지난 1월, Grok 챗봇으로 생성된 약 300만 건의 성적 딥페이크 이미지가 11일 만에 인터넷에 쏟아져 나왔다. 그로부터 5개월. 캐나다 프라이버시 감독기구(OPC)가 11일(현지시간) Grok이 캐나다 개인정보보호법(PIPEDA)을 위반했다고 공식 판정했다. 글로벌 규제 기관이 머스크 소유의 AI 챗봇을 상대로 내린 첫 번째 법적 판단이다.
OPC의 필리프 뒤프레슈 커미셔너는 이날 발표한 조사 결과에서 “Grok의 이미지 생성 도구는 개인의 동의 없이 성적 딥페이크를 생성·공유할 수 있으며, xAI는 이에 대한 적절한 보호장치를 마련하지 않았다”고 밝혔다. 조사는 지난 2월부터 진행됐으며, 그간 xAI 측은 수차례 자료 제출 요구에 불성실하게 응답한 것으로 알려졌다.
캐나다 PIPEDA는 기업이 개인 데이터를 수집·이용·공개할 때 반드시 해당 개인의 동의를 얻도록 규정하고 있다. OPC는 Grok이 학습 데이터에서부터 이미지 생성·공유에 이르기까지 전 과정에서 이 원칙을 체계적으로 위반했다고 판단했다. 특히 “딥페이크 피해자의 이미지가 본인의 동의 없이 AI 모델에 의해 조작·유포되는 것은 PIPEDA의 핵심 원칙에 대한 중대한 침해”라고 판결문은 적시했다.
주목할 점은 이 판정이 단순한 권고로 그칠 가능성이 낮다는 사실이다. OPC는 캐나다 연방법원에 강제 집행 명령을 신청할 권한을 갖고 있으며, 위반 기업에 벌금을 부과할 수도 있다. 알자지라와 CBC 보도에 따르면, OPC는 xAI 측에 30일 이내 시정 조치 계획을 제출하라고 요구한 상태다.
이번 판정은 유럽과 미국에서도 진행 중인 Grok 관련 소송 및 조사에 직접적 영향을 미칠 수 있다. 현재 캘리포니아 북부 연방지법에서는 4명의 익명 피해자가 xAI를 상대로 집단소송을 진행 중이며, EU 집행위도 디지털서비스법(DSA) 위반 여부를 검토하고 있다. 캐나다의 선제적 판단이 다른 관할권에서 증거로 채택될 가능성이 크다.
업계 관점으로는 이번 판정이 ‘AI 모델 자체의 설계 결함’에 초점을 맞췄다는 점이 중요하다. 단순한 이용자 오남용이 아니라, Grok의 아키텍처 수준에서 동의 없는 이미지 생성과 유포가 가능하게 설계됐다는 판단이다. 이는 향후 AI 기업들이 모델 설계 단계부터 프라이버시 보호 메커니즘을 내장해야 한다는 규제 흐름을 가속할 전망이다.
- 원문: Al Jazeera — Musk’s Grok accused of violating Canadian privacy laws on deepfakes
- 보조: Politico — Grok’s sexualized deepfakes violate Canada’s privacy law, watchdog rules
- 작성: sw4u 8시뉴스 일관평 / 2026-06-13 20:00