3가지 챗봇 개인 정보 보호 위험 및 우려 사항에 대해 알아야 할 사항
챗봇 기술은 이미 여러 해 동안 존재해 왔지만, ChatGPT나 Google Bard와 같은 거대 언어 모델의 출현으로 챗봇 분야는 새로운 전기를 맞이했습니다.
현재 전 세계적으로 수많은 사용자들이 인공지능 챗봇을 이용하고 있지만, 이러한 도구를 활용하기 전에 반드시 인지해야 할 몇 가지 중요한 개인 정보 보호 위험 요소와 주의 사항들이 있습니다.
1. 데이터 수집
대부분의 사람들은 단순한 인사말을 나누기 위해 챗봇을 사용하지 않습니다. 최첨단 챗봇들은 복잡한 질문이나 요청에 대해 이해하고 응답하도록 설계되어 있으며, 사용자는 이러한 대화 과정에서 상당량의 정보를 제공하는 경향이 있습니다. 심지어 간단한 질문을 할 때조차, 사용자들은 대화 내용 이상의 정보가 공유되는 것을 원하지 않을 것입니다.
OpenAI 지원 섹션에 따르면, 사용자는 언제든지 ChatGPT의 대화 기록을 삭제할 수 있으며, 해당 기록은 30일 후 OpenAI 시스템에서 완전히 제거됩니다. 하지만, 유해하거나 부적절한 내용으로 보고된 특정 대화 기록은 회사에서 보관 및 검토 목적으로 저장될 수 있습니다.
또 다른 인기 있는 AI 챗봇인 Claude 역시 이전 대화를 추적합니다. Anthropic 지원 센터에 따르면 Claude는 "사용자 제어하에 시간이 지나도 일관된 제품 경험을 제공하기 위해 제품 프롬프트 및 출력"을 기록합니다. 사용자가 Claude와 나눈 대화를 삭제하여 대화 내용을 잊을 수 있지만, 이것이 Anthropic이 시스템에서 즉시 해당 기록을 제거한다는 의미는 아닙니다.
가장 중요한 질문은 결국, 내 데이터가 실제로 저장되는가, 그리고 ChatGPT를 비롯한 다른 챗봇들이 내 데이터를 사용하는가에 대한 것입니다.
그러나 우려는 여기서 멈추지 않습니다.
ChatGPT는 어떻게 학습하는가?
정보 제공을 위해 거대 언어 모델들은 엄청난 양의 데이터로 학습을 진행합니다. 과학 포커스에 따르면, ChatGPT-4만 하더라도 학습 과정에서 3천억 단어 분량의 정보를 제공받았습니다. 이는 단순히 몇몇 백과사전에서 가져온 정보가 아닙니다. 챗봇 개발자들은 인터넷상의 방대한 양의 정보를 활용하여 모델을 학습시킵니다. 이에는 서적, 영화, 기사, 위키피디아 항목, 블로그 게시물, 댓글, 리뷰 사이트 등의 데이터가 포함될 수 있습니다.
챗봇 개발사의 개인 정보 보호 정책에 따라, 위에 언급된 일부 자료들은 학습에 사용되지 않을 수도 있다는 점을 유념해야 합니다.
많은 사람들이 개인 정보 보호 측면에서 ChatGPT를 비판하며 신뢰할 수 없다고 주장합니다. 왜 이런 우려가 발생하는 걸까요?
상황은 여기서 약간 모호해집니다. ChatGPT-3.5에 제품 리뷰나 기사 댓글에 대한 접근 권한이 있는지 직접 물어보면 단호한 부정적 답변을 얻게 될 것입니다. 아래 스크린샷에서 확인할 수 있듯이, GPT-3.5는 학습 과정에서 사용자 기사 댓글이나 제품 리뷰에 접근할 수 없었다고 명시합니다.
대신, "2021년 9월까지 웹사이트, 서적, 기사 및 기타 공개적으로 이용 가능한 텍스트를 포함한 인터넷의 다양한 텍스트"를 활용하여 학습했다고 합니다.
그렇다면 GPT-4도 마찬가지일까요?
GPT-4에 문의한 결과, "OpenAI는 챗봇 학습 과정에서 특정 사용자 리뷰, 개인 데이터, 기사 댓글 등을 사용하지 않았다"고 합니다. GPT-4는 또한 응답이 '데이터의 패턴'에서 생성된다고 밝히며, 주로 인터넷 서적, 기사 및 기타 텍스트로 구성된 학습을 받았다고 덧붙였습니다.
추가 조사 결과, GPT-4는 특정 소셜 미디어 콘텐츠가 학습 데이터에 포함될 수 있지만, 작성자는 항상 익명으로 유지된다고 주장했습니다. GPT-4는 "Reddit과 같은 플랫폼의 콘텐츠가 학습 데이터의 일부였을 수 있지만, 개별 사용자와 연결될 수 있는 특정 댓글, 게시물 또는 모든 데이터에 접근할 수 없다"고 강조했습니다.
GPT-4의 답변 중 또 다른 주목할 점은 "OpenAI가 사용된 모든 데이터 출처를 명확하게 나열하지 않았다"는 것입니다. 물론 OpenAI가 3천억 단어 분량의 출처를 모두 나열하는 것은 어려울 수 있지만, 이는 추측의 여지를 남깁니다.
