바쁘신 여러분들을 위해 결론부터 말씀드리겠습니다.
2025년 6월, 챗GPT 모니터링 시스템이 한 사용자의 총기 폭력 시나리오를 포착했지만, 오픈AI 내부 논의 끝에 “임박한 위협이 아니다”라는 이유로 사법당국에 신고하지 않았습니다. 8개월 후인 2026년 2월 10일, 해당 사용자는 캐나다 텀블러리지에서 8명을 살해했습니다. 이 사건은 AI 기업의 안전 정책과 신고 의무를 둘러싼 전례 없는 논쟁을 촉발했습니다.
WSJ의 단독 보도로 시작된 이 스캔들은, 오픈AI 직원들이 내부에서 수개월간 경고음을 울렸음에도 회사가 ‘체크박스’ 수준의 안전 정책에 안주해왔다는 충격적 실태를 드러냈습니다. 샘 알트먼 CEO는 현지 신문에 공개 사과문을 게재했지만, 캐나다 정부는 “사과는 불충분하다”며 직접 규제 제정을 예고했습니다. AI 업계 전체의 안전 책임이 시험대에 오른 분수령입니다.
💡 이게 왜 중요할까요?
이 사건은 AI 기업이 사용자와의 대화에서 포착한 위험 신호에 대해 어디까지 법적·도덕적 책임을 져야 하는가라는 근본 질문을 던집니다. 오픈AI 한 기업의 실패가 아니라, 전 세계 AI 기업들이 아직 답을 내놓지 못한 공백을 적나라하게 보여줍니다. 한국의 AI 기업들도 예외가 아닙니다.
본 글에서는 다음 내용을 다룹니다.
-
사건 타임라인 — 2025년 6월부터 2026년 4월까지
-
내부 고발의 전말 — 직원들은 무엇을 목격했나
-
정책의 허점 — 왜 신고하지 않았나
-
샘 알트먼의 사과와 캐나다 정부의 대응
-
AI 기업의 신고 의무, 어디까지인가
-
자주 묻는 질문 (FAQ)
사건 타임라인 — 2025년 6월부터 2026년 4월까지
이 사건을 이해하려면 시간 순서대로 따라가는 것이 가장 명확합니다. 10개월에 걸친 비극의 전개는 다음과 같습니다.
2025년 6월: 용의자 Jesse Van Rootselaar(18세)가 수일에 걸쳐 챗GPT에 총기 폭력 시나리오를 상세히 기술합니다. 오픈AI의 안전 모니터링 시스템이 이 대화를 포착하고 내부 검토 대상으로 분류했습니다.
2025년 6월~7월: 약 12명의 오픈AI 직원들이 해당 계정을 검토하고 사법당국 신고 여부를 내부 논의했습니다. 결론은 “임박한 위협(imminent threat) 기준에 미달한다”는 이유로 미신고. 계정만 차단(ban)하는 선에서 종결됐습니다.
2026년 1월~2월 초: Van Rootselaar가 캐나다 브리티시컬럼비아주 텀블러리지로 이주합니다. 오픈AI는 이 사실을 인지하지 못했습니다. 이미 계정이 차단된 상태였기 때문입니다.
2026년 2월 10일: Van Rootselaar가 자택에서 어머니와 의붓형제를 살해한 뒤, 지역 학교로 이동해 학생 5명과 교육보조원 1명을 추가로 살해했습니다. 이후 학교 안에서 자살. 총 8명이 사망한 캐나다 역사상 최악의 학교 총기 난사 중 하나로 기록됐습니다.
2026년 2월 말: WSJ이 사건을 단독 보도하면서 오픈AI가 수개월 전 용의자의 위험 신호를 포착하고도 신고하지 않았다는 사실이 공개됐습니다. 오픈AI는 보도 후 캐나다 왕립기마경찰(RCMP)에 수사 협조를 시작했습니다.
2026년 4월 24일: 샘 알트먼 CEO가 텀블러리지 현지 신문 Tumbler RidgeLines에 공개 사과문을 게재했습니다. “깊이 사과드린다”며 “다시는 이런 일이 없도록 모든 수준의 정부와 협력하겠다”고 밝혔습니다.
2026년 4월 28일: WSJ의 후속 보도로 오픈AI 내부 직원들의 구체적인 내부 고발 정황이 추가 공개됐습니다. 폭력 위협에 대한 신고 정책이 사실상 존재하지 않았다는 비판이 구체화됐습니다.
📝 핵심 사실
2025년 6월 포착 → 직원들이 신고 여부 논의 → “임박한 위협 아님”으로 미신고 → 8개월 후 8명 사망. 기술로 위험을 감지할 수 있었지만, 정책과 판단이 따라가지 못한 대표적 실패 사례입니다.
