개인정보위, 딥시크, 이용자 프롬프트 등 정보 中·美 무단 이전

[이코노믹데일리] 개인정보 수집 논란으로 국내 서비스를 잠정 중단했던 중국 생성형 인공지능(AI) '딥시크(DeepSeek)'가 이용자 정보를 동의 없이 해외로 무단 이전한 것으로 확인됐다. 이용자가 입력한 프롬프트 내용까지 중국 및 미국 업체 여러 곳에 넘어간 것으로 조사됐다.

개인정보보호위원회는 24일 정부서울청사 브리핑에서 이 같은 내용의 '딥시크 사전 실태점검 결과'를 발표했다. 개인정보위에 따르면 딥시크는 국내 서비스 기간(1월 15일~2월 15일) 동안 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 총 4개 해외 업체로 이전했다.

이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 중국어와 영어로 된 처리방침에는 개인정보 파기 절차 및 방법 안전조치 등 개인정보보호법상 요구 사항도 누락됐다.

특히 딥시크는 이용자의 기기·네트워크·앱 정보 외에도 프롬프트 입력 내용을 중국 내 업체 볼케이노에 전송했다. 볼케이노는 소셜미디어 틱톡의 모회사인 바이트댄스의 계열사다. 딥시크는 점검 과정에서 보안 취약점 및 사용자 경험 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 해명했다.

개인정보위는 이용자 프롬프트 내용 이전은 불필요하다고 지적했고 딥시크는 이달 10일부터 신규 이전을 차단했다. 딥시크는 볼케이노가 별도 법인이며 위탁 정보는 서비스 운영 외 다른 목적으로 이용하지 않는다고 소명했다고 개인정보위는 전했다.

딥시크는 또 AI 학습·개발에 이용자가 프롬프트에 입력한 내용을 사용하면서도 이를 거부할 수 있는 '옵트아웃' 기능을 두지 않았다. 개인정보위 지적 이후에야 이를 개선했다. 당초 수집한다고 밝혔던 '키 입력 패턴·리듬' 정보는 실제 수집하지 않은 것으로 확인됐다.

개인정보위는 딥시크에 볼케이노로 이전한 프롬프트 입력 내용을 즉각 파기하고 국내 대리인을 지정하며 개인정보 처리시스템 전반의 안전조치를 향상할 것 등을 시정 권고했다. 딥시크가 10일 내 권고를 수용하면 시정명령으로 간주되며 60일 내 이행 결과를 보고해야 한다.

딥시크는 앞서 논란이 불거진 뒤 국내 앱 마켓에서 신규 다운로드 서비스를 잠정 중단하고 개인정보위 점검에 협력해왔다. 개인정보위 지적사항을 대부분 개선했다고 밝힌 만큼 조만간 국내 서비스 재개에 나설 것으로 보인다.