속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

네이버 ESG 평가 하락, 생성형 AI 개인정보·저작권 리스크 통제 한계 인정

네이버가 2026년 ESG 보고서에서 생성형 AI의 개인정보 보호, 저작권, 허위정보 생성 등 주요 위험 요소에 대한 완전한 통제 한계를 공식 인정했다.

백남정 기자
입력 2026년 7월 3일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/90b07f

핵심 요약

- 네이버가 2026년 ESG 보고서에서 생성형 AI 서비스의 개인정보 보호, 저작권 침해, 허위·유해정보 생성 위험에 대한 완전한 통제 한계를 공식 인정 - 2025년 한 해 동안 네이버 서비스를 겨냥한 피싱 공격 등 보안 위협이 지속되며 ESG 지표 중 윤리·탄소·다양성 부문에서 후퇴 현상 발생 - AI 기본법 시행을 앞둔 시점에서 빅테크 기업의 AI 거버넌스 체계 구축과 실질적 리스크 관리 역량이 시험대에 오름

주요 내용

네이버가 2026년 7월 공개한 ESG 보고서에서 생성형 AI 서비스 운영에 따른 주요 리스크를 명시적으로 인정하며, 완전한 통제에는 한계가 있을 수 있다고 밝혔다. 보고서는 개인정보 보호, 저작권 침해, 허위·유해정보 생성을 생성형 AI 특유의 핵심 위험 요소로 제시했다. 이는 국내 대표 빅테크 기업이 AI 서비스의 근본적 한계를 공식 문서에서 인정한 것으로, AI 거버넌스 관점에서 중요한 의미를 갖는다.

특히 2025년 한 해 동안 네이버 서비스를 겨냥한 피싱 공격이 지속되는 등 보안 위협이 현실화되면서, ESG 평가에서도 윤리·탄소배출·다양성 지표가 후퇴한 것으로 나타났다. 생성형 AI 서비스의 대규모 확산은 데이터센터 전력 소비 증가로 이어지며 탄소배출 증가 요인으로 작용하고, AI가 생성한 콘텐츠의 저작권 귀속 문제는 여전히 법적 논란의 중심에 있다.

2026년 하반기 AI 기본법 시행을 앞둔 시점에서, 네이버의 이번 리스크 인정은 AI 사업자의 법적 책임 범위와 안전 관리 의무에 대한 실무적 쟁점을 제기한다. AI 기본법은 고위험 AI 시스템에 대해 사전 영향평가, 사후 모니터링, 투명성 확보 등을 의무화하고 있으며, 개인정보 처리를 수반하는 생성형 AI 서비스는 개인정보보호법상 안전조치 의무도 동시에 준수해야 한다.

생성형 AI의 개인정보 보호 리스크는 학습 데이터에 포함된 개인정보 유출, 프롬프트 인젝션을 통한 민감정보 추출, AI 모델의 할루시네이션으로 인한 허위 개인정보 생성 등 다층적 구조를 갖는다. 2025년 한 해 동안 발생한 피싱 공격은 AI 기반 자동화 공격 기법이 정교화되면서 기존 보안 체계의 한계를 드러낸 사례로 분석된다.

전문가 시각

ISMS-P 인증 심사 실무 관점에서, 생성형 AI 서비스 운영 기업은 기술적 한계를 인정하되 잔존 리스크(residual risk)에 대한 명확한 관리 체계를 구축해야 한다. 완전한 통제가 불가능하다는 인정은 면책 사유가 아니라, 보상적 통제(compensating control) 마련의 출발점이다. AI 모델의 출력 검증 체계, 사용자 권리 보장 메커니즘, 사고 대응 프로세스 등 다층 방어 체계를 구축하고, 이를 정기적으로 점검·개선하는 사이클이 필요하다.

네이버와 같은 대규모 AI 서비스 제공자는 2026년 현재 AI 기본법상 '고위험 AI 시스템' 제공자로 분류될 가능성이 높으며, 이 경우 사전 적합성 평가와 지속적 모니터링 의무가 부과된다. 개인정보보호위원회와 과학기술정보통신부의 이중 규제 대상이 될 수 있어, 통합적 컴플라이언스 체계 구축이 시급하다. 특히 피싱 공격 대응을 위해서는 AI 기반 이상 탐지 시스템 고도화와 함께, 사용자 대상 AI 리터러시 교육을 통한 사회적 방어 역량 강화가 병행되어야 한다.

CPPG·ISMS-P 연계 포인트

AI 시스템 위험 관리 체계: ISMS-P 인증기준 2.8.2(인공지능 서비스 보호대책)는 AI 서비스 제공 시 학습 데이터 보호, 모델 보안, 출력 검증 체계를 요구한다. 생성형 AI의 경우 할루시네이션으로 인한 허위 개인정보 생성 위험을 식별하고, 출력 필터링·사용자 고지·이의제기 프로세스 등 보상적 통제를 문서화해야 한다.

잔존 리스크 관리 원칙: 완전한 위험 제거가 불가능한 경우, 조직은 위험 수용(risk acceptance) 결정을 경영진 승인 하에 문서화하고, 잔존 위험에 대한 모니터링 체계를 운영해야 한다. ISMS-P 인증심사 시 AI 서비스의 잔존 위험은 ① 위험 평가 결과 ② 경영진 승인 기록 ③ 보상 통제 조치 ④ 지속적 모니터링 계획으로 입증해야 하며, 단순한 기술적 한계 언급만으로는 불충분하다.

#네이버#생성형AI#ESG#개인정보보호#AI거버넌스
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사