“키보드 입력 패턴까지 낱낱이 수집”…中 딥시크 보안성 뭐가 문제인가 보니

딥시크, 지나치게 많은 데이터 수집
개인 기기정보∙일련번호∙IP주소∙쿠키
키보드 입력 패턴과 리듬까지 수집해
수집한 데이터가 모두 中으로 넘어가
韓, 컨트롤타워 부재해 차단 속도 부진

중국 생성형 AI ‘딥시크’ [사진 = 화면 캡처]

‘가성비 인공지능(AI)’으로 전 세계에 충격을 안긴 중국의 생성형 AI 딥시크가 이제는 과도한 개인정보 수집과 유출의 주범으로 지목되면서 전방위적으로 ‘딥시크 포비아’가 확산하고 있다. 미국과 유럽 등 해외 주요 국가에 이어 국내 정부부처와 일반 기업도 잇달아 딥시크 접속 차단에 나서는 가운데 다른 AI와 비교할 때 유독 딥시크를 둘러싼 우려가 큰 이유는 무엇인지, 딥시크를 통한 정보 유출을 막기 위한 대책은 없는지 등 네 가지 궁금증에 대해 짚어봤다.

▲ 키보드 입력 패턴까지 무작위 수집해 중국으로...거부권도 없어

우선 딥시크가 가장 많이 지적받는 부분은 다른 생성형 AI 서비스 기업과 비교해도 이용자 데이터를 지나치게 많이 수집한다는 점이다. 딥시크의 개인정보 약관에 따르면 딥시크는 이용자가 프롬프트에 입력하는 정보 외에도 개인의 기기 정보와 일련번호, 키보드 입력 패턴과 리듬, IP 주소, 쿠키 정보를 수집한다고 명시하고 있다.

비슷한 생성형 AI 서비스인 오픈AI의 챗GPT, 네이버의 클로바X도 이용 과정에서 기기 정보 등을 수집하고 있지만 사용자가 키보드를 입력하는 패턴까지 수집하는 서비스는 딥시크뿐이다.

키보드 입력 패턴은 개인마다 키보드 사용 방식이 다르다는 점에 착안해 이를 분석하는 기술이다. 패턴은 사람마다 달라 개인 식별에 활용될 가능성도 있다.

하정우 네이버클라우드 AI이노베이션센터장은 “수집하는 정보가 매우 광범위하다”며 “수집한 데이터를 어디에 쓰려고 하는지도 명확하지 않다”고 지적했다.

더 큰 문제는 이렇게 수집한 정보가 모두 중국으로 넘어간다는 것이다. 딥시크는 약관에서 “사용자로부터 수집한 데이터는 사용자가 거주하는 국가 외부에 위치한 서버에 저장될 수 있다”며 “‘국가 외부의 위치’는 지리적으로 중화인민공화국(중국)”이라고 설명하고 있다.

중국은 ‘중국의 모든 조직과 국민은 중국의 정보 활동을 지지·지원·협력해야 한다’는 국가정보법 제7조에 따라 자국 기업이 가진 민간 데이터를 요청할 수 있다. 딥시크 또한 관련 법률이나 정부 요청을 준수해 정보를 제공할 수 있다고 약관에 명시하고 있다.

딥시크가 수집한 이용자 데이터는 중국 정부 필요에 따라 언제든지 정부에 제공될 가능성이 높은 것이다. 맷 펄 전 미국 부국가안보보좌관 특별고문은 최근 CNBC와 인터뷰하면서 “중국 공산당이 (불법 수집된 데이터를) 활용하기로 결정한다면 상당히 위험해질 수 있다”며 “단순한 앱 업데이트만으로도 딥시크를 통한 맬웨어(악성 소프트웨어) 주입도 가능하다”고 우려했다.

딥시크를 사용하려면 무조건 개인정보를 제공해야만 하는 것도 논란거리다.

