02 책임 있는 공공부문 생성형 AI 도입을 위한 대응 전략

│김현우 한국지능정보사회진흥원 책임연구원

들어가며

ChatGPT, Claude, Gemini 등 생성형 인공지능 기술이 폭발적으로 확산되면서, 공공부문에서도 이러한 기술을 활용해 행정 효율성과 대국민 서비스 품질을 향상하려는 시도가 활발히 이루어지고 있다. 민원 자동 응대, 보고서 초안 작성, 보고서 및 논문 등 다양한 분야의 자료 요약 등 다양한 분야에서 생성형 AI의 잠재력이 입증되고 있으며, 일부 지자체와 정부기관은 시범 사업을 통해 적용 가능성을 검토하고 있다. 

실제 사례로 기획재정부는 2025년 2월부터 1,000여 명의 내부 기재부 구성원을 대상으로 자료검색, 질의응답 챗봇, 보고서 초안 작성 등의 기능을 제공하는 챗GPT와 퍼플렉시티를 폐쇄형으로 구축하여 사용하고 있다. 이러한 선도 사례는 향후 공공부문 전반에 걸친 생성형 AI 확산의 가능성을 보여준다.¹⁾

그러나 생성형 AI는 단순히 ‘혁신적인 기술’로서나 성능이 우수하다는 이유만으로 도입이 추진되어서는 안 된다. 공공부문은 민간에 비해 훨씬 더 높은 수준의 책임성과 투명성을 요구받는 영역으로, 개인정보보호, 저작권, 편향 방지, 설명 가능성 등 다양한 제도적 기준을 동시에 고려해야 한다. AI가 생성한 정보에 오류나 왜곡이 있을 경우 국민의 기본권을 침해하거나 공공 신뢰를 해칠 수 있는 만큼, 기술 도입 이전에 이를 포괄적으로 검토하고 통제할 수 있는 정책적 기반 마련이 시급하다. 

이에 따라, 국내외에서 마련되고 있는 생성형 AI 관련 정책 및 가이드라인을 살펴보고, 공공부문에 적용 가능한 구체적인 도입 리스크와 제도적 쟁점을 확인하여 신뢰할 수 있는 생성형 AI 도입을 위한 정책적 시사점을 도출하고자 한다.

국내외 AI 정책 및 가이드라인 현황

국내
① 개인정보보호위원회-생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서(2025.8)²⁾

2025년 8월, 개인정보보호위원회는 생성형 AI 기술의 활용 확대에 따라 「생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서」를 발표하였다. 이 안내서는 공공·민간 부문에서 생성형 AI를 개발하거나 활용할 때 개인정보가 무단으로 수집·처리되지 않도록 하기 위한 기술적·관리적 보호조치를 제시한다.

주요 내용

• 학습 데이터 수집 시 개인정보 포함 여부에 대한 사전 점검 의무화

• 데이터 정제 과정에서 비식별화, 마스킹 등 보호조치 적용 권고

• 출력 결과에 민감정보 포함 시 사후 모니터링 및 삭제 절차 마련

• AI 결과물에 대한 개인정보 유출 가능성에 대한 위험 평가 프로세스 도입

해당 안내서는 특히 공공기관의 민원 데이터, 상담 기록, 행정문서 요약 등에서 생성형 AI를 적용할 때 반드시 고려해야 할 기준으로, 데이터 중심의 AI 개발 생태계에서 프라이버시 보호를 제도화하는 기반이 되고 있다.

② 방송통신위원회-생성형 인공지능 서비스 이용자 보호 가이드라인(2025.2)³⁾

2025년 2월, 방송통신위원회는 「생성형 인공지능 서비스 이용자 보호 가이드라인」을 통해 생성형 AI 서비스 이용 과정에서 발생할 수 있는 잠재적 위험들을 사전에 방지하고 안전하고 신뢰할 수 있도록 예방할 수 있는 기준을 제시했다.

주요 내용

• 생성형 인공지능 서비스의 이용자 인격권 보호

• 생성형 인공지능 서비스의 결정 과정의 제공

• 생성형 인공지능 서비스의 다양성 존중 및 입력데이터 수집·활용 과정에서의 관리

• 생성 콘텐츠 활용에서 발생할 수 있는 문제 해결을 위한 책임 및 참여

• 생성 콘텐츠의 건전한 유통·배포를 위한 노력

이 가이드라인은 특히 개발사 및 서비스 제공자가 이용자의 권익을 보호하기 위한 실천 방안을 제시하여 AI 윤리 기준을 사전에 통합하는 데 중요한 역할을 한다.

