OpenAI가 캐나다 총기난사범을 미리 알았다면?

8명이 목숨을 잃은 캐나다 브리티시컬럼비아주 텀블러리지 총기난사 사건. 그런데 이 비극을 8개월 전에 예방할 수 있었을지도 모른다는 충격적인 사실이 드러났다.

OpenAI가 지난 금요일 밝힌 바에 따르면, 회사는 2025년 6월 범인 제시 반 루트셀라르(18세)의 ChatGPT 계정을 "폭력 활동 조장" 혐의로 발견했다고 한다. 하지만 당시 캐나다 왕립기마경찰(RCMP)에 신고하지는 않았다.

AI가 본 '위험 신호'

OpenAI의 남용 탐지 시스템은 반 루트셀라르의 계정에서 "폭력 활동을 조장하는" 내용을 포착했다. 회사는 당시 경찰 신고를 고려했지만, "임박하고 신빙성 있는 심각한 물리적 위해 위험"이라는 내부 기준에 미치지 못한다고 판단했다.

대신 회사는 2025년 6월 해당 계정을 이용정책 위반으로 차단했다. 그리고 8개월 후, 반 루트셀라르는 어머니와 의붓형제를 살해한 뒤 인근 학교를 습격해 39세 교사와 12-13세 학생 5명을 포함해 총 8명을 살해했다.

기업의 딜레마: 예방 vs 프라이버시

OpenAI의 입장에서 보면 딜레마가 명확하다. 너무 적극적으로 신고하면 사용자 프라이버시 침해와 과도한 감시 논란에 휘말린다. 하지만 너무 소극적이면 이번처럼 "미리 알았는데 왜 막지 못했나"는 비판을 받는다.

회사는 "임박하고 신빙성 있는 위험"이라는 기준을 제시했지만, 이 기준 자체가 모호하다. 무엇이 "임박한" 것인가? 8개월 전 신호는 충분히 임박하지 않았던 것일까?

반면 사건 발생 후 OpenAI는 즉시 RCMP에 연락해 해당 개인의 ChatGPT 사용 정보를 제공했다고 밝혔다. "텀블러리지 비극으로 영향받은 모든 분들을 생각하며, 수사에 계속 협조하겠다"고 대변인은 말했다.

한국에서도 가능한 시나리오

이 사건은 한국 독자들에게도 남의 일이 아니다. 국내에서도 ChatGPT를 비롯한 AI 서비스 이용자가 급증하고 있다. 만약 네이버의 하이퍼클로바나 카카오의 AI 서비스에서 비슷한 상황이 발생한다면?

국내 IT 기업들은 어떤 기준으로 경찰 신고를 결정할까? 현재 한국에는 AI 기업의 예방적 신고 의무에 대한 명확한 법적 기준이 없다. 개인정보보호법과 정보통신망법 사이에서 기업들은 자체 판단에 의존해야 하는 상황이다.

완벽한 답은 없다

이 사건이 제기하는 근본적 질문은 단순하지 않다. AI 기업이 사용자의 모든 대화를 감시해야 할까? 그렇다면 우리의 프라이버시는 어떻게 될까? 반대로 기업이 아무것도 하지 않는다면, 예방 가능한 비극을 방치하는 것일까?

캐나다 당국은 반 루트셀라르가 이전에도 정신건강 관련으로 경찰과 접촉한 이력이 있다고 밝혔다. 하지만 정확한 범행 동기는 여전히 불분명하다. 이는 AI가 아무리 발달해도 인간의 복잡한 심리와 동기를 완전히 예측하기는 어렵다는 점을 시사한다.