내부 고발의 전말 — 직원들은 무엇을 목격했나
WSJ 보도에 따르면, 이 사건의 내부 고발자는 단순한 익명 제보자가 아니라 약 12명에 달하는 오픈AI 현직 직원들이었습니다. 이들은 자체 모니터링 도구를 통해 Van Rootselaar의 챗GPT 대화 내역을 직접 검토했고, 그 내용의 심각성을 인지하고 있었습니다.
직원들이 목격한 대화에는 총기 사용 방법, 특정 장소에 대한 언급, 폭력 시나리오에 대한 구체적 질문 등이 포함되어 있었습니다. 이들은 사내에서 “이 정도면 신고해야 하는 것 아닌가”라는 격렬한 논의를 벌였으나, 최종 결정권자들은 “회사 정책상 임박한 위협 기준을 충족하지 않는다”며 신고하지 않기로 했습니다.
이 직원들은 사건 발생 후에도 수개월간 내부 채널을 통해 문제를 제기했고, 결국 WSJ을 통해 외부로 공론화되는 계기가 마련됐습니다. AI 업계에서 이렇게 규모 있는 현직 직원 집단이 회사의 안전 정책 실패를 외부에 알린 사례는 전례가 없습니다.
정책의 허점 — 왜 신고하지 않았나
이 사건의 핵심은 오픈AI의 신고 정책이 아동 성착취물(CSAM)에만 초점이 맞춰져 있었다는 점입니다. 현행 정책에서 사법당국 자동 신고 대상은 사실상 CSAM뿐이었고, 폭력 위협·자살 위험·테러 계획 등 다른 심각한 위험 신호에 대해서는 명확한 신고 기준이 없었습니다.
⚠️ 정책의 이중 잣대
CSAM 의심 사례: 오픈AI가 적극적으로 탐지·신고
폭력 위협·살인 계획: “임박한 위협인가?”라는 모호한 기준으로 사실상 방치
결과: 가장 치명적인 위협이 정책의 사각지대에 놓이는 역설
오픈AI는 사용자 개인정보 보호와 표현의 자유라는 가치를 들어 신고 기준을 좁게 설정해왔습니다. 하지만 이 사건은 “개인정보 보호”라는 방패가 실제로는 “안전 방치”의 구실로 작동했음을 극명하게 보여줍니다. 직원들은 이를 두고 “체크박스 수준의 안전 정책”이라고 비판했습니다.
오픈AI 대변인은 Fortune과의 인터뷰에서 “알트먼의 사과문 외에 추가로 드릴 말씀이 없다”고만 답했으며, 구체적인 정책 변경 내용은 아직 공개되지 않았습니다.
샘 알트먼의 사과와 캐나다 정부의 대응
샘 알트먼의 사과문은 텀블러리지 현지 신문에 게재됐다는 점에서 의미가 있습니다. 글로벌 미디어나 공식 블로그가 아닌, 피해 커뮤니티가 읽는 지역 신문을 택한 것은 상징적 제스처였습니다.
사과문의 핵심 문장은 이렇습니다. “말로는 결코 충분하지 않겠지만, 사과는 여러분의 커뮤니티가 겪은 피해와 돌이킬 수 없는 상실을 인정하기 위해 필요하다고 믿습니다.” 그는 텀블러리지 시장 대릴 크라코우카 및 이비 주수상과의 협력을 약속했습니다.
그러나 피해 지역의 반응은 냉담했습니다. 브리티시컬럼비아주 데이비드 이비 수상은 X에 “사과는 필요하지만 터무니없이 불충분하다(grossly insufficient)”고 직격했습니다. 그는 CBC와의 인터뷰에서 “AI 기업이 위험 사용자를 신고해야 하는 국가 차원의 통일된 기준이 필요하다”고 주장했습니다.
⚡ 캐나다 정부의 압박
션 프레이저 법무장관은 2월 오픈AI 임원진과의 회의에서 “변화가 매우 신속히 이뤄지지 않으면 정부가 직접 법을 만들 것”이라고 통보했습니다. AI 기업의 신고 의무를 법제화하는 첫 번째 국가가 될 가능성이 높습니다.
캐나다는 원래 총기 사망률이 인구 10만 명당 2.2명으로 미국(13.5명)의 6분의 1에 불과한 안전한 국가입니다. 학교 총기 난사는 2016년 라로슈 사건 이후 10년 만이었기에, 이번 사건의 사회적 충격은 더욱 컸습니다.
AI 기업의 신고 의무, 어디까지인가
이 사건이 AI 업계 전체에 던지는 질문은 명확합니다. AI 기업은 사용자의 대화에서 발견한 위험 신호를 어디까지, 어떤 기준으로, 누구에게 신고해야 하는가?
