중국 AI 기업, 얼굴 감정 인식 기술에 '다층 암호화'로 개인정보 보호 강화

핵심 요약

- 중국 AI 기업이 행인의 얼굴에서 감정을 읽어 맞춤 서비스를 제공하는 기술을 상용화하며 개인정보 보호 대책 강화 - 개인 식별정보와 정서 상태 정보를 완전히 분리 관리하는 다층적 암호화 시스템 구축으로 프라이버시 침해 우려 최소화 시도 - 딥시크 쇼크 이후 가속화된 중국 AI 산업의 개인정보 보호 기술 동향에 주목 필요

주요 내용

중국의 한 AI 기업이 행인의 얼굴 표정에서 감정을 분석해 4일 만에 맞춤형 의류를 제작하는 서비스를 선보이며, 생체정보 보호를 위한 기술적 안전장치를 강조했다. 모우 회장은 "개인정보 보호를 위해 다층적 암호화 시스템을 구축하고 개인 식별 정보와 정서 상태 정보를 완전히 분리해 관리한다"고 밝혔다.

이는 얼굴 인식 기술과 감정 분석 AI가 결합된 서비스로, 고객의 표정·시선·미세 반응 등을 분석해 선호도를 파악하는 방식이다. 문제는 이러한 기술이 생체정보와 민감정보를 동시에 처리한다는 점이다. 개인정보보호법상 생체인식정보는 고유식별정보로, 정서·감정 정보는 민감정보로 분류돼 별도의 동의와 보호조치가 필수적이다.

중국의 AI 열풍은 지난해 초 '딥시크 쇼크' 이후 더욱 가속화되고 있다. 딥시크는 적은 비용으로 고성능 AI 모델을 개발해 글로벌 AI 시장에 충격을 줬으며, 이후 중국 AI 기업들은 상용화 경쟁에 박차를 가하고 있다. 다만 개인정보 보호에 대한 국제적 우려가 높아지면서, 중국 기업들도 암호화·익명화 등 기술적 보호조치를 강조하는 추세다.

한국 기업들도 AI 기반 고객 분석 서비스를 도입하며 유사한 개인정보 이슈에 직면하고 있다. 특히 리테일·패션 업계에서 고객 행동 분석, 감정 인식 기술 활용이 증가하면서 개인정보보호법 준수와 혁신의 균형점 찾기가 과제로 떠오르고 있다.

전문가 시각

ISMS-P 선임심사원 관점에서의 기술적 보호조치 해당 사례의 핵심은 '개인 식별정보와 정서 상태 정보의 분리 관리'다. 이는 ISMS-P의 '개인정보 최소 수집 및 분리 보관' 원칙과 일치한다. 생체정보 처리 시스템 설계 시 ① 수집 단계에서의 암호화 ② 전송 구간 암호화 ③ 저장 시 분리 보관 ④ 접근 권한 차등 부여 등 다층 방어 체계를 구축해야 한다. 특히 감정 분석 결과는 프로파일링으로 이어질 수 있어 GDPR의 자동화된 의사결정 규제와 유사한 통제가 필요하다.

AI 기본법 시대, 기업 대응 전략 국내에서도 AI 기본법 제정 논의가 진행 중이며, AI 시스템의 투명성과 설명 가능성이 핵심 쟁점이다. 감정 인식 AI를 도입하는 기업은 ① 개인정보 영향평가(PIA) 사전 실시 ② 생체정보 처리 동의 절차 명확화 ③ AI 학습 데이터셋의 편향성 검증 ④ 정보주체 권리 보장(열람·삭제·처리정지) 체계 마련이 필수다. 청소년 대상 AI·코딩 교육(디지털새싹 등)에서도 생체정보 보호와 AI 윤리를 함께 다뤄, 미래 세대가 프라이버시 보호 감수성을 갖춘 개발자로 성장하도록 해야 한다.

CPPG·ISMS-P 연계 포인트

1. 생체정보의 암호화 및 분리 저장 (ISMS-P 2.9.2) 생체인식정보는 일방향 암호화 또는 안전한 암호 알고리즘으로 암호화해 저장해야 하며, 개인식별정보와 생체정보를 별도 테이블/데이터베이스로 분리 관리하는 것이 모범 사례다. 중국 사례의 '다층 암호화·분리 관리'는 이 통제항목의 실무 적용 예시로 볼 수 있다.

2. 민감정보 처리 시 별도 동의 (개인정보보호법 제23조) 사상·신념, 건강, 생체인식정보 등 민감정보 처리 시 별도 동의가 필요하다. 감정·정서 정보는 건강정보 또는 사생활 침해 우려가 높은 정보로 해석될 수 있어, 명시적 동의 확보와 처리 목적의 명확한 고지가 요구된다.