국외
① 미국: 국립표준기술연구소(NIST) 「NIST Privacy Framework 1.1」 (2025.4)⁴⁾

2025년 4월, 미국 국립표준기술연구소(NIST)는 프라이버시 보호와 기술 혁신의 균형을 위해 「Privacy Framework Version 1.1」을 발표하였다. 본 프레임워크는 조직이 생성형 AI, 빅데이터 등 기술 도입 과정에서 발생할 수 있는 개인정보 침해 리스크를 사전 식별하고 체계적으로 관리할 수 있도록 지원하는 자발적 정책 도구로, 특히 공공부문에서도 광범위하게 활용 가능한 구조를 갖추고 있다.

주요 내용

• 프라이버시 위험 관리를 위한 5대 기능(Core Function) 제시

•  1) Identify (식별): 프라이버시 위협 요인과 민감정보 범주 사전 식별

•  2) Govern (지배구조): 조직의 정책, 윤리 기준, 책임 주체(예: CPO, AI 책임관) 설정

•  3) Control (통제): 데이터 수집·처리·출력 단계별 통제 수단 마련 (예: 비식별화, 프롬프트 관리)

•  4) Communicate (소통): 정보주체 대상 AI 개입 사실 및 데이터 사용 목적 고지

•  5) Protect (보호): AI 모델 내 정보 유출 방지, 재식별 대응, 접근제어 등 기술적 조치

• 생성형 AI 학습·입력·출력 전 과정에 걸친 민감정보 식별 및 보호조치 적용 가능

• AI 개입 여부 고지, 설명 책임, 데이터 유출 방지 등 정책 기반 통제 수단 명시

• 조직의 현황과 목표 간 ‘갭’을 파악할 수 있는 Profile 체계와 대응 수준(Tier 1~4) 도입

해당 프레임워크는 생성형 AI 기술이 공공부문에 도입될 때 발생할 수 있는 프라이버시 침해 우려에 대해, 공공기관이 사전적으로 리스크를 진단하고, 기술적·관리적 조치를 구조화할 수 있는 기반을 제공한다. 특히 개인정보 영향평가(PIA), AI 책임자 지정, 국민 대상 고지 체계 등과 연계하여 신뢰가능한 공공 AI 시스템 구축을 위한 실질적 참조 기준으로 이용할 수 있다.

④ 영국 정부-AI Playbook for the UK Government(2025.2)⁵⁾

2025년 2월, 영국 정부는 「AI Playbook for the UK Government」를 발표하고, 공공부문 내 AI 시스템 도입 및 운영 전 주기를 위한 실무 지침과 정책 원칙을 제시하였다. 이 Playbook은 2024년 1월 발표된 「Generative AI Framework for HMG」를 기반으로 확장된 문서로, 공공분야에서 AI를 안전하고 책임감 있게 사용하도록 지원하기 위한 정책·실무에 대한 내용을 안내하고 있다.

