메타가 AI 모델 학습을 위해 직원들의 컴퓨터 사용기록을 추적하는 내부 도구를 운영하면서 유럽연합(EU) 일반개인정보보호규정(GDPR) 위반 논란에 휩싸였다. 로이터 통신이 내부 문서와 메타가 직원들에게 제공한 질의응답 자료를 근거로 29일(현지시간) 보도한 내용에 따르면, ‘모델역량계획’(Model Competency Initiative, 이하 MCI)은 당초 알려진 것보다 더 광범위한 데이터 수집을 수행할 수 있으며, 이 과정에서 GDPR이 요구하는 적법성·필요성 기준에 어긋날 소지가 있다는 지적이 나온다.
논란의 핵심은 MCI가 미국 내 직원의 업무 데이터를 넘어 EU 등 미국 외 지역에 영향을 미칠 수 있다는 점이다. 로이터는 메타가 직원들에게 배포한 Q&A 문서를 근거로, MCI가 발신자의 위치와 무관하게 미국 직원 기기에 전송된 이메일 및 메시지 내용 전체를 수집한다고 인정했다고 전했다. 직원 추적 도구가 ‘화면에 표시되는 내용’보다 ‘사람이 컴퓨터와 어떻게 상호작용하는지’에 초점을 둔다고 설명해 온 기존 해명과는 별개로, 실제 수집 범위가 법적 기준과 충돌할 수 있다는 우려가 제기되는 배경이다.
‘직원 감시’와 ‘AI 학습’의 경계가 흔들린다
메타는 로이터에 “MCI는 미국 직원 기기에만 설치돼 있다”고 해명했다. 또한 이 도구의 초점이 화면 콘텐츠 자체가 아니라 사용자가 컴퓨터를 다루는 방식이라고 설명하며, 잠재적인 개인정보 위험을 신중히 고려해 관련 법규를 준수하기 위해 최선을 다하고 있다고 덧붙였다. 다만 이번 보도는 메타의 ‘설치 범위’ 주장과 별개로, 수집되는 데이터의 성격과 규모가 EU 규정과 문제를 일으킬 수 있다는 점을 전면에 내세운 셈이다.
법률 전문가들은 GDPR이 고용주가 개인정보를 처리할 때 단순히 접근 범위를 제한하는 것만으로 충분하지 않을 수 있다고 지적한다. 개인정보보호 시민단체 NOYB(‘당신의 알 바가 아니야’)의 법률 전문가 클레안티 사르델리는 “EU 지역 직원 데이터를 제한적·간접적으로만 수집하는 경우에도 GDPR 규정 위반이 될 수 있다”고 말했다고 로이터는 전했다. 즉, 직접적으로 EU 데이터를 ‘통째로’ 가져오지 않더라도, 도구 운영 과정에서 EU 거주자의 개인정보가 처리될 가능성이 있으면 규정 위반 판단 대상이 될 수 있다는 것이다.
아일랜드 DPC 조사 ‘필수’ 관측…직원 반발도 커져
이번 사안과 관련해 아일랜드시민자유협의회(ICCL) 관계자도 적극적인 조사 필요성을 강조하고 나섰다. ICCL의 조니 라이언 이사는 자국 데이터보호위원회(DPC)가 메타의 MCI를 조사하는 것은 “필수적”이라고 주장했다. EU에서 메타의 개인정보 처리 감독 권한을 맡는 핵심 기관 중 하나가 아일랜드 DPC인 만큼, 향후 조사 착수 여부가 관건이 될 전망이다.
내부 반발 역시 보도에 동반됐다. 직원들은 MCI가 200개 이상의 앱과 웹사이트를 추적하며 개인정보가 지나치게 노출된다고 주장하는 것으로 전해졌다. 재택근무 환경에서 MCI로 인해 한 달 치 가정용 인터넷 데이터가 불과 며칠 만에 소진됐다는 불만도 제기됐다. 이런 반응은 ‘AI 학습’ 명분이 실제 운영 과정에서 업무 감시로 체감되는 상황을 보여준다는 해석도 나온다.
저커버그 “똑똑한 사람들이 일하는 모습 관찰”
메타는 MCI 도입 배경을 전사적으로 설명해 온 것으로 알려졌다. 마크 저커버그 CEO는 전사 회의에서 이 도구 도입 이유로 “우리 회사에 근무하는 직원들의 평균 지능은 일반적인 인력보다 훨씬 높다”며 “(AI가) 매우 똑똑한 사람들이 일하는 모습을 관찰하도록 하는 것이 중요하다”고 언급한 바 있다. 즉, 고성과 인력이 수행하는 작업 패턴을 학습해 AI 성능을 끌어올리려는 의도가 있었음을 시사한다.
그러나 이번 논란은 ‘효율적인 AI 학습’이라는 기술적 목표가 개인정보보호 원칙과 어떻게 조화될 수 있는지 시험대에 올렸다는 평가다. 특히 직원이 ‘자발적으로 선택할 수 없는’ 고용관계의 특성상 동의 기반 처리의 정당성, 수집 최소화 원칙(필요한 범위 내에서만 처리), 그리고 민감정보 취급 조건 등 GDPR의 엄격한 잣대가 적용될 가능성이 높다.
무엇이 달라지나…조사·시정 요구·법적 대응 가능성
앞으로 가장 먼저 주목되는 것은 아일랜드 DPC를 포함한 감독 당국이 이번 사안을 어떤 방식으로 들여다볼지다. ICCL이 “필수”라고 언급한 만큼, 조사 착수와 함께 메타가 MCI의 데이터 수집 범위, 적법한 처리 근거, 정보 최소화 설계, 국외 전송 경로 등을 구체적으로 소명해야 할 수 있다. 규정 위반이 확인되면 행정 제재나 시정 조치 요구로 이어질 수 있으며, 경우에 따라서는 추가적인 민사·집단 대응으로 확산될 가능성도 제기된다.
또 다른 관전 포인트는 메타가 직원추적 도구의 운영 방식과 개인정보 처리 정책을 얼마나 신속히 조정할지가 될 전망이다. 법적 리스크가 커질수록 기업들은 추적 범위를 축소하거나, 데이터 익명화·가명화, 목적 제한, 기술적 안전장치 강화 등 ‘컴플라이언스 중심’의 설계를 강화하는 방향으로 움직이기 때문이다. 이번 사안이 AI 학습을 둘러싼 기업 내부 데이터 활용 관행 전반에 미칠 파장도 커질 수 있다.
![[개인정보, 과징금, 데이터보호] 기사 대표 이미지 - 정부, 9월부터 ‘반복·중대 개인정보 유출’ 징벌적 과징금 최대 10% 도입](https://alzzaking.s3.ap-northeast-2.amazonaws.com/wp-content/uploads/2026/05/12160216/1778569330615-768x512.png)
댓글