챗GPT나 네이버 클로바X는 이용자들이 원할 시 입력한 데이터가 서비스 품질 개선 등의 목적으로 활용되는 것을 거부할 수 있는 ‘옵트아웃(Opt-out)’ 옵션을 제공한다. 다만 딥시크는 이 같은 옵션을 제공하지 않아 사실상 정보를 넘기고 서비스를 이용하느냐, 이를 거부하고 서비스를 쓰지 않느냐의 선택만 가능하다.

최근 딥시크의 내부 데이터베이스가 노출되는 사고로 보안의 취약성이 드러난 것도 ‘딥시크 포비아’를 더욱 부추기고 있다. 이스라엘 클라우드 보안 업체 위즈(Wiz)에 따르면 최근 노출된 딥시크의 데이터베이스에는 사용자 채팅 기록, API(애플리케이션 프로그래밍 인터페이스) 인증 키, 시스템 로그 등 100만건 이상의 민감한 내용이 포함된 것으로 확인됐다.

▲ AWS·MS 클라우드로 이용하면 안전...내 접속차단 실효성은 의문

최근 아마존웹서비스(AWS), 마이크로소프트(MS) 같은 미국 빅테크들이 잇달아 자사 클라우드 서비스를 사용하는 기업 고객에게 딥시크 모델을 쓸 수 있도록 하면서 과연 이것이 안전한지에 대한 의문도 제기된다.

다만 업계에 따르면 빅테크들은 오픈소스로 공개돼 딥시크 프로그램 코드만 가져와 별도 서버에서 사용하기 때문에 정보 유출 가능성은 사실상 없다. 서비스가 구동되는 장소가 중국 내 딥시크 서버가 아니라 미국 등 각 클라우드 기업이 자체적으로 보유한 서버기 때문이다.

미국의 퍼플렉시티, 국내 AI 기업 뤼튼테크놀로지스 등 자사의 생성형 AI에 딥시크 모델을 탑재한 기업들도 “별도의 클라우드에서 구동하기에 중국으로 정보가 이전되지 않는다”고 강조하고 있다.

정부부처와 기업들의 딥시크 금지령이 미봉책이라는 지적도 나온다.

KT 등 기간통신사에서 딥시크 웹사이트나 도메인을 막은 것이 아니라 자체 사내망에서만 사용을 막은 만큼 원천 차단이라고 보기는 힘들기 때문이다. 이 경우 부처 혹은 사내 PC를 활용한 딥시크 이용은 불가능하지만, 업무 영역으로만 한정되며 직원들이 스마트폰 등 개인 기기에서 딥시크 앱을 내려받아 사용하는 것까지는 막을 수 없다. 이러한 이유로 LG유플러스는 “개인 PC를 통한 사용도 자제를 요청한다”며 강력 대응에 나서기도 했다.

이에 대한 관계당국의 대응은 좀처럼 속도를 내기 힘든 상황이다. 딥시크와 관련한 조사 및 서비스 차단 권한은 행정안전부, 개인정보보호위원회, 방송통신위원회, 방송통신심의위원회 등에 분산돼 있다. 컨트롤타워가 없다 보니 아직까지 실효성 있는 대책을 내놓기 힘든 형국이다.

개보위는 딥시크의 개인정보 수집 및 보관 방식에 대한 실태 파악에 나섰지만, 조사가 끝나도 서비스 자체를 차단할 권한은 없다. 방통위와 방심위 역시 차단 여부를 단독으로 결정하기 어렵다는 입장인 것으로 알려졌다. 딥시크 측은 개보위가 지난달 31일 보낸 개인정보 보호 정책에 관한 질의서에 아직 답변하지 않고 있다. 딥시크는 국내 법인이 없는 만큼 실태 점검이나 조사가 필요할 경우 서버가 있는 중국 현지 조사가 불가피하지만 업계에서는 현실적으로 중국 당국이 협조할 가능성은 크지 않다고 보고 있다.