fbpx
2026년 10대 미래 기술
MIT 취재 광고 요청하기
MIT 테크놀로지 리뷰 | MIT Technology Review Korea
MIT 테크놀로지 리뷰 | MIT Technology Review Korea
Deep Tech

네이버, AI 에이전트 시대 ‘동의 기반 개인정보 체계 재설계’ 필요성 제시

AI 에이전트가 사용자를 대신해 정보를 처리하는 환경에서는 기존 동의 기반 개인정보 보호 체계의 근본적 재설계가 필요하다는 연구 결과가 나왔다.
박수연 수석기자

2026년 1월 23일

네이버㈜(대표이사 최수연)가 AI 에이전트 환경에서 개인정보 보호 패러다임의 전환이 필요하다는 전문 연구 결과를 담은 ‘2025 네이버 프라이버시 백서’를 발간했다고 23일 밝혔다.

김병필 KAIST 기술경영전문대학원 교수는 백서에 수록된 연구에서 AI 에이전트가 사용자를 대신해 다양한 서비스에 접근하고 정보를 주고받는 환경에서는 누가 정보 처리의 주체이고, 어디까지를 동의 범위로 볼 것인지, AI의 자동 판단으로 인한 정보 처리를 어떻게 통제할 것인지 등 새로운 법적 쟁점이 발생한다고 분석했다.

구태언 법무법인 린 변호사는 AI의 추론 능력으로 일견 무해해 보이는 데이터들도 결합되면 개인을 식별할 수 있어, 간접식별정보(특정 개인을 직접 식별할 수는 없지만 다른 정보와 결합하면 개인을 알아볼 수 있는 정보)의 범위를 새롭게 설정해야 한다고 제안했다.

2025 네이버 개인정보보호 리포트

기존 동의 체계로는 AI 에이전트 통제 불가능

AI 에이전트는 사용자의 요청을 이해하고 스스로 판단해 작업을 수행하는 AI 시스템이다. 예를 들어 “다음 주 회의 일정 잡아줘”라고 하면 이메일을 확인하고, 참석자 일정을 조회하고, 회의실을 예약하는 등 여러 단계를 자동으로 처리한다. 이 과정에서 AI는 사용자의 이메일, 캘린더, 연락처 등 다양한 개인정보에 접근하고 처리하게 된다.

김병필 교수의 연구는 이러한 AI 에이전트 환경에서 개인정보 보호가 기존과 근본적으로 달라진다고 분석했다. 기존 웹·모바일 환경에서는 사용자가 직접 서비스를 선택하고 정보를 입력했다. 예를 들어 쇼핑몰에 회원가입할 때 “개인정보 수집·이용 동의”를 받고, 사용자가 직접 이름과 주소를 입력한다. 이 경우 동의 범위와 처리 주체가 명확하다.

하지만 AI 에이전트는 사용자를 대신해 여러 서비스에 접근한다. 사용자가 “저렴한 여행 상품 찾아줘”라고 하면 AI는 자동으로 여러 여행사 사이트를 방문하고, 사용자의 선호도 데이터를 참조하고, 과거 구매 이력을 분석해 추천한다. 이 과정에서 사용자는 어떤 사이트에 어떤 정보가 전달되는지 일일이 확인하거나 동의하기 어렵다.

연구는 이러한 환경에서 다음과 같은 법적 쟁점이 발생한다고 지적했다. 첫째, 정보 처리 주체가 불분명하다. AI 에이전트가 처리하는 정보의 책임은 AI 개발사에 있는가, 서비스 제공사에 있는가? 둘째, 동의 범위를 설정하기 어렵다. 사용자가 “여행 상품 검색”에 동의했다면, AI가 자동으로 수십 개 사이트에 접근하는 것까지 포함하는가? 셋째, AI의 자동 판단을 어떻게 통제할 것인가? AI가 사용자 의도와 다르게 민감한 정보를 처리할 경우 누가 책임지는가?

김 교수는 이러한 문제를 해결하려면 기존의 “사전 동의” 중심 체계에서 벗어나 “AI의 행동 범위 설정”과 “사후 투명성 확보” 중심으로 개인정보 보호 체계를 재설계해야 한다고 제안했다.

AI 시대, 간접식별정보 범위 재정의 필요

구태언 변호사의 연구는 AI 시대에 간접식별정보의 범위를 새롭게 설정해야 한다고 제안했다. 개인정보는 직접 개인을 식별하는 정보(주민등록번호, 이름 등)와 간접적으로 식별 가능한 정보로 나뉜다. 예를 들어 “30대 남성, 서울 거주, IT 업계 종사”는 그 자체로는 특정 개인을 식별하기 어렵지만, 회사 정보, 취미, 자주 방문하는 장소 등 다른 데이터와 결합되면 개인을 특정할 수 있다.

AI는 방대한 데이터를 결합하고 추론하는 능력이 뛰어나다. 과거에는 무해하다고 여겨졌던 데이터 조각들이 AI의 분석으로 개인을 식별하는 데 사용될 수 있다. 예를 들어 쇼핑 패턴, 검색 기록, 이동 경로 등 개별적으로는 익명화된 데이터라도 AI가 결합하면 특정 개인을 추론할 수 있다.

연구는 이에 따라 개인정보 처리시스템의 범위를 재설정해야 한다고 주장했다. 기존에는 직접 개인정보를 저장·처리하는 시스템만 관리 대상이었지만, AI 시대에는 데이터를 결합·추론하는 시스템까지 포함해야 한다는 것이다.

이러한 연구는 단순한 법적 논의가 아니라 실제 기술 개발과 서비스 설계에 직접적인 영향을 미친다. AI 에이전트를 개발하는 기업들은 프라이버시 보호를 기술 개발 초기 단계부터 고려해야 하며(Privacy by Design), 기존의 동의 기반 개인정보 처리 체계를 AI 환경에 맞게 재설계해야 한다.

이진규 네이버 개인정보 보호책임자(CPO/DPO/CISO)는 “네이버는 AI 등 기술 혁신의 속도에 발맞춰 기술 개발부터 서비스 운영에 이르기까지 전 과정에 걸쳐 개인정보 보호 관리 체계를 향상하는 데 주력해왔다”며 “앞으로도 이용자의 프라이버시와 데이터 안전성을 변함없는 최우선 가치로 삼아 이용자가 안심하고 신뢰할 수 있는 플랫폼으로서 책임을 다하겠다”고 말했다.

네이버는 2015년부터 매년 학계와 연구계의 전문 연구 결과를 담은 프라이버시 백서를 발간해왔으며, 2012년부터는 개인정보 보호 활동을 매년 ‘개인정보보호 리포트’를 통해 투명하게 공개해왔다. 2025년 리포트에서는 프라이버시센터 개편, 아동·청소년 프라이버시 부트캠프 개최, 수탁자 점검 시스템 운영, 파트너사 개인정보 보호 컨설팅 등 구체적인 활동을 공개했다.

연관 토픽