딥페이크 만든 '일반인' 처벌 못하는 개인정보법…제재 규정 만든다

딥페이크도 개인식별 가능하면 '개인정보'
만든 사람은 규제 밖…의무 부과나 처벌 못해

개인정보보호법 개정에 착수한 개인정보보호위원회가 처벌 근거 조항에 딥페이크 범죄를 포함하는 방안을 검토하고 있다. 개인정보보호법 취지가 처벌 보다는 개인의 권리를 보호하는 쪽에 방점이 찍혔는데, 현행법으로는 딥페이크 범죄를 처벌하기에 한계가 있다고 보고 징벌을 강화하는 방향으로 법을 개정하는 것이다.

16일 IT 업계에 따르면 개인정보위는 최근 관련 부처와 태스크포스(TF)를 만들어 이런 내용을 포함해 개정 방향을 논의 중이다.

2011년 제정된 개인정보보호법은 개인정보 처리 및 보호 사항을 규정해 개인의 존엄과 권리를 보호하는 게 목적이다. 정보 주체의 권리나 개인정보처리자의 의무를 규정하고 있다. 처벌보다는 권리 보호가 주목적인 만큼 큰 틀에서만 금지 행위를 규정하고 있다. 부정한 방법으로 개인정보를 취득하거나 권한 없이 이를 유출, 이용하는 행위 등이다. 법을 위반할 경우 5년 이하의 징역 또는 5000만원 이하의 벌금 등 처벌 규정도 포함한다.

하지만 최근 사회 문제로 떠오른 딥페이크 음란물은 이 같은 규제 밖에 있다. 딥페이크 음란물이 개인정보에 해당하더라도 이를 만들고 유포한 개인을 개인정보처리자로 볼 수 없기 때문이다.

개인정보보호법은 개인정보처리자를 ‘업무 목적으로 개인정보파일을 운용하기 위해 개인정보를 처리하는 공공기관, 법인, 단체, 개인’으로 정의한다. 개인이라도 업무상 개인정보를 체계적으로 배열한 파일을 갖고 있어야 한다. 주로 개인 사업자가 여기에 해당한다. 하지만 일반인이 소유하거나 지인에게 공유할 목적으로 개인정보가 포함된 딥페이크 영상을 만들 경우 개인정보처리자의 범주엔 포함되지 않는다.

개인정보위 관계자는 "일반인까지 포함하면 개인적으로 사진을 찍거나 명함을 주고받는 행위자도 개인정보처리자에 들어간다"며 "경우에 따라 다르지만 일반적으로 딥페이크를 만든 개인을 정보처리자로 보긴 어렵다"고 말했다.

인공지능(AI)이 개인정보를 처리한 경우에 대한 규정이 있지만 딥페이크는 해당하지 않는다. 개인정보보호법 제37조2항은 AI 등 자동화된 시스템이 개인정보를 처리해 어떤 결정을 할 경우, 정보 주체가 설명을 요구하거나 결정을 거부할 권리를 갖는다. 채용 과정에서 AI가 이력서를 보고 합격 여부를 결정할 때가 대표적인 예다. 이와 달리 딥페이크는 AI의 자동화된 결정이 아닌 이를 악용한 사람의 결정이기 때문에 의무를 부과할 수 없다.

현재로선 딥페이크 범죄를 처벌할 수 있는 조항은 이른바 N번방 방지법(성폭력범죄의 처벌 등에 관한 특례법)과 공직선거법뿐이다. 이 역시 영상물을 배포할 목적을 입증하지 않으면 처벌이 어렵거나 선거운동이라는 특별한 경우에만 해당한다.

이 때문에 정보처리자의 범위를 넓히는 것보다 딥페이크 관련 별도 처벌 근거를 만들어야 한다는 지적이 설득력을 얻는다. 김명주 국제인공지능윤리협회(IAAE) 회장은 "일반인이 공개 정보를 정보 주체에게 불리하게 사용하는 경우 법에 저촉되도록 명확하게 해야 한다"고 제언했다.