【 청년일보 】 중국의 생성형 인공지능(AI) 서비스 '딥시크(DeepSeek)'가 국내 서비스 운영 중인 이용자의 정보를 사전 동의 없이 중국과 미국의 외부 업체에 무단으로 이전한 사실이 확인됐다. 이에 따라 개인정보보호위원회(이하 개인정보위)는 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다.

개인정보위는 24일 정부서울청사에서 브리핑을 열고, 딥시크에 대한 사전 실태점검 결과를 발표했다. 개인정보위에 따르면 딥시크는 지난 1월 15일부터 2월 15일까지 한 달간 국내 서비스를 운영하며, 국내 이용자 정보를 중국 내 3개사와 미국 내 1개사 등 총 4개 해외 업체에 이전했다.

문제는 이 과정에서 국내 이용자들에게 국외 이전 사실을 고지하거나 동의를 받지 않았다는 점이다. 또한 개인정보 처리방침에도 관련 내용을 명시하지 않아, 명백한 개인정보보호법 위반으로 지적됐다.

특히 딥시크는 이용자가 AI와의 대화에서 입력한 프롬프트 내용을 중국 업체 '볼케이노(Volcengine)'에 전송한 것으로 나타났다. 볼케이노는 중국 소셜미디어 플랫폼 '틱톡(TikTok)'의 모회사 바이트댄스(ByteDance)의 계열사다. 개인정보위는 해당 데이터 이전이 불필요하다고 지적했으며, 딥시크는 지난 10일부터 관련 데이터의 신규 이전을 차단한 상태다.

딥시크 측은 개인정보 이전 사실을 인정하면서도, 이는 보안 취약점 개선 및 사용자 인터페이스(UI)·경험(UX) 향상을 위한 클라우드 서비스 이용 목적이라고 해명했다. 또한 새롭게 마련한 한국어 개인정보 처리방침을 통해 관련 법적 요건을 충족했다고 밝혔다.

딥시크는 서비스 기간 중 일일 평균 약 5만명의 이용자가 접속한 것으로 파악되며, 이에 따라 최대 150만명에 달하는 개인정보가 무단으로 해외로 이전됐을 가능성도 제기된다.

개인정보위는 프롬프트 입력 내용의 즉각 파기를 권고했으며, 국내 대리인 지정, 개인정보 처리시스템의 안전조치 강화, 아동 이용자 연령 확인 절차 마련 등도 함께 시정 요구했다.

또한 딥시크는 AI 학습과 개발을 위해 이용자의 입력 내용을 활용하면서도, 이를 거부할 수 있는 '옵트아웃(opt-out)' 기능은 마련하지 않았던 것으로 나타났다. 개인정보위의 지적 이후에야 해당 기능을 도입한 것으로 알려졌다.

한편, 딥시크는 국내 서비스 출시 초기 과도한 개인정보 수집 논란에 휘말렸고, 이에 개인정보위의 실태점검이 시작되자 한국 개인정보보호법에 대한 고려가 부족했음을 인정하며 점검에 협조하겠다는 입장을 밝혔다.

현재 딥시크는 국내 앱 마켓에서의 신규 다운로드를 잠정 중단한 상태다. 개인정보위는 서비스 재개 시점에 대해서는 구체적인 언급을 피했으나, 딥시크 측이 지적 사항 대부분을 개선한 만큼 조만간 국내 서비스가 재개될 가능성도 있는 것으로 관측된다.

개인정보위는 딥시크가 시정 권고를 10일 내 수용할 경우 법적 시정명령으로 간주하며, 이에 대한 이행 결과는 60일 내 보고하도록 요구했다.

【 청년일보=조성현 기자 】