주요 내용

• 공공부문이 AI를 도입할 때 지켜야 할 10대 원칙 제시

•   1) AI의 한계를 인식하라. AI는 항상 정확하거나 중립적이지 않으며, 오작동·환각 가능성을 인식해야 함

•   2) 사용자에게 AI 사용을 고지하라. AI가 결과에 개입되었음을 명확히 알리고, 사용자가 인지할 수 있게 설계해야 함

•   3) AI가 아닌 다른 해결책도 고려하라. AI가 최선이 아닐 수 있으며, 기존 비(非)AI 방식도 검토 대상이 되어야 함

•   4) AI에 대한 충분한 이해를 확보하라. 도입하는 AI의 원리와 작동 방식을 담당자가 이해해야 함

•   5) AI를 안전하게 사용하라. 데이터 보호, 사이버보안, 프롬프트 인젝션 대응 등을 사전에 설계해야 함

•   6) AI가 조직 및 대국민 서비스에 미치는 영향을 평가하라. 성능 외에도 AI 도입의 사회적 영향, 공공 신뢰도 등을 함께 고려해야 함

•   7) AI가 인간의 의사결정을 대체하지 않도록 하라. 인간 개입이 항상 보장되도록 설계하고, 최종 책임은 인간에게 있어야 함

•   8) AI의 성과를 모니터링하고 개선하라. 실제 서비스에 투입된 이후에도 지속해서 검토하고 개선을 반복해야 함

•   9) 책임 있는 데이터 사용을 실천하라. 데이터 출처, 품질, 편향성 문제를 점검하고 필요한 경우 정제할 것

•   10) AI 기술 도입 시 책임 주체를 명확히 하라. 조달자, 운영자, 정책 결정자 등 단계별 책임 주체를 분명히 해야 함

• AI 기술 정의, 기능, 한계 등 개념 소개

• AI 서비스 구축을 위한 단계별 지침

• 법적·윤리적 측면, 보안·거버넌스, 데이터 보호 규범 등 안전하고 책임감 있는 AI 사용을 위한 정책 요소 제안

• 공공부문 AI 활용 사례 및 AI 솔루션 개발에 관한 사례 제공

영국의 AI Playbook은 기존의 법·윤리 기준에 실무 대응 가이드를 결합하여, 생성형 AI를 포함하여 공공부문에서 AI 서비스 도입 시 무엇을 고려하고, 어디까지 준비해야 하는지를 체계적으로 제시한다. 

생성형 AI 도입 시 주요 위험 요소

생성형 AI는 공공서비스의 효율성과 혁신을 위한 유망한 도구로 주목받고 있으나, 그 도입과 운영에는 위험 요소들이 수반된다. 특히 공공부문에서는 기술의 투명성, 책임성, 법적 정합성 등이 필수적으로 확보되어야 하며, 다음과 같은 위험 요소들에 대한 체계적인 인식과 대응이 필요하다.

1) 신뢰성

• 환각(Hallucination)⁶⁾: 생성형 AI는 그럴듯하지만 실제로 존재하지 않는 정보를 생성할 수 있는 특성이 있다. 이러한 환각 현상은 공공문서 작성, 정책 요약, 민원 응답 등에서 오류를 초래할 수 있으며, 국민에게 잘못된 정보를 전달함으로써 신뢰성에 대한 문제가 발생될 수 있다.

• 편향성(Bias) 및 차별성⁷⁾: I가 학습한 데이터가 특정 지역, 계층, 성별, 인종 등의 편향된 패턴을 반영하고 있을 경우, 생성된 결과물 역시 차별적인 내용을 포함할 수 있다. 이는 공공서비스의 형평성과 투명성 면에서 문제를 야기하며, 일부 특정 계층에 대한 간접적 차별로 이어질 수 있다.

2) 정보보호

• 개인정보 유출 가능성⁸⁾: 민원데이터, 질의응답, 상담 내용 등에는 주민등록번호, 주소, 건강정보 등 민감한 개인정보가 포함될 수 있으며, AI가 이를 학습하거나 출력하는 경우 심각한 개인정보 유출 사고로 이어질 수 있다. 특히 공공부문에서는 개인정보보호법 위반으로 직접적인 법적 책임이 발생할 수 있다.

• 프롬프트 인젝션(Prompt Injection)⁹⁾: 공격자가 입력값을 조작해 시스템의 의도된 동작을 왜곡하거나, 민감정보를 추출하거나, 보안 규칙을 우회하게 만드는 공격 방식으로, 생성형 AI 도입 시 보안 위협 중 하나이다. 공공행정 시스템이 이에 노출될 경우 행정 시스템의 신뢰성에 심각한 훼손을 야기할 수 있다.

3) 법적 책임

• 저작권 침해 및 법적 분쟁¹⁰⁾: 생성형 AI는 공개된 인터넷 자료나 저작물을 포함한 대규모 데이터를 학습하는 경우가 많아, 생성 결과물이 기존 저작물과 유사할 수 있다. 공공기관이 이를 공식 문서나 홍보자료로 활용할 경우, 의도치 않은 저작권 침해와 관련된 법적 분쟁이 발생할 수 있다.

• 책임소재 불명확¹¹⁾: AI가 생성한 정보로 인해 문제가 발생했을 경우, 그 책임이 공급자, 운영기관 중 누구에게 있는지 모호한 경우가 많다. 공공부문에서는 이러한 불확실성이 투명성과 신뢰성에 문제가 발생할 수도 있다.

위의 위험 요소들은 단순한 기술적 우려를 넘어, 행정서비스의 신뢰성과 공공기관의 책임과 투명성에 직결되는 사안이다. 따라서 생성형 AI의 도입은 충분한 리스크 분석과 제도 정비, 기술적·관리적 보호조치를 수반해야 하며, 향후 도입 정책 수립의 핵심 기준으로 삼아야 할 것이다.

생성형 AI에 대한 대응 전략

생성형 AI 기술이 공공부문에 빠르게 확산되는 가운데, 신기술의 도입과 활용이 국민의 편의성, 신뢰성과 직접적으로 연결되는 만큼 신중하고 체계적인 대응이 필수적이다. 공공부문에서 생성형 AI를 책임 있게 도입하고 운영하기 위해서는 주요 위험 요소에 대해서 예방하고 관리할 수 있는 다양한 전략이 요구된다.

