‘딥시크 쇼크’… 이용자 동의도 없이 개인정보 국외 이전

입력 내용을 AI 개발 활용해도
이용자가 거부하는 기능도 없어

중국의 생성형 인공지능(AI)서비스 ‘딥시크’가 이용자 동의 없이 개인정보를 국외로 이전한 것으로 나타났다. 또 이용자 동의 없이 이용자의 입력 내용을 AI 개발이나 학습에 활용한 것으로 드러나 개인정보보호위원회로부터 시정 및 개선을 권고받았다.

개인정보위는 23일 제9회 전체회의를 열고 이처럼 딥시크에 대한 사전 실태점검 결과를 의결했다고 24일 밝혔다. 딥시크는 개인정보를 중국 등 국외로 이전하면서 이용자 동의를 받지 않았고 개인정보처리방침에서도 국외 이전 사실을 고지하지 않은 것으로 조사됐다. 지난 1월 한국 서비스 시작 당시 딥시크는 개인정보 처리방침을 중국어와 영어로만 공개하면서, 개인정보 파기 절차 및 방법, 개인정보 보호책임자의 성명·연락처 등 법이 요구하는 사항을 누락했다. 특히 딥시크는 이용자가 AI에 입력한 내용도 중국 쇼트폼 플랫폼 ‘틱톡’을 운영하는 ‘바이트댄스’ 계열사 ‘볼케이노’에 이전하고 있었다.

챗GPT 등 다른 생성형 AI에선 제공하는 ‘옵트아웃’ 기능이 없는 점도 지적됐다. 옵트아웃은 이용자의 입력 내용을 AI 개발·학습에 활용하는 데 대해 이용자가 거부할 수 있는 기능을 말한다. 가입 과정에서 14세 미만 아동의 연령을 확인하는 절차가 미비했던 점과 개발서버 데이터베이스 접근 제한 소홀 등 일부 보안 취약점도 확인됐다고 개인정보위는 설명했다.

개인정보위는 딥시크에 개인정보 국외 이전 시 적절한 이용자 동의·고지 절차 등 합법근거를 갖추고 이미 볼케이노로 이전한 이용자의 AI 입력 내용을 즉각 파기할 것과 한국어 처리방침을 공개하도록 시정을 권고했다. 지난해 마련된 AI 관련 ‘강화된 개인정보 보호조치’를 준수하고 아동 개인정보 수집 여부 확인 및 파기, 시스템 전반의 안전조치 향상, 국내 대리인 지정 등을 개선 권고했다. 이 가운데 일부 사항은 딥시크가 자체적으로 개선한 상태다.

한편 딥시크의 개인정보보호법 위반 관련 사항이 일부 소명되면서 곧 서비스가 재개될 것으로 보인다. 남석 개인정보위 조사조정국장은 “위원회에서 신규 다운로드를 중단토록 처분한 게 아니고 딥시크 측이 스스로 다운로드를 중단한 것”이라고 말했다.

구혁 기자