제공합니다.
- 보안 점검 확장: 사용자가 통화 기록의 안전성을 직접 확인하고 통제할 수 있습니다.
혁신과 신뢰를 위한 AI 서비스의 미래 방향
이번 에이닷 통화기록 보안 점검 사례는 AI가 개인 정보와 접하는 모든 순간에 신뢰가 최우선 가치임을 재확인하는 계기가 되었습니다. 이는 혁신 이전에 기술적 안정성이 반드시 확보되어야 함을 시사하는 필수적인 신뢰 구축 단계였습니다.
미래 AI 서비스가 나아가야 할 핵심 가치
- 기술적 안정성 확보: 온디바이스 AI 확대를 통해 데이터 주권을 보장하고 개인정보 침해 가능성을 최소화해야 합니다.
- 규제 투명성 존중: 규제 당국의 선제적 점검을 존중하고 이를 신속히 개선하는 책임감 있는 자세를 유지해야 합니다.
- 사용자 신뢰 구축: 지속적인 보안 강화 로드맵을 투명하게 공개하고, 사용자 소통 기반을 마련하여 신뢰 관계를 공고히 해야 합니다.
궁극적으로 AI 서비스는 사용자 편의 증진과 동시에 최고 수준의 개인정보 보호를 달성하는 방향으로 진화해야 하며, 이번 에이닷 사례는 그 길을 선도하는 중요한 이정표가 될 것입니다.
사용자 프라이버시 및 통화기록 보안 강화 관련 주요 문의 사항 (FAQ)
Q1. 에이닷 통화 요약 기능 사용 시, 통화 내용이 서버에 저장되며, 그 데이터 처리 과정은 어떻게 되나요?
A. 통화 녹음 및 요약 서비스는 텍스트 변환과 AI 기반 요약이라는 고도화된 처리를 위해 SKT 서버 및 Microsoft 클라우드 인프라를 활용합니다. 개인정보보호위원회(개인정보위)의 시정 권고를 준수하여, SKT는 사용자 프라이버시 보호를 최우선으로, 텍스트 파일의 보관 기간을 요약 완료 즉시 최소화하도록 조치했습니다.
서비스는 기능을 다음과 같이 온디바이스(단말기 내 처리)와 클라우드(서버 처리)로 명확히 구분하여 운영하며, 사용자에게 처리 방식에 대한 명확한 인지를 제공합니다.
데이터 처리 방식별 특징
- 온디바이스 (예: AI 보이스피싱 탐지): 통화 데이터가 단말기 외부로 전송되지 않아 최고 수준의 보안성을 가집니다.
- 클라우드 (예: 통화 요약): 변환 및 요약을 위해 일시적으로 서버에서 처리되나, 접속 기록 관리 및 접근 통제 등 안전 조치가 법적 기준 이상으로 강화되었습니다.
Q2. 시정 권고를 받은 에이닷 서비스는 현재 어떤 개선 사항을 적용했으며, 계속 사용해도 안전한가요?
A. SK텔레콤은 개인정보보호위원회의 시정 권고 내용을 전면적이고 적극적으로 수용하여 지적받은 모든 미흡 사항, 특히 접속 기록 미보관 및 관리 문제에 대해 시스템을 근본적으로 개선했습니다. 현재는 법적 의무를 충족하는 수준을 넘어 강화된 안전 조치를 이행하고 있습니다.
개선 핵심 사항: 접속 기록 보관 기간을 법적 기준 이상으로 확보하고, 기록에 대한 정기적인 점검 및 감사 체계를 구축하여 데이터 처리의 투명성과 책임성을 극대화했습니다. 이제 사용자께서는 이전보다 훨씬 보안 환경이 강화된 상태에서 서비스를 이용하실 수 있습니다.
Q3. 사용자 본인의 통화 기록 및 요약 데이터는 어떻게 확인하거나 삭제할 수 있으며, 통제권은 보장되나요?
A. 에이닷 서비스는 사용자에게 본인의 데이터에 대한 완전한 통제권을 제공합니다. 통화 요약 및 녹음 파일은 앱 내의 특정 메뉴에서 언제든지 확인 및 관리할 수 있으며, 삭제 요청 시 지체 없이 모든 서버와 클라우드 인프라에서 영구 삭제됩니다. 데이터의 삭제나 철회 절차는 다음과 같이 투명하고 간단하게 진행됩니다.
데이터 삭제 절차
- 앱 내 ‘통화 요약 설정’ 접근: 에이닷 앱 내 설정 메뉴에서 ‘통화 요약 기록 관리’로 이동합니다.
- 기록 확인 및 선택: 저장된 개별 통화 요약 기록을 확인합니다.
- 영구 삭제 실행: 원하는 기록을 선택하거나 전체 기록을 선택하여 삭제 요청을 실행합니다.
- 삭제 확인: 요청 즉시 서버에서 데이터가 삭제되며, 사용자에게 삭제 완료 알림이 제공됩니다.
또한, 개인정보 처리 방침을 통해 데이터 관리 기준을 상시 공개하고 있어, 투명성을 확보하고 있습니다.
