[기획] 기업정보 다 퍼줬는데… `딥시크 중단` 파문

개인정보위, 보안 취약성 인식
문제보완 후 서비스 재개 방침
이용자 "정보 유출 등에 불안"
'사이버 공격도구' 변질 위험도

로이터 연합 제공

"딥시크에 업무 보고서 작성법을 물어봤는데, 이렇게 보안 문제가 심각할 줄은 몰랐다. 별 생각 없이 회사 정보를 입력해서 유출된 게 아닌지 걱정이다."

30대 초반 직장인 A씨는 정부가 보안 우려 때문에 중국산 생성형 인공지능(AI) '딥시크' 신규 서비스를 잠정 중단했다는 소식에 불안에 휩싸였다. A씨는 "회사에서 딥시크 사용 중지를 권고해 더 이상 쓰지 않지만, 정부가 이 문제에 좀더 빨리 대응했으면 하는 아쉬움이 크다"고 말했다.

친구 추천으로 딥시크를 써본 20대 후반 B씨도 걱정이다. 평소 사주나 운세에 관심이 많은 그는 딥시크에 자신의 생년월일과 고민을 입력했다. B씨는 "무료라길래 사주에 고민상담까지 했는데 생년월일 말고도 사생활까지 중국에 넘어갈 수 있다고 하니 무섭다. 혹시나 범죄에 이용되지는 않을까 걱정된다"고 밝혔다.

정부가 딥시크의 보안 취약성을 우려해 국내 서비스 중단을 결정한 가운데 이미 기업 정보와 사생활, 연구정보 등을 입력한 이용자들이 멘붕에 빠졌다. 딥시크 열풍이 전세계에 불면서 별다른 경각심 없이 중요 정보를 내줬던 이들은 혹시라도 피해를 입을까 전전긍긍하고 있다.

개인정보보호위원회는 17일 "딥시크 앱의 국내 서비스가 지난 15일 오후 6시부터 잠정 중단됐다"면서 "국내 개인정보보호법에 따른 개선·보완이 이뤄진 후 서비스가 재개될 예정"이라고 밝혔다.

딥시크는 지난달 20일 낮은 비용에 뛰어난 성능을 인정 받으면서 세계적 쇼크를 불러일으켰다. 그러나 개인정보를 과도하게 취득하고, 데이터 처리 방식이 투명하지 않다는 우려가 제기됐다. AI 모델 학습을 위해 이용자 이름·생년월일 등 기본 정보 외에도 인터넷 IP 주소, 고유 장치 식별자, 키 입력 패턴까지 수집하는 것으로 알려졌기 때문이다. 특히 중국에 위치한 딥시크 서버에 이용자 정보가 저장돼 데이터 악용 우려가 제기됐다.

이에 미 해군과 국방부, 하원이 딥시크 접속을 금지하고, 일본·대만 등 각국 정부가 공공 부문을 중심으로 딥시크 사용을 금지했다. 국내에서도 주요 부처와 기관이 딥시크금지 조치를 내렸다. 우리나라가 앱 신규 다운로드를 중단한 것은 이탈리아 정부의 조치에 이은 것이다. 개인정보위는 딥시크 서비스 출시 직후 본사에 개인정보 수집·처리 방식과 관련한 공식 질의서를 보냈고 자체 분석을 진행한 결과 제3자 사업자와의 통신 기능 및 개인정보 처리 방침상 미흡한 부분이 확인됐다고 밝혔다.

이에 딥시크 측은 지난 10일 한국에 대리인을 지정하고 14일 서비스 출시 과정에서 국내 관련 법에 대한 고려가 부족했음을 인정했다. 최장혁 개인정보위 부위원장은 "실태 점검을 통해 딥시크의 개인정보 처리 실태를 면밀히 검토할 계획"이라고 강조했다.

이번 조치는 모바일 앱스토어에서 신규 다운로드를 제한하는 것으로, 기존 앱과 웹서비스 이용은 제한되지 않는다. 다만 개인정보위 측은 기존 이용자도 입력창에 개인정보를 입력하지 않는 등 신중하게 이용할 것을 당부했다.

