클로드 얼굴인증 도입, 민감정보 수집 규제 공백 논란…개인정보보호법 손질 필요

핵심 요약

- 앤트로픽 클로드 AI가 본인확인을 위해 얼굴인증을 도입, 생체정보 등 민감정보 수집 논란 - 현행 개인정보보호법상 앤트로픽코리아가 국내 대리인 역할을 하나 실질적 규제 한계 존재 - AI 서비스의 민감정보 처리에 대한 선제적 규제 체계 마련 필요성 대두

주요 내용

앤트로픽이 제공하는 대화형 AI 서비스 '클로드'가 2026년 6월 본인확인 절차에 얼굴인증을 도입하면서 생체정보를 포함한 민감정보 수집에 대한 우려가 커지고 있다. 개인정보보호법상 민감정보에 해당하는 생체정보를 AI 서비스 이용을 위해 필수적으로 수집하는 것에 대해 규제 공백이 존재한다는 지적이 나온다.

현행 개인정보보호법 제31조의2에 따라 앤트로픽코리아가 앤트로픽의 국내 대리인 역할을 수행하고 있으나, 외국 AI 기업이 수집한 민감 개인정보를 국외로 이전하는 상황에 대한 실질적인 통제는 제한적이다. 특히 생체정보의 경우 한번 유출되면 변경이 불가능하다는 특성상 보안 위험이 더욱 크다.

전문가들은 AI 서비스가 제공하는 가치에 비해 과도한 개인정보 수집이 이루어지는 것은 아닌지 면밀한 검토가 필요하다고 지적한다. 개인정보보호법 제23조는 민감정보 처리 시 별도 동의를 요구하고 있으나, AI 서비스 특성상 이용자가 동의 거부 시 서비스 자체를 이용할 수 없는 구조적 문제가 있다.

2026년 현재 EU의 AI Act와 미국의 주별 생체정보 보호법 등 해외에서는 AI 서비스의 민감정보 처리에 대한 구체적 규제가 강화되고 있는 추세다. 국내에서도 AI 서비스의 개인정보 처리 특성을 반영한 법 개정 논의가 시급한 상황이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, AI 서비스 제공을 위한 생체정보 수집은 개인정보 처리 최소화 원칙과 충돌할 가능성이 크다. 특히 클로드와 같은 범용 AI 서비스에서 얼굴인증이 필수적인지에 대한 정당성 검토가 선행되어야 한다. 기업은 개인정보 영향평가(PIA)를 통해 민감정보 수집의 필요성과 비례성을 입증하고, 대체 수단(비생체 인증 방식) 제공 여부를 고려해야 한다.

국내 사업자는 해외 AI 서비스 도입 시 개인정보 처리위탁 또는 제3자 제공 관점에서 법적 책임을 명확히 해야 한다. 특히 국외 이전되는 민감정보에 대해서는 개인정보보호법 제28조의8에 따른 안전성 확보조치와 정보주체 고지 의무를 철저히 이행해야 한다. AI 거버넌스 체계 구축 시 생체정보의 저장 기간, 암호화 방식, 파기 절차 등을 명확히 문서화하고 주기적으로 점검하는 것이 필수적이다.

CPPG·ISMS-P 연계 포인트

민감정보 처리 시 별도 동의 (개인정보보호법 제23조) 생체인식정보, 건강정보 등 민감정보 처리 시에는 정보주체의 별도 동의를 받아야 하며, 동의 거부권과 불이익 금지 원칙을 명확히 고지해야 한다. AI 서비스에서도 이 원칙은 동일하게 적용된다.

개인정보 국외 이전 시 안전성 확보 (개인정보보호법 제28조의8) 개인정보를 국외로 이전하는 경우 이전되는 국가, 이전 목적, 보유 기간 등을 정보주체에게 고지하고 동의를 받아야 하며, 이전받는 자의 안전성 확보조치 수준을 확인해야 한다. 특히 민감정보의 경우 더욱 강화된 보호조치가 요구된다.