메타 인스타그램 AI 이미지 기능 3일 만에 중단…개인정보 동의 없는 사진 학습 논란
메타가 인스타그램 사진 기반 AI 이미지 생성 기능을 출시 사흘 만에 철회했다. 이용자 동의 없이 개인 사진을 AI 학습에 활용한 것이 개인정보보호 위반 논란을 촉발했다.
https://privacynews.kr/s/57ca86핵심 요약
- 메타가 2026년 7월 인스타그램 사진 기반 AI 이미지 생성 기능을 출시 3일 만에 전격 중단 - 이용자 명시적 동의 없이 개인 사진을 AI 학습 데이터로 활용한 것이 개인정보 자기결정권 침해 논란 야기 - AI 서비스 고도화와 개인정보보호 간 균형이 플랫폼 경쟁력의 핵심 변수로 부상주요 내용
메타가 2026년 7월 초 인스타그램에 도입한 AI 이미지 생성 기능을 출시 사흘 만에 긴급 중단했다. 해당 기능은 이용자가 업로드한 사진을 기반으로 AI가 새로운 이미지를 자동 생성하는 서비스였으나, 개인정보 수집·이용에 대한 명시적 동의 절차 없이 운영되면서 즉각적인 반발에 직면했다.
특히 문제가 된 부분은 이용자의 얼굴, 신체 특징, 사적 공간 등이 담긴 사진이 별도 동의 없이 AI 학습 데이터로 활용됐다는 점이다. EU의 GDPR(일반개인정보보호규정)과 우리나라 개인정보보호법 모두 민감정보 및 생체정보 처리 시 명시적 동의를 요구하고 있는데, 메타는 서비스 약관 내 포괄적 동의만으로 이를 정당화하려 했다. 개인정보보호 전문가들은 "AI 학습 목적의 데이터 처리는 원래 수집 목적과 명백히 다른 별도 처리행위"라며 "목적 외 이용에 해당해 추가 동의가 필수"라고 지적했다.
이번 사태는 AI 서비스 제공 기업들이 기술 개발 속도에만 집중하다 개인정보보호 원칙을 간과할 경우 즉각적인 시장 신뢰 손실로 이어질 수 있음을 보여준다. 실제로 메타는 기능 중단 발표 후 "이용자 피드백을 반영해 개인정보 보호 장치를 재설계하겠다"고 밝혔으나, 이미 손상된 브랜드 신뢰 회복에는 상당한 시간이 소요될 전망이다.
업계에서는 AI 기능 고도화와 개인정보 보호 사이의 균형이 앞으로 플랫폼 경쟁력의 핵심 변수가 될 것으로 전망하고 있다. 이용자 신뢰를 확보하지 못한 AI 서비스는 기술적 완성도와 별개로 시장에서 거센 반발에 직면할 수밖에 없다는 분석이다.
전문가 시각
ISMS-P 선임심사원 관점에서 이번 사례는 AI 서비스 기획 단계부터 '프라이버시 바이 디자인(Privacy by Design)' 원칙이 필수적으로 적용돼야 함을 보여준다. 특히 생성형 AI 서비스는 ① 학습 데이터 수집 단계에서의 명시적 동의 ② 학습된 모델의 개인정보 재식별 위험 평가 ③ AI 생성 결과물의 개인정보 포함 여부 검증 등 3단계 개인정보 영향평가가 필수적이다. 메타 사례는 이 중 첫 번째 단계부터 실패한 전형적인 컴플라이언스 부재 사례다.
국내 기업들은 이번 사태를 타산지석으로 삼아야 한다. 2026년 현재 AI기본법 시행을 앞두고 있는 상황에서, AI 학습용 개인정보 처리 시 ① 수집 목적의 명확한 특정 ② 최소 수집 원칙 준수 ③ 정보주체 동의 및 철회권 보장 ④ 학습 데이터 출처 및 처리 내역 기록·관리 등이 법적 의무사항으로 강화될 전망이다. 특히 ISMS-P 인증 기업의 경우 AI 서비스 도입 시 개인정보 영향평가(PIA) 수행과 함께 AI 특화 보호대책을 정보보호 관리체계에 반영해야 재인증 심사를 통과할 수 있다.
CPPG·ISMS-P 연계 포인트
1. 목적 외 이용 제한 원칙: 개인정보보호법 제15조 및 제18조는 개인정보를 수집 목적 범위 내에서만 이용하도록 제한하며, 목적 외 이용 시 별도 동의를 요구한다. AI 학습은 원래 사진 업로드 목적(SNS 공유)과 다른 새로운 처리행위로, 명시적 추가 동의가 필수다. ISMS-P 인증심사 시 '2.6.1 개인정보 수집 시 동의 사항' 통제항목에서 목적 외 이용 동의 절차를 집중 점검한다.
2. 개인정보 영향평가(PIA) 의무: 개인정보보호법 제33조는 대규모 개인정보 처리 시스템 구축·운영 시 사전 영향평가를 의무화한다. 특히 AI 학습용 대규모 이미지 데이터 처리는 민감정보·생체정보가 포함될 가능성이 높아 필수 평가 대상이다. ISMS-P '2.7.3 개인정보 영향평가' 통제항목에서는 평가 수행 여부, 개선조치 이행 실적을 확인한다.


