[인더스트리뉴스 서영길 기자] 개인정보 수집 논란으로 국내 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) ‘딥시크’가 중국과 미국 기업들에 국내 이용자 정보를 무단 이전한 것으로 확인됐다.

딥시크가 한국에 서비스를 제공한 약 한 달간 150만명가량의 국내 이용자 정보가 해외로 빠져나간 것으로 추정되고 있는 상황이다.

개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열고 전날 전체회의에서 심의·의결한 ‘딥시크 사전 실태점검 결과’를 발표했다.

개인정보위에 따르면 지난 1월 15일 국내 서비스를 시작한 딥시크는 서비스를 중단한 2월 15일까지 이용자 개인정보를 중국 회사 3곳과 미국 회사 1곳으로 무단 이전했다.

이 과정에서 딥시크는 이용자로부터 개인정보 국외 이전에 대한 동의를 받지 않았고, 처리방침에도 이를 명시하지 않았다.

중국어와 영어로 된 딥시크 처리방침에는 개인정보 파기 절차 및 방법과 안전조치 등 개인정보보호법상 요구 사항도 빠졌던 것으로 확인됐다.

딥시크가 국내 서비스를 중단하기 전까지 일평균 이용자는 약 5만명으로 알려져 있다. 일각에서는 이를 근거로 딥시크가 서비스된 한 달간 약 150만명의 이용자 정보가 해외로 무단 이전된 것으로 추정하고 있다.

다만 이용자의 어떤 정보가 중국과 미국 업체로 넘어갔는지는 파악되지 않고 있어 대책 마련이 시급해 보인다.

딥시크는 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 틱톡 모회사인 바이트댄스의 계열사 볼케이노에 전송한 것으로 드러났다. 볼케이노는 바이트댄스 계열사이긴 하지만 별도 법인이다.

딥시크는 이용자 동의 없이 볼케이노에 개인정보를 이전한 사실은 확인하면서도 보안 취약점과 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 해명했다.

이에 개인정보위는 이용자가 딥시크 프롬프트에 입력한 내용의 이전은 불필요하다고 지적했고, 딥시크는 이를 받아들여 지난 10일부터 신규 이전을 차단한 상태다.

아울러 딥시크는 다른 AI 사업자와 유사하게 AI 학습·개발에 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 이용했다.

하지만 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 '옵트아웃(opt-out)' 기능이 없었다. 딥시크는 이를 개인정보위 지적 이후에야 개선했다.

앞서 딥시크는 올해 1월 국내 서비스 출시 뒤로 과도한 개인정보 수집 논란 등에 휩싸이며 국내 앱 마켓에서 신규 다운로드 서비스를 잠정 중단한 바 있다.

개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 구체적으로 언급하지 않았다.

다만 딥시크 측이 개인정보위 지적사항을 대부분 개선했다고 밝히고 있는 만큼 개인정보위 시정권고 등에 따른 후속조치와 별개로 조만간 국내 서비스를 재개할 것으로 관측된다.

서영길 기자 다른기사 보기