OpenAI, Persona, 정부의 감시 시스템 구축 의혹 제기: 당신의 정보는 안전한가?

분석 결과, Persona의 정부 플랫폼에서 53MB에 달하는 TypeScript 소스 코드가 무단으로 노출된 사실이 밝혀졌다. 이 코드는 SAR(Suspicious Activity Reports)을 FinCEN에 직접 제출하고, 지능형 프로그램 코드명으로 태그하는 기능을 포함하고 있다. 또한, 얼굴 인식 기술을 활용하여 사용자의 얼굴을 정치인 데이터베이스와 비교하고, 유사성 점수를 매기는 기능도 확인되었다. 이러한 기능들은 사용자의 프라이버시 침해에 대한 심각한 우려를 제기한다.

Persona 플랫폼은 사용자 신원 확인을 위해 269가지의 다양한 검증 절차를 수행한다. 여기에는 얼굴 인식, 정부 ID 확인, 데이터베이스 조회, 문서 검사 등이 포함된다. 특히, SSA 사망자 명부 조회, 전화 통신사 확인, PDF 메타데이터 분석 등 광범위한 정보 수집은 과도한 개인 정보 침해로 이어질 수 있다는 비판이 제기된다. 이러한 정보 수집은 사용자의 데이터 미저장 정책(Zero-Retention Policy)과는 거리가 멀어 보인다.

Persona는 OpenAI와 통합되어 AI 기반의 챗봇(AI Copilot)을 제공한다. 이 챗봇은 SAR 보고서 검토 및 얼굴 인식 결과 분석에 활용된다. 기술적으로 보면, 이 AI 챗봇은 데이터 미저장 정책(Zero-Retention Policy)을 준수하는지, 그리고 어떤 데이터를 접근하는지에 대한 의문이 제기된다. 또한, 이 챗봇이 AI 환각(Hallucination)을 일으켜 잘못된 정보를 제공할 가능성도 존재한다.

플랫폼은 사용자의 얼굴을 정치인 데이터베이스와 비교하여 유사성 점수를 매기는 기능을 제공한다. 이 기능은 얼굴 인식 기술을 활용하여 사용자가 정치적으로 유력한 인물(PEP)과 관련 있는지 확인한다. 이 과정에서 얼굴 유사성 점수가 매겨지며, 이는 사용자의 데이터 격리 아키텍처(Data Isolation Architecture)를 침해할 수 있다. 이러한 기능은 정치적 감시로 이어질 수 있다는 우려를 낳는다.

플랫폼은 사용자의 생체 정보를 수집하고, 이를 최대 3년간 보관한다. 이는 BIPA(Illinois Biometric Information Privacy Act)를 위반할 가능성이 있다. BIPA는 생체 정보 수집 전에 사전 동의를 얻고, 수집 목적 및 보관 기간을 명시하도록 요구한다. 이 법률 위반은 심각한 법적 문제로 이어질 수 있으며, 사용자에게 데이터 미저장 정책(Zero-Retention Policy)을 제공해야 할 필요성을 강조한다.