앤트로픽, '피터 틸 투자사' 페르소나 활용··· AI 민간 감시망 논란 커져

[IT동아 남시현 기자] 앤트로픽의 새로운 개인정보 처리방침이 오히려 개인정보를 침해하는 구조가 아니냐는 논란이 떠올랐다. 앤트로픽은 지난 6월 8일 개인정보 보호정책을 새롭게 갱신했고 오는 7월 8일부로 효력이 발생한다. 지난 1월 수정된 버전과 비교하면 클로드 팀 플랜 등 상업용 서비스를 개인정보 보호정책에서 분리하고, 프롬프트라는 용어를 입력과 출력으로 통일했다. 또한 에이전트 세션과 관련돼 타사 서비스와 상호작용할 수 있고, 앤트로픽 연구 참여 시 수집되는 데이터 항목이 새롭게 추가됐다.

앤트로픽이 오는 7월 8일부로 사용자에 대한 신분증 검사를 요청할 수 있도록 개인정보 처리방침을 개정했다 / 출처=제미나이 AI 이미지 생성

또한 미국 및 기타 국가로 데이터를 이전할 때 적정성 결정 및 표준계약 조항에 예외 조항을 둘 수 있는 점, 앤트로픽이 아닌 타사 서비스와 데이터를 연동할 때 타사의 개인정보 처리 방침을 따른다는 경고가 신설됐다. 대화의 안전을 위해 사용자가 데이터 학습을 거부하더라도 사용자가 직접 피드백을 통해 신고한 경우에는 학습 용도로 활용할 수 있다는 예외 조건도 명시됐다.

문제가 되는 부분은 본인 확인과 생체 인식이다. 당초 개인정보 보호정책은 가입 시 이름, 이메일, 전화번호 등의 개별 번호와 결제 정보 정도를 수집했다. 앞으로는 특정 상황에서 사용자의 연령 또는 신원을 확인하도록 요청할 수 있고, 정부 발행 신분증 이미지 및 신분증에 표시된 정보, 사진 또는 데이터, 얼굴 형태의 템플릿과 확인 결과를 제공할 수 있으며, ‘페르소나 아이덴티티(Persona Identities)’라는 신원 확인 파트너사가 개인정보를 검증한다. 개인정보를 수집하는 것보다도 페르소나 아이덴티티가 확인한다는 점 자체가 논란의 핵심이다.

페르소나 아이덴티티·팔란티어·피터 틸

페르소나 아이덴티티는 2018년 설립된 신원확인 기업이며, 페이팔 설립자이자 팔란티어 회장인 피터 틸이 투자한 것으로 알려져있다 / 출처=페르소나 아이덴티티

페르소나 아이덴티티는 2018년 설립된 샌프란시스코 소재의 신원 확인 전문 기업이다. 초기에는 사기 방지를 위한 신원 확인 서비스로 시작했으며 핀테크 기업이나 음식 배달, 단기 렌트 등 다양한 업종에 본인확인 기술을 제공했다. 2021년 9월, 페르소나 아이덴티티는 파운더스 펀드 및 기타 벤처 캐피털로부터 1억 5000만 달러(약 2320억 원)의 투자를 받았고, 다음 라운드에서도 2억 달러(약 3094억 원)를 유치했다. 파운더스 펀드는 두 번의 투자를 거쳐 약 10%의 지분을 확보한 것으로 알려졌다.

자금을 확보한 페르소나 아이덴티티는 현재 고객확인제도, 자금세탁방지 또는 연령 확인 규정을 준수하는 인프라 전반을 다룬다. 그리고 파운더스 펀드를 공동 창립한 사람이 팔란티어의 창립자인 피터 틸이다. 팔란티어는 2003년 페이팔 창립자인 피터 틸과 현재 최고경영자인 알렉스 카프가 공동 창업했다. 팔란티어는 여러 정부기관 등에 흩어진 정보를 조합해 숨겨진 패턴을 찾는 기술로 테러 방지, 군사 작전 등을 지원한다. 초기에는 테러 방지 및 국가 안보 시스템을 구축했고, 현재는 정보기관과 군사조직, 민간 기업 등을 대상으로 사업 중이다.

팔란티어 AIP 내 공급망 컨트롤 타워 인터페이스, 에이전트 AI를 통한 자산 자동 조율이나 실시간 의사 결정을 돕는데 폭넓게 활용된다 / 출처=팔란티어

문제는 합법적으로 수집된 데이터를 하나로 묶는 능력이 예상보다 너무 강력하다. 팔란티어의 플랫폼은 여러 출처를 통해 입수된 정보와 데이터를 연결해 개인의 이동 경로나 인간관계, 소비 패턴까지 시각화하고 심지어 범죄 예측 확률까지 산출한다. 미국 뉴올리언스, 로스 엔젤레스 지역 경찰청에서 팔란티어 프로그램을 도입했다가 무고한 시민의 개인정보 및 인권을 침해한다는 비판을 받았고, 미국 이민세관집행국의 광범위한 이민자 추적 및 체포 작전에도 관여한 것으로 알려졌다.

페르소나 아이덴티티와 팔란티어가 직접적인 지분 관계나 공식적인 협력 계약 등을 맺은 것은 아니다. 하지만 피터 틸이라는 교집합이 너무나 크다. 국가 수준에서 감시 체계를 구축할 수 있는 기업의 회장이 전 세계 민간인들의 개인정보를 수집하는 회사의 성장을 지원하고 있는 구조다.

