중국의 인공지능(AI) 스타트업 딥시크가 AI 산업 판도를 뒤흔든다는 분석이 나오는 가운데, 우리나라 정부가 딥시크의 개인정보 보호 실태를 파악하기 위해 나섰다. 딥시크가 사용자 개인정보를 광범위하게 수집하고, 보안이 취약하다는 우려가 나오면서다.

개인정보보호위원회(개인정보위)는 31일 “딥시크 본사 측에 최대한 이른 시점에 개인정보 수집·처리 방식 등에 대한 공식 질의서를 발송할 계획”이라고 밝혔다. 딥시크는 중국 스타트업이 개발한 생성형 AI 모델이다.

개인정보 실태 파악 나선 개인정보委  

딥시크는 ‘개인정보 보호 정책’을 통해 AI 모델 학습을 위한 이용자의 이름·생년월일·이메일·주소·전화번호 등을 수집한다고 고시하고 있다. 이처럼 수집한 정보는 ‘중국에 있는 안전한 서버에 저장한다’는 것이 딥시크 측의 입장이다.

또한 이용자들이 입력한 키보드 패턴과 오디오, 파일, 채팅 기록 등 콘텐트를 수집하고 회사 재량에 따라 해당 정보를 법 집행기관이나 공공 기관과 공유할 수 있다고 명시했다.


개인정보위는 관련 질의서를 이메일로 발송해 우려 사항을 집중적으로 확인할 계획이다. 딥시크가 이용자의 개인정보를 수집한 목적에 관해 설명을 요구하고, 수집한 데이터 처리 과정을 설명해달라고 요청한 것으로 알려진다. 만약 답변서를 검토한 이후 딥시크가 개인정보를 수집·처리하는 과정에서 문제점을 파악하면 필요에 따라 조사에 착수하게 된다.

앞서 이스라엘 클라우드 보안업체 위즈는 ‘딥시크가 민감한 정보를 포함한 데이터베이스를 노출했다’고 밝혔다. 갈 나글리위즈 연구원은 공식 블로그에서 “딥시크의 ‘클릭하우스 데이터베이스’가 인터넷에 노출됐다”며 “이 데이터베이스는 API(애플리케이션 프로그래밍 인터페이스) 인증 키, 시스템 로그, 채팅 기록 등 100만건 이상의 민감한 내용을 포함했다”고 밝혔다.

딥시크가 보안 측면에서도 취약하다고 주장했다. 그는 “인증하지 않아도 불과 수 분 만에 내부 데이터에 접근할 수 있는 권한을 확보하고 데이터베이스 운영을 완전히 통제할 수 있었다”고 주장했다. 이 정도 수준의 보안은 딥시크의 사용자에게도 중대한 위험을 초래할 수 있다는 것이 위즈 측의 설명이다.

회신안 검토 이후 필요시 점검·조사 

한편 외신에 따르면 영국·프랑스·아일랜드 등 해외에선 내부 검토를 통해 딥시크를 규제할 필요가 있는지 검토하고 있다. 독일 당국 역시 규제 조치 가능성을 검토 중이다.

일부 정부·기업은 자국 개인정보·데이터 유출을 막기 위해 딥시크 접속 차단에 나서기도 했다. 실제로 이탈리아 개인정보 보호기관 가란테(Garante)는딥시크에 개인정보 처리 방식 등에 대한 정보 제공을 요구한 뒤 구글·애플에서 딥시크 애플리케이션 다운로드를 차단했다.

미국 매체 폴리티코는 ‘아일랜드 데이터보호위원회가딥시크에 자국 이용자와 관련한 데이터 처리 정보를 요청했고, 영국 정부도 딥시크가 국가 안보에 미치는 영향을 검토하고 있다’고 보도했다.