딥시크, 中·美 소재 4개 업체에 개인정보 이전
시정 권고, 10일 내 수락해야...서비스 재개 여부 자율 판단
[파이낸셜뉴스] 과도한 개인정보 수집 논란을 빚은 중국 생성형AI '딥시크'가 국내에서 확보한 이용자 정보를 틱톡 모회사 바이트댄스 계열사인 볼케이노를 통해 국외 이전한 것으로 확인됐다. AI 학습 목적으로 민감한 개인정보를 수집하면서도 이용자들에게 고지하지도 않았다. 다만 딥시크는 문제가 된 데이터의 국외 이전을 차단하고 AI 학습 활용 거부 기능을 도입하는 등 개선 의사를 밝힌 만큼, 현재 중단된 신규 앱 다운로드 등 서비스를 조만간 재개할 것으로 보인다.
■"韓 이용자 개인정보 무단 이전 확인"
개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열고 전날 전체회의에서 심의·의결한 '딥시크 사전 실태점검 결과'를 발표했다.
조사 결과, 딥시크가 앱에서 수집된 개인정보를 국외이전할 때 이용자 동의를 받지 않았고 AI 학습 목적 정보 수집의 고지 부족 등 다수의 개인정보 보호 위반 소지가 확인됐다.
국내에서 확보한 이용자 개인정보를 중국 내 회사 3곳과 미국 1곳 등 총 4개 해외 업체로 이전했고, 이 과정에서 동의 절차도 거치지 않았다.
특히 민감한 개인정보인 '키 입력 패턴·리듬'과 같은 광범위한 정보를 수집해 중국 내 업체 3곳 중 하나인 베이징 볼케이노 엔진 테크놀로지에 전송했는데, 이 곳은 '틱톡'을 운영하는 바이트댄스(Bytedance) 계열사다. 딥시크는 또 공개된 데이터는 물론, 이용자가 프롬프트에 입력한 내용을 AI 개발·학습에 활용했는데, AI 프롬프트 입력 내용의 경우 이용자가 이를 거부할 수 있는 기능이 없었다.
이같은 개인정보위 지적에 대해 딥시크는 점검 과정에서 빠졌던 국외이전 관련 법정 사항을 추가한 한국어 개인정보 처리방침을 마련해 개인정보위에 지난 3월 말 제출했다. 문제가 됐던 키 입력 패턴은 "서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것"이라며 실제 수집한 사실은 없고 정확한 수집 항목으로 처리방침을 정비했음을 개인정보에 고지했다.
또 국외이전과 관련해, 볼케이노로의 전송은 이용자 UI, UX 등의 개선을 위해 클라우드 서비스를 이용한 것으로 해명하며, 개인정보위의 지적을 수용해 AI 프롬프트 입력 내용의 이전은 이달 10일자로 차단했다. 특히 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기하라는 개인정보위의 요청도 수용했다고 개인정보위는 전했다. 아울러 AI 프롬프트 입력 내용을 AI 개발·학습 활용을 이용자가 거부할 수 있는 '옵트 아웃' 기능도 새롭게 마련했다.
남석 개인정보위 조사조정국장은 “딥시크가 10일 이내 시정권고를 수락하면 시정명령이 된 것으로 간주되며, 60일 내 이행 결과를 보고해야 한다”며 “실제 조치 이행 여부는 최소 2회 이상 후속 점검을 통해 지속적으로 관리할 것”이라고 말했다.
■서비스 조만간 재개할 듯
개인정보위의 시정 조치를 딥시크가 대부분 수용 의사를 밝힌 만큼 서비스 재개도 조만간 이뤄질 것으로 예상된다. 딥시크는 각종 논란이 불거지자 국내 앱 다운로드 서비스를 잠정 중단한 바 있다. 각종 정보 유출 우려로 사용 금지 조치가 이뤄졌던 정부 부처와 기업 전반의 사용 여부도 완화될 것으로 예상된다.
다만 딥시크가 확보한 정보가 중국 서버로 흘러간 정황이 확인됐고, 중국이라는 나라의 특성상 완벽히 의심 여지가 해소됐다고 보기는 어려운 것도 사실이다. 업계 관계자는 “중국산 AI에 대한 신뢰 문제는 여전히 해소되지 않은 부분이지만, 사용자가 직접적으로 체감하는 서비스 품질이나 비용 효과 면에서 딥시크가 매력적인 선택지가 될 수 있다”고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지