페르소나 아이덴티티, 최대 269가지 검증 거치는 것으로 확인돼

한편 지난 2월 초, 채팅 서비스 ‘디스코드’가 10대에게 적합한 설정을 도입하기 위해 개인정보 보호 정책을 개정했고, 페르소나 아이덴티티의 서비스를 활용하기로 했다. 이 과정에서 얼굴인식 등 생체 신원 확인이 요구되면서 몇 명의 연구원이 관련 조사에 나섰고 미국 정부가 승인한 서버 중 공개적으로 접근 가능한 파일에서 페르소나 아이덴티티의 신원 확인 절차가 드러났다.

세 명의 연구원이 블로그를 통해 합법적으로 인수한 페르소나 관련 파일을 분석한 결과를 게재해뒀다. 그 결과 페르소나가 전체 269개의 검사 절차를 진행할 수 있는 것으로 확인됐다 / 출처=vmfunc.re

여기에는 나이 추정 서비스 이외에도 사용자의 셀카 사진을 감시 대상과 비교하고, 테러와 관련된 언급이나 간첩 행위 등 유해 미디어 노출 여부 검사, 아동성착취물, 마약 거래, 자금 세탁 및 불법 거래 근절을 위한 코드 명이 노출됐다. 소프트웨어는 269가지의 개별적인 검증 절차를 수행하며 해당 인물의 위험도, 유사도 점수 생성, IP주소, 브라우저 정보, 신분증 번호, 이름, 암호화폐 활동 확인, 심지어 얼굴 인식 시 배경화면까지 분석하는 것으로 나타났다.

페르소나 아이덴티티는 멀웨어바이트 등 외신을 통해 시스템 내 269가지의 개별 검증 파이프라인과 기능이 설계된 건 맞지만, 고객사 중 269가지를 모두 활용하는 곳은 없다고 해명했다. 디스코드나 오픈AI 등 고객사는 필요한 항목만 조합해 활용할 뿐이라는 것이다. 또 연구자들이 발견한 검증 절차는 시험 환경이었으며 현재 어떤 미국 연방기관과도 직접 협력하고 있지 않다고 덧붙였다.

정부와 대립각 세운 앤트로픽, 신분증 검사 도입에 의구심 커져

페르소나 아이덴티티는 모든 사용자를 대상으로 광범위한 감시를 하는 것은 아니라는 입장을 밝혔지만 269가지의 개인 신원 확인 절차의 존재는 인정했다. 게다가 팔란티어의 회장인 피터 틸이 페르소나 아이덴티티의 주요 투자자라는 점만으로 세간의 의혹은 가시지 않고 있다. 그런 시점에 미국 정부와 마찰을 겪는 앤트로픽이 개인정보 처리방침을 개정하며 페르소나 아이덴티티를 활용하기로 하자 논란은 더욱 커지고 있다.

피트 헤그세스 미국 전쟁부 장관 / 출처=미국 전쟁부

앤트로픽은 당초 자사의 AI 모델이 대규모 국내 감시나 완전 자율형 무기 개발에 활용되어선 안된다는 안전 정책을 고수했다. 그러면서도 미국 전쟁부 등이 팔란티어의 군사용 소프트웨어 AIP에 앤트로픽 ‘클로드 포 가버먼트’ 등의 서비스를 제공하며 대규모 계약을 맺어오는 상황이었다. 그렇지만 미국 정부가 클로드로 군사적 표적 식별이나 작전 계획 등을 수립하려 하자 안전 정책 위반이라며 제동을 걸었고, 전쟁부가 앤트로픽을 공급망 위험 기업으로 지정하며 퇴출 위협에 나섰다.

이후 3월 26일 연방법원이 공급망위험 기업 지정에 대한 가처분을 인용하면서 앤트로픽의 퇴출은 일단락되었다. 하지만 앤트로픽의 새로운 AI 모델인 미토스가 정부 기밀 시스템을 포함한 주요 기업, 기관의 보안을 뚫을 수 있다는 위험성이 제기되며 미국 정부가 직접 수출 통제와 외국 국적자의 접근 차단 지침이 내려진 상황이다.

앤트로픽이 받은 신분증은 페르소나 아이덴티티에서 수집 및 보관하게 된다 / 출처=앤트로픽

결론적으로 미국 정부와 앤트로픽이 양측의 입장을 굽히지 않은 채 평행선을 달리고 있는 상황에서 앤트로픽이 광범위한 개인정보 분석으로 논란이 되고 있는 페르소나 아이덴티티를 활용하기로 한 것이다. 게다가 오픈AI는 모든 사용자를 대상으로 한 신원 확인 및 감시 목록을 수립했다는 심증이 드러난 상황이다. 앤트로픽도 외부적으로는 미국 정부와 대립각을 세우면서 그 이면에서는 광범위한 민관 합동 감시망에 협조 중일지 모를 일이다.

이번 개인정보 처리방침 업데이트에 따라 앞으로 앤트로픽 클로드 사용자 중 일부는 여권이나 운전면허를 요구받을 수 있으며, 해당 정보는 페르소나 아이덴티티의 인증을 거친다. 순수하게 18세 미만의 사용자 혹은 잠재적인 위험 인자를 가려내기 위한 절차일 수 있지만, AI를 활용한 대규모 민간 감시 모델의 시작점일지도 모를 일이다.

IT동아 남시현 기자 (sh@itdonga.com)