'앱 중단' 딥시크, 개인정보위에 백기…국내 시장 재침투 임박

개인정보위, 딥시크 점검 결과 공개

입력정보 등 과도한 개인정보 요구

中 바이트댄스 계열사로 정보 이전 등 확인

옵트아웃 설정·정보 이전 차단 등 조치

시정 해소 후 앱 다운 재개 가능성

'中 서버 이전' 등 일부 우려는 여전

중국 인공지능(AI) 스타트업인 딥시크 앱의 스마트폰 페이지. AP연합뉴스

개인정보 침해 우려로 국내 애플리케이션(앱) 다운로드를 중단한 딥시크가 제기된 문제를 개선하고 개인정보보호위원회의 시정권고를 이행하겠다는 뜻을 밝혔다. 글로벌 빅테크의 한국 인공지능(AI) 시장 공략이 가속화하는 가운데 중국산 AI의 재침투가 임박한 모습이다.

개인정보위는 23일 전체회의를 열고 딥시크에 대한 사전 실태점검 결과를 심의·의결했다고 24일 전했다. 그간 언론 등을 통해 제기된 딥시크의 개인정보 침해 우려와 관련해 전반적인 시스템을 점검한 결과다.

딥시크는 지난 1월 생성형 모델 R1 출시 후 해당 모델이 다른 생성형 AI 서비스에 비해 과도한 개인정보를 요구하고 일부 정보를 틱톡 개발사인 중국 바이트댄스 계열사로 이전하는 등 개인정보 침해 우려가 제기됐다. 개인정보위는 딥시크에 개인정보 수집·처리 방식에 대한 질의서를 보내는 한편 사전 실태점검에 착수했다. 국내 정부 부처들까지 딥시크 사용 금지에 나서자 딥시크는 자진해서 앱 다운로드를 잠정 중단하고 국내 조치에 협조하겠다는 의사를 전했다.

이번 사전 실태점검에서 딥시크는 한국어로 된 개인정보 처리방침과 별도의 대한민국 관할조항(처리법적 근거, 보유기간, 파기절차·방법, 개인정보 보호책임자 등)을 추가해 제출했다. 키보드 입력 패턴, 리듬 등 광범위한 정보를 수집한다는 지적에 대해서는 “서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것”이라며 “실제 수집한 사실은 없다”고 해명했다. 이에 더해 정확한 수집 항목으로 처리방침을 정비했다고 설명했다. 새롭게 마련된 한국어 처리방침과 관할조항 전문은 딥시크 서비스 재개 시점에 웹과 앱을 통해 공개될 예정이다.

개인정보를 해외로 이전하면서도 이용자 동의를 받지 않았다는 지적과 관련, 딥시크는 점검 과정에서 바이트댄스의 계열사인 중국 볼케이노 사에 기기·네트워크·앱 정보, 이용자의 입력 정보 등을 전송한 것으로 드러났다. 이에 대해 딥시크는 보안 취약점 및 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위해 클라우드 서비스를 이용한 것이라고 설명했다. 또 볼케이노가 바이트댄스의 계열사이긴 하지만 별도 법인이어서 바이트댄스와는 무관하고, 위탁 정보는 서비스 운영·개선 외 마케팅 목적으로 이용하지 않았다고 강조했다. 개인정보위는 이를 감안해도 이용자의 AI 프롬프트 입력 내용을 이전하는 것은 불필요하다고 지적했고 딥시크는 이를 수용해 10일부터 해당 정보의 신규 이전을 차단했다.

딥시크 로고.