현재 대부분의 AI 기업은 CSAM처럼 전 세계적으로 범죄화된 영역에 대해서만 신고 체계를 갖추고 있습니다. 폭력 위협은 국가별 법체계·위협 수준·표현의 자유 범위가 달라 ‘일률적 기준’을 만들기 어렵다는 이유로 사실상 방치돼 왔습니다. 하지만 이 사건은 “일률적 기준이 어렵다”는 현실적 난점이 더 이상 방치의 이유가 될 수 없음을 증명했습니다.
한국 상황을 보면, AI 기업의 신고 의무는 아직 법제화되지 않았습니다. 개인정보보호법과 정보통신망법에 일부 관련 조항이 있지만, AI 특유의 맥락(익명성·대화의 모호성·글로벌 서비스)을 고려한 규제는 부재합니다. 오픈AI 사건은 한국의 AI 스타트업과 대기업 모두에게 ‘우리는 어떻게 할 것인가’라는 질문을 미리 던지고 있습니다.
🎯 세 가지 핵심 질문
① 위험 감지 기준: 어떤 수준의 대화를 “신고 대상”으로 볼 것인가?
② 신고 절차: 누구에게(경찰·사이버안전국·플랫폼), 어떤 경로로 신고할 것인가?
③ 오탐(False Positive) 리스크: 무고한 사용자가 잘못 신고될 위험을 어떻게 통제할 것인가?
자주 묻는 질문 (FAQ)
Q. 챗GPT는 원래 사용자 대화를 모니터링하나요?
예. 오픈AI를 포함한 주요 AI 기업들은 폭력·자해·불법 콘텐츠 등 이용약관 위반을 탐지하기 위해 자동 모니터링 시스템을 운영합니다. 문제는 이 시스템이 무언가를 발견했을 때 ‘그다음에 무엇을 할 것인가’에 대한 정책과 책임이 불분명했다는 점입니다.
Q. 개인정보 보호 때문에 신고를 못 한 건가요?
오픈AI는 이용약관과 개인정보 처리방침에서 안전 목적의 대화 모니터링과 필요시 사법당국 협조를 명시하고 있습니다. CSAM은 이미 신고하고 있으므로, 개인정보 보호가 근본 장벽이라기보다는 ‘폭력 위협 신고’에 대한 의지와 기준이 부재했던 것이 더 정확한 진단입니다.
Q. 한국에서 비슷한 사건이 발생하면 어떻게 되나요?
한국은 AI 특화 신고 의무법이 없으며, 현행법상 ‘범죄 예고’로 판단될 경우 경찰 신고 의무가 발생할 수 있습니다. 다만 AI 기업이 자체 모니터링으로 발견한 대화 내용이 ‘범죄 예고’에 해당하는지에 대한 판례와 가이드라인은 전무합니다. 오픈AI 사건은 한국의 AI 안전 입법 논의를 앞당기는 계기가 될 가능성이 높습니다.
Q. 오픈AI는 이후 어떤 조치를 취했나요?
알트먼의 사과문 외에 구체적인 정책 변경은 아직 공개되지 않았습니다. 캐나다 정부와의 협의를 약속했으며, 업계에서는 폭력 위협에 대한 신고 기준을 CSAM 수준으로 상향 조정할 가능성이 있다고 전망합니다. 다만 글로벌 서비스 특성상 국가별 법체계 차이를 조율하는 데 상당한 시간이 걸릴 것으로 보입니다.
Q. 사용자 입장에서 챗GPT 이용 시 어떤 점을 주의해야 하나요?
챗GPT를 포함한 AI 서비스에서 폭력·자해·불법 콘텐츠를 논의할 경우, 이용약관 위반으로 계정 차단될 수 있으며 심각한 경우 사법당국에 통보될 수 있습니다. 이번 사건을 계기로 폭력 위협에 대한 신고 기준이 강화될 가능성이 높으므로, AI 서비스 이용 시 이러한 모니터링 체계가 작동하고 있음을 인지하는 것이 중요합니다.
정리
오늘 글의 핵심을 3줄로 정리해드리겠습니다.
-
2025년 6월 챗GPT가 포착한 총기 난사 위협을 오픈AI가 방치, 8개월 후 8명 사망 — 약 12명의 직원이 신고를 주장했으나 “임박한 위협 아님”이라는 이유로 묵살됐습니다.
-
정책은 CSAM에만 초점, 폭력 위협은 사각지대 — 샘 알트먼이 공개 사과했지만, 캐나다 정부는 “사과는 불충분”하다며 AI 신고 의무 법제화를 예고했습니다.
-
한국을 포함한 글로벌 AI 기업 모두에게 ‘신고 의무’ 기준 마련이 시급한 과제로 부상 — 위험 감지·신고·오탐 통제의 균형을 찾는 것이 AI 안전의 다음 단계입니다.
오늘 글이 AI 안전 정책의 현주소와 과제를 이해하는 데 도움이 되셨길 바랍니다.
감사합니다 🤓