이는 중요 기밀이 중국으로 유출될 우려 때문이다. 실제로 딥시크는 중국 내 서버에 데이터를 보관하며 중국 데이터보안법을 적용받는다. 이 법에 따라 중국 정부는 국가 안보, 주권, 발전 등의 목적으로 개인이나 기업에 데이터를 요구할 수 있다. 이를 위반할 경우 영업 허가 취소 등의 조치가 가능하다.

딥시크의 보안 허점과 데이터 유출 가능성이 현실로 드러나자 이미 서비스를 써온 이용자들은 불안을 호소하고 있다. 이전에 입력한 내용을 지울 방법도 없다 보니 별다른 대응 방법도 없는 상황이다. 기업들은 이미 앱을 설치했더라도 서비스를 쓰지 않도록 뒤늦게 금지 조치를 내놓고 있다.

한 중견기업 임원 C씨는 "사내 영업·기술정보 유출을 막기 위해 이달초 회사 차원에서 딥시크 접속 차단을 결정했다. 개인적으로도 웹에서만 쓰고, 모바일앱은 절대 설치하지 않았다"고 말했다.

이 가운데 딥시크가 개인정보 유출을 넘어 악성코드 개발이나 보안 시스템 우회 등 AI를 활용한 사이버 공격 도구로 변질될 위험이 있다는 경고도 나온다. 실제로 보안기업 팔로알토네트웍스는 17일 자체 연구기관 보고서를 통해 딥시크가 AI 보안 가드레일을 우회하는 '탈옥' 공격에 취약하고, 악성 콘텐츠 생성에도 쉽게 악용될 수 있다는 조사결과를 내놨다. 연구진은 테스트를 통해 딥시크가 데이터 탈취 도구, 키로거, 발화장치 제작 등 보안 위협이 되는 콘텐츠를 생성할 수 있음을 확인했다.

이번 논란을 계기로 기업 내부 시스템과 AI 모델을 분리하는 안전조치가 필요하다는 지적도 나온다. 신영웅 우송대 정보보안학과 교수는 "생성형 AI는 어느 나라에서 개발됐든 보안 위협에 노출될 수 있다. 중국뿐만 아니라 서방 국가에서 만든 AI 역시 보안 취약점이 있을 수 있는 만큼 사용자가 스스로 경각심을 가져야 한다"며 "기업들은 보안 수준에 따라 AI 활용을 신중하게 결정해야 하고, 기술 유출 가능성이 있는 경우 생성형 AI 사용을 차단하거나 내부적으로 통제하는 방안이 필요하다"고 지적했다. 이어 "일부 금융사처럼 AI 사용을 전면 금지하는 사례도 있지만, 직원 개개인의 AI 사용을 완전히 막는 것은 현실적으로 어렵다. 기업이 AI 접속을 차단하거나, 최소한 내부 정보가 외부 AI에 입력되지 않도록 하는 장치가 필요하다"고 강조했다.

권헌영 고려대 정보보호대학원 교수는 "보안과 개인정보보호 문제에 대해 우리 정부가 딥시크 측에 한 조치는 적절했다고 판단된다"면서도 "자칫 한국만 패싱되는 결과를 초래하면 가성비 좋은 AI서비스를 못 쓰는 손해가 큰 만큼 중국 측과의 긴밀한 협의를 이어가는 게 필요하다"고 밝혔다. 염흥열 순천향대 정보보호학과 명예교수는 "딥시크가 개인정보 처리방침을 개정하면서 유럽 대상으로는 추가로 약관을 마련했다. 국내에서도 법 준수 조치가 이뤄져야 할 것"이라며 "개인정보보호법에선 개인정보 국외 이전과 관련해 목적과 제공처 등을 명시하고 이용자 동의를 받도록 돼 있다"고 말했다.

유진아기자 gnyu4@dt.co.kr