딥시크는 이용자가 자신의 입력 정보를 AI 학습에 사용하는 것을 거부할 권리, 이른바 ‘옵트 아웃’을 설정하지 않았다는 지적에 대해서도 개선 의지를 보였다. 딥시크는 지난달 17일 옵트 아웃 기능을 마련하고 이 사실을 개인정보위에 알렸다. 이에 더해 개인정보위가 지난해 3월 주요 AI 서비스 사전 실태점검 후 권고한 ‘강화된 보호조치’를 모두 준수하겠다고 전했다. 강화된 보호조치는 AI의 사전학습 과정에서 이용자 입력 데이터의 사용 목적을 분명히 알리고 사용 여부에 대한 선택권을 보장하도록 하는 내용이 포함됐다.

이밖에 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 과정에서 아동 여부를 확인하는 절차가 없다는 점도 점검 결과 지적됐다. 딥시크는 이를 수용해 연령 확인 절차를 마련했다. 개발서버 데이터베이스 접근 제한 부실 등 일부 확인된 보안 취약점에 대해서도 점검 과정 중 조치를 마쳤다.

개인정보위는 점검 결과를 바탕으로 딥시크에 개인정보 국외 이전 시 합법 근거를 충실히 구비하고 볼케이노로 이전한 이용자 입력 정보를 즉각 파기할 것을 시정권고하기로 했다. 한국어 처리방침 공개 등 서비스의 투명성을 지속 확보할 것도 요구했다. 또 △강화된 개인정보 보호조치 방안 준수 △아동 개인정보의 수집 여부 확인·파기 △개인정보 처리시스템 전반의 안전조치 향상 △국내대리인 지정 등을 개선권고하기로 했다.

딥시크가 개인정보위의 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되고 이에 대한 이행 결과를 60일 이내에 개인정보위에 보고해야 한다. 개인정보위는 시정·개선 권고 사항에 대해 딥시크의 이행 여부를 최소 2회 이상 점검하고 지속 관리해 나갈 방침이다. 남석 개인정보위 조사조정국장은 “시정·개선 권고한 내용을 딥시크에서 수용하면 한국 보호법상의 개인정보 수준은 어느 정도 확보된다”며 “개인정보위가 제대로 이행이 되고 있는지 계속 확인할 것”이라고 말했다.

딥시크가 개인정보위의 지적 사항을 수용해 전반적인 개선을 마치면 국내 차단 조치도 조만간 해소 또는 완화될 것으로 예상된다. 개인정보 유출 우려 등으로 정부 부처와 기업 전반에서 사용 금지 조치가 내려졌던 만큼 챗GPT 등 다른 국외 AI 서비스 수준으로 개선하면 이를 막을 근거가 약해지기 때문이다. 특히 앱 다운로드 차단의 경우 정부의 강제 조치가 아닌 딥시크의 자발적인 조치였던 만큼, 딥시크가 자체 판단에 따라 언제든 재개할 수 있다. 남 국장은 “딥시크 대리인 측에서는 조만간 시정 이행이 되면 서비스를 개시할 것이라고 했다”고 말했다.

다만 딥시크에 저장된 정보가 여전히 중국 서버에 보관되고, 중국 정부가 이를 확인할 법적 근거를 갖추고 있는 등 여전히 중국산 AI에 대한 의심은 남는다. 이를 비롯한 중국산 AI에 대한 부정적인 이미지 등으로 인해 딥시크의 국내 서비스가 재개돼도 어느 정도 파급력을 미칠 수 있을지에 대해서는 의견이 분분하다. 일각에서는 이 같은 우려에도 불구, 챗GPT 수준의 성능을 무료로 제공하는 서비스인 만큼 국내 시장에서도 상당한 경쟁력을 확보할 수 있을 것이란 전망도 나온다.

한편 개인정보위는 딥시크 실태점검을 계기로 지난해 발간한 ‘해외사업자 대상 개인정보보호법 적용 안내서’의 핵심사항을 체크리스트 형태로 함께 제공하기로 했다. 개인정보위는 “해외사업자는 이를 활용해 기본적 사항을 미리 점검함으로써 한국 정보주체의 권리를 충실히 보장하고 개인정보를 안전하게 보호하며 서비스를 출시·운영해야 한다”고 언급했다.