1) 신뢰성 확보를 위한 전략

• 목적 기반 도입: AI 도입의 목적과 공공서비스의 필요성이 명확하게 정의하여 공공서비스의 실질적 개선을 위한 목적으로 도입 필요

• 설명 가능한 가이드라인 마련: AI의 판단 근거를 설명할 수 있도록 입력 데이터 및 결과 생성 과정에 대한 설명 체계를 마련하고, 이를 통해 편향 탐지 및 환각 결과에 대한 사용자 신뢰 제고

• 결과물 검증 프로세스 도입: AI를 통해 만들어진 결과물의 정확성을 검증하기 위한 사전·사후 검증 체계를 마련하여 정합성 절차 마련

2) 정보보호 강화를 위한 전략

• 기존 법제와의 정합성 확보: 개인정보보호법, 저작권법, 정보통신망법 등 현행 법령과 생성형 AI 활용 방식 간 정합성을 확보하는 방안 마련

• 세부 지침 마련: 개인정보 포함 여부 자동 점검, 비식별화 기준, 출력 결과 모니터링 프로세스 등 구체적 적용 지침 수립

• 보안 모니터링 강화: AI 서비스 운영 중 보안 사고를 실시간 감지하고 대응할 수 있는 보안 운영 센터를 마련

3) 법적 책임성 확보를 위한 전략

• 사전 위험 평가 절차 의무화: AI 서비스 도입 전, 기술·법적 위험성 평가를 제도화하고 공급기업과 책임 범위 및 보증 요건 등 책임 명문화

• 성능 평가 및 검증 기준 수립: AI 서비스 도입 후, 성능과 결과물을 법적 정합성 여부를 정기적으로 점검하고 이를 측정할 수 있도록 검증 기준 마련

• 주기적 업데이트 제도화: 저작권, 초상권 등의 이슈가 지속적으로 제기되는 만큼 관련 가이드라인과 법령 지침 등을 주기적으로 재검토하고 적용

지금의 전략은 공공부문이 생성형 AI를 보다 책임 있게, 그리고 국민의 신뢰성을 확보할 수 있는 도입하기 위한 최소한의 기준이다. 최신의 혁신적인 기술을 수용하되, 공공성과 신뢰성, 법적 정당성을 갖춘 기준 기반 위에서 추진되어야만 공공부문에서의 AI 지속 가능성과 사회적 투명성을 동시에 확보할 수 있을 것이다.

맺으며

생성형 AI는 행정, 교육, 보건 등 사회의 수많은 영역에서 중요하고 필수적인 도구로 주목받고 있다. 공공부문에서도 다양한 분야에서 생성형 AI 도입이 필수적인 기술로 자리 잡고 있으며, 그 잠재력과 가능성 또한 매우 크다. 그러나 동시에 환각, 편향성, 책임소재 불명확 등의 해결하지 못하고 있는 위험 요소를 가지고 있으며 국민의 신뢰를 기반으로 운영되고 있는 공공부문의 입장에서는 이러한 위험 요소를 더욱 엄격하게 운영·통제하고 책임 있게 관리할 수 있는 체계가 요구된다.

앞으로 공공부문에서 생성형 AI를 실효성 있게 도입하기 위해서는, 기술만이 아닌 제도·윤리·인프라 등 전반에 걸친 균형 잡힌 접근이 필요하다. 진정한 AI 강국으로 도약하기 위해서는 ‘빠른 도입’보다는 ‘책임성 있는 도입’을 중심에 두는 전략이 더욱 중요해질 것으로 보인다.

참고문헌

1) 머니투데이, “https://news.mt.co.kr/mtview.php?no=2025070408055093422” 2025.7.4

2) 개인정보보호위원회, 생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서, 2025.7.4

3) 방송통신위원회, 생성형 인공지능 서비스 이용자 보호 가이드라인, 2025.2.28

4) 미국 NIST(국립표준기술연구소), Privacy Framework 1.1, 2025.4.14

5) 영국 정부, AI Playbook for the UK Government, 2025.2.10

6) 영국 정부, AI Playbook for the UK Government 中 Principle 1

7) 영국 정부, AI Playbook for the UK Government 中 Principle 9

8) 개인정보보호위원회, 생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서 中 학습데이터 전처리 

9) 영국 정부, AI Playbook for the UK Government 中 Principle 5

10) 미국 NIST, NIST Privacy Framework 中 Govern-P

11) 영국 정부, AI Playbook for the UK Government 中 Principle 10