지역별 뉴스를 확인하세요.

많이 본 뉴스

광고닫기

[중앙일보]

입력

기사공유

  • 페이스북
  • 트위터
  • 카카오톡
  • 카카오스토리
  • 네이버
  • 공유

“딥시크, 틱톡 계열사로 보낸 개인정보 파기키로…전송도 중단”

중국 동부 저장성 항저우에 소재한 딥시크 사무실. [AFP=연합뉴스]
개인정보 유출 논란을 일으킨 중국 생성형 인공지능(AI) 서비스 딥시크(Deepseek)에 대한 정부 조사 결과가 나왔다. 과도하게 수집한 개인정보 처리 방침을 정비하고, 기존에 과도하게 해외로 보낸 개인정보도 파기하라는 권고 조치가 나왔다.

개인정보보호위원회(개인정보위)는 23일 제9회 전체회의에서 딥시크 사전 실태점검 심의·의결 결과를 24일 발표했다. 개인정보위가 파악한 바로는, 딥시크 논란이 불거진 이후 점검 결과까지 발표한 것은 전 세계에서 한국이 처음이다.

개인정보위, 딥시크 점검 결과 발표
딥시크 애플리케이션에 접속하면 송출되는 안내 메시지. [로이터=연합뉴스]
조사 결과 딥시크는 수집한 개인정보를 중국·미국 소재 4개 회사로 이전하고 있었다. 남석 개인정보위 조사조정국장은 “(챗GPT 등) 다른 생성형 AI도 개인정보를 국외로 이전·위탁은 하지만, 딥시크는 (다른 AI 사업자와 달리) 사용자에게 이에 대한 동의를 받거나 처리방침에서 이를 공개하지 않고 있었다”며 “이번 조사 과정에서 딥시크가 국외이전 관련 사항을 제출했다”고 설명했다.

특히 딥시크는 이용자가 AI에 입력한 프롬프트(명령어)까지 베이징 볼케이노 엔진 테크놀로지(이하 볼케이노)라는 회사에 전송하고 있었다. 클라우드 서비스 제공업체인 볼케이노는 중국의 소셜미디어 ‘틱톡’을 운영하는 바이트댄스의 계열사다. ▶“딥시크 사용자 정보, 틱톡 모기업 넘어가”

이에 대해 딥시크는 개인정보위에 “볼케이노는 바이트댄스와는 별도 법인”이라며 “마케팅 목적이 아니라, 사용자 인터페이스(UI, User Interface)나 사용자 경험(UX, User Experience)과 같은 서비스 개선과 보안 등 목적으로 클라우드 서비스를 이용하는 과정에서 개인정보를 이전했다”고 해명했다.

다만 이용자가 프롬프트까지 볼케이노로 이전할 필요는 없다고 개인정보위가 지적하자, 지난 10일부터 정보 이전을 차단했다.


틱톡 이전 정보 즉각 파기 권고
남석 개인정보보호위원회 조정조사국장이 24일 딥시크 사전 실태점검 심의·의결 결과를 발표하고 있다. [사진 개인정보보호위원회]
딥시크는 챗GPT 등 다른 AI와 마찬가지로 프롬프트를 AI 개발·학습 과정에 이용하고 있다. 문제는 다른 사업자와 달리 딥시크의 경우 사용자가 이를 거부할 수 있는 기능을 제공하지 않았다는 점이다. 또 처리방침·이용약관 상으로도 이에 대해 충분히 설명·고지하지 않았다.

정부가 이를 지적하자 딥시크는 지난달 17일부터 사용자가 이를 거부할 수 있는 기능을 마련했다고 알려왔다. 나아가 개인정보위가 지난해 3월 권고한 ‘강화된 보호조치’를 모두 준수하기로 했다. 강화된 보호조치란 AI가 학습할 때 한국인터넷진흥원이 제공한 개인정보(주민등록번호·휴대전화번호·계좌번호 등) 노출 페이지(URL)를 삭제·차단하고, 이용자 입력 데이터의 사용 목적을 분명히 알리고, AI 관련 개인정보 처리 흐름 전반을 구체적으로 안내해야 한다는 내용이다.


딥시크는 개인정보 관련 규정도 보완하기로 했다. 지난해 1월 15일 한국에 진출하던 당시 딥시크는 중국어·영어로만 개인정보 처리 방침을 공개했다. 또 개인정보 파기 절차·방법, 안전조치, 개인정보 보호책임자의 성명·연락처 등 한국 개인정보보호법이 요구하는 사항을 누락했다.
17일 현재 딥시크 앱을 다운로드할 수 없다는 안내메시지가 뜨고 있다. [사진 개인정보위원회]
개인정보위가 보완을 요구하자 딥시크는 지난달 28일 이와 관련한 사항을 개인정보위에 제출했다. 한국어 처리방침과 관할조항 전문은 딥시크 서비스 재개 시점에 웹·앱을 통해 공개할 예정이다.

특히 딥시크는 사용자의 키보드 입력 패턴·리듬 등 광범위한 정보를 수집한다고 명시해 논란을 일으켰다. 이에 대해 개인정보위는 “딥시크가 ‘서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것’이라며 ‘한국을 포함해 전 세계에서 실제 수집한 사실은 없으며 정확한 수집 항목으로 처리방침을 정비했다’고 알려왔다”고 설명했다.

이 밖에도 딥시크는 14세 미만 아동 개인정보·안전조치가 미비했지만, 정부 점검 과정에서 연령 확인 절차를 마련했다. 또 외신 등이 지적했던 보안이 취약한 지점도 조치를 완료했다.


딥시크, 권고 수락시 60일 이내 보고해야
딥시크 로고. [사진 딥시크 애플리케이션 캡쳐]
이와 같은 점검 결과를 바탕으로 개인정보위는 딥시크에 시정 권고를 처분했다. ▶개인정보 국외 이전 시합법 근거를 충실히 구비하고 ▶이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기하고 ▶한국어 처리방침 공개 등 서비스의 투명성을 확보하라는 내용이다. 시정 권고는 법령·규정 위반 시 이를 바로잡을 수 있는 행위를 강력히 요구하는 행위다.

또한 ▶‘강화된 보호조치’ 방안을 준수하고 ▶수집한 아동 개인정보를 파기하고 ▶개인정보 처리시스템 전반의 안전조치를 향상하고 ▶국내 대리인 지정을 개선 권고했다. 개선 권고는 위법은 아니지만, 비효율적인 사안을 바꾸라고 권고하는 행위다.


개인정보위의 시정 권고를딥시크가 10일 이내에 수락하면 개인정보보호법에 따라 시정 명령을 받은 것으로 간주한다. 이에 따라 시정·개선 권고에 대한 이행 결과를 60일 이내에 개인정보위에 보고해야 한다.

남석 조정조사국장은 “딥시크가 이번 시정·개선 권고를 모두 이행할 경우, 국내법상 개인정보 수준은 어느 정도 확보했다고 보면 된다”며 “딥시크의 시정·개선 권고 사항 이행 여부를 최소 2회 이상 점검하며 관리하겠다”고 말했다.



문희철([email protected])

Log in to Twitter or Facebook account to connect
with the Korea JoongAng Daily
help-image Social comment?
lock icon

To write comments, please log in to one of the accounts.

Standards Board Policy (0/250자)


많이 본 뉴스





실시간 뉴스

Back To Top