아르스 테크니카 기사에 따르면, ChatGPT는 '동의 없이 얻은 개인 정보'를 수집한다고 명시되어 있습니다. 해당 기사에서는 정보를 원래 사용된 맥락에서만 사용해야 함을 의미하는 맥락적 무결성이라는 개념을 언급합니다. ChatGPT가 이러한 맥락적 무결성을 위반하면 개인 데이터가 위험에 처할 수 있습니다.
또 다른 우려 사항은 OpenAI가 일반 데이터 보호 규정(GDPR)을 준수하는지 여부입니다. GDPR은 유럽연합에서 시행하는 규정으로 시민의 데이터를 보호하는 데 목적이 있습니다. 이탈리아와 폴란드를 포함한 다양한 유럽 국가에서 GDPR 준수 여부에 대한 우려로 ChatGPT에 대한 조사를 시작했습니다. 한때 ChatGPT는 개인 정보 보호 문제로 인해 이탈리아에서 일시적으로 사용 금지되기도 했습니다.
OpenAI는 과거에 AI 규제 계획으로 인해 EU에서 철수하겠다고 위협했지만 이후 철회했습니다.
ChatGPT는 현재 가장 큰 AI 챗봇일 수 있지만, 챗봇의 개인 정보 보호 문제는 이 제공업체에서 시작하고 끝나지 않습니다. 개인 정보 보호 정책이 미흡한 의심스러운 챗봇을 사용하는 경우, 대화 내용이 오용되거나 민감한 정보가 학습 데이터에 사용될 수 있다는 점을 명심해야 합니다.
2. 데이터 도난
다른 온라인 도구나 플랫폼과 마찬가지로 챗봇 역시 사이버 범죄에 취약합니다. 챗봇이 사용자 데이터를 보호하기 위해 최선을 다한다고 해도, 숙련된 해커가 내부 시스템에 침투할 가능성은 항상 존재합니다.
특정 챗봇 서비스가 프리미엄 구독을 위한 결제 정보, 연락처 등과 같은 민감한 정보를 저장하는 경우, 사이버 공격 발생 시 이러한 정보가 도난당하거나 악용될 수 있습니다.
특히 개발자가 적절한 보안 조치에 투자하지 않은 덜 안전한 챗봇을 사용할 경우 위험성이 더욱 커집니다. 회사의 내부 시스템이 해킹될 수 있을 뿐 아니라, 로그인 알림이나 인증 시스템이 미흡한 경우 사용자 계정이 손상될 가능성도 있습니다.
AI 챗봇이 인기를 얻으면서 사이버 범죄자들은 자연스럽게 이 분야를 악용하여 사기를 치기 시작했습니다. 2022년 말 OpenAI의 챗봇이 큰 인기를 끌기 시작하면서, 가짜 ChatGPT 웹사이트와 플러그인이 등장하여 사람들을 속이고 개인 정보를 탈취하는 문제가 심각해졌습니다.
2023년 3월, MUO는 페이스북 로그인 정보를 훔치는 가짜 ChatGPT 크롬 확장 프로그램에 대한 보고서를 발표했습니다. 이 플러그인은 페이스북의 취약점을 악용하여 유명 계정을 해킹하고 사용자 쿠키를 탈취하는 데 사용되었습니다. 이는 사용자를 속이기 위해 만들어진 수많은 가짜 ChatGPT 서비스 중 한 예일 뿐입니다.
3. 악성코드 감염
본인도 모르게 의심스러운 챗봇을 이용하고 있는 경우, 해당 챗봇이 악성 웹사이트 링크를 제공할 수 있습니다. 챗봇이 매력적인 경품 행사에 대해 알리거나, 특정 주장에 대한 출처를 제공할 수도 있습니다. 챗봇 서비스 운영자가 불법적인 의도를 가지고 있는 경우, 해당 플랫폼의 목적은 악성 링크를 통해 악성 코드와 사기를 확산시키는 것일 수 있습니다.
또는 해커가 합법적인 챗봇 서비스를 손상시켜 이를 악성 코드 확산에 이용할 수도 있습니다. 해당 챗봇이 매우 자연스러워 보인다면, 수천 명 또는 수백만 명의 사용자가 악성 코드에 노출될 수 있습니다. 가짜 ChatGPT 앱은 Apple App Store에도 있으므로, 주의해서 사용하는 것이 최선입니다.
일반적으로, 챗봇이 제공하는 링크를 클릭하기 전에는 반드시 링크 검사 웹사이트를 통해 해당 링크를 확인해야 합니다. 이는 다소 번거로울 수 있지만, 연결되는 사이트가 악의적인 목적을 가지고 있는지 확인하는 것이 중요합니다.
또한, 적법성을 먼저 확인하지 않은 챗봇 플러그인 및 확장 프로그램을 설치하지 않도록 주의해야 합니다. 앱에 대한 간단한 조사를 통해 앱이 긍정적인 평가를 받고 있는지 확인하고, 앱 개발자를 검색하여 의심스러운 점이 있는지 확인하는 것이 좋습니다.
챗봇은 개인 정보 보호 문제로부터 자유롭지 않습니다.
오늘날 대부분의 온라인 도구와 마찬가지로 챗봇 역시 보안 및 개인 정보 보호 문제로 인해 지속적인 비판을 받아왔습니다. 사용자 안전을 최우선으로 생각하는 챗봇 제공업체이든, 지속적인 사이버 공격 및 사기 위험을 인지하든, 챗봇 서비스가 어떤 데이터를 수집하고 있는지, 적절한 보안 조치를 취하고 있는지 파악하는 것이 매우 중요합니다.