산업-외교-국방부 ‘딥시크’ 접속 차단

개인정보 유출 우려에 제한 나서
한수원-카카오 등 잇달아 금지

지난달 출시된 중국의 생성형 인공지능(AI) ‘딥시크(DeepSeek)-R1’의 개인정보 유출 우려가 불거지면서 국내 정부 기관과 기업들이 잇달아 사용을 제한하고 나섰다.

5일 산업통상자원부는 사내 인터넷망을 통해 딥시크에 접속하는 것을 일시적으로 차단했다고 밝혔다. 외교부와 국방부도 비슷한 조치를 취했다. 이날 한국수력원자력과 한전KPS도 사내 업무용 컴퓨터 등에서 딥시크 사용을 금지한다고 발표했다. 앞서 3일 행정안전부는 광역지자체 17곳과 중앙부처에 “챗GPT, 딥시크 등에 대해 보안상 우려가 지속되고 있으니 충분한 검증 없이 활용하지 않도록 유의하라”는 내용의 공문을 발송했다.

카카오와 라인야후 등 주요 IT 기업들도 최근 사내 공지를 통해 임직원들에게 딥시크의 업무 목적 사용을 금지한다고 안내했다. 네이버는 기존 사내 가이드라인에 따라 딥시크를 업무용으로 활용할 수 없도록 했다.

지난달 31일 개인정보호위원회는 딥시크 측에 개인정보 수집 항목과 목적, 수집된 정보의 처리 및 보관 절차 등을 확인하기 위한 공식 질의서를 전달했다. 답변서에 따라 개인정보 유출 위험성을 판단하고, 불법적인 부분에 대해서는 개선을 요청한다는 입장이다. 해외에서는 이탈리아와 대만, 호주 등이 개인정보 유출과 정보 보안 우려로 딥시크 사용을 제한했다.

정보수집 거부 못하는 ‘딥시크’… “타이핑 패턴까지 유출 우려”

정부 부처-기업 잇단 사용 차단
모은 개인정보 활용범위 불분명
전문가 “中정부로 흘러갈 가능성”
개인정보위, 수집목적 등 파악 나서

지난달 출시된 중국의 생성형 인공지능(AI) ‘딥시크-R1’은 AI 업계에 돌풍을 일으켰다. 앱·리테일 분석 서비스 와이즈앱·리테일에 따르면 지난달 4주 차 딥시크 국내 사용자 수는 121만 명으로 챗GPT(493만 명)에 이어 2위를 기록했다. 하지만 국내외에서 개인정보 유출 우려가 나오고 있다. 급기야 5일 국내 정부기관과 기업들도 사용 제한에 나섰다. 동아일보가 전문가들과 함께 딥시크의 개인정보보호정책을 살펴보니 개인정보 수집 범위는 다른 AI 모델과 비슷했지만, 수집 정보 공개 범위가 불분명했고 다른 AI에서는 수집하지 않는 추가 정보를 수집하는 등 우려스러운 점이 발견됐다.

● ‘타이핑 패턴’까지 수집

자료: 딥시크 개인정보보호정책 등

이날 동아일보는 국내 IT업계와 전문가 등과 함께 딥시크의 개인정보보호정책을 분석했다. 딥시크가 수집하는 개인정보는 생년월일, 사용자 이름, 이메일 주소 등 프로필 정보 등으로 전문가들은 “수집하는 정보 자체는 통상적인 수준으로 보인다”고 평가했다.

하지만 수집 정보 중 다른 AI들은 수집하지 않는 독특한 정보가 확인됐다. 개인보호정책에 따르면 딥시크는 사용자들의 ‘키 입력 패턴 또는 리듬’ 즉 타이핑 패턴을 수집했다. 타이핑 패턴은 사람마다 달라서 패턴을 인식하는 기술은 사실상 생체 인식 기술과 다름없다. 김승주 고려대 정보보호대학원 교수는 “패턴을 수집하면 이 기기에 접속한 사람이 이전과 같은 사람인지 다른 사람인지를 식별할 수 있게 된다”며 “언어별 특성에 따라서도 달라지기 때문에 국가 단위의 분석도 가능할 것”이라고 말했다.

수집 정보를 관리하고 처리하는 과정에 문제점이 있다는 평가도 나왔다. 전문가들은 정보 수집을 거부할 수 있는 ‘옵트아웃’ 기능이 없다는 점을 지적했다. 현재 챗GPT, 네이버 클로바X, 구글 Gemini 등 주요 AI 모델들은 서비스를 이용할 때 사용자가 원치 않으면 AI 학습이나 연구를 위한 대화 데이터 활용을 거부할 수 있도록 허용하고 있다. 보통 서비스를 가입하거나 계정 가입 후 설정에서 ‘모델 개선을 위한 데이터 활용 동의’ 항목으로 활용 동의를 선택할 수 있게 하고 있다.

하지만 딥시크의 경우“사용자의 입력값(인풋)을 수집한다”고 되어 있고 옵트아웃에 대한 언급은 없었다. 계정 가입 후 설정 화면에서도 마찬가지였다. 한 IT 업계 관계자는 “딥시크를 사용하면 일단 (개인 대화) 정보가 넘어간다고 봐야 할 것 같다”고 했다. 현행법상 서비스 제공을 위해 필수적인 정보가 아님에도 옵트아웃 기능이 없는 경우 위법적일 소지가 있다.

수집한 정보를 저장하는 서버와 활용 범위가 모호하다고 지적하는 전문가도 있었다. 딥시크의 개인정보정책에는 “수집한 정보를 ‘중화인민공화국에 있는 안전한 서버’에 저장한다”고 돼 있다. 국내법상 제3자 제공에 해당하는 개인정보 공유의 경우 합병, 자산, 주식 매각 등 기업 거래 시 “제3자에게 공개될 수 있다”고만 언급돼 있었다. 인수합병 등 기업 상황에 따라 제3자에게 정보가 제공될 수도 있다는 의미였다.

● 국내 공공기관·기업도 제한 움직임

동아DB

전문가들이 가장 많이 우려한 것은 중국 정부로 개인정보 및 중요 데이터가 전달될 가능성이었다. 해외 다른 국가들도 가장 우려하는 부분이었다. 2021년 시행된 중국 데이터보안법에 따라 중국 정부는 중국 내에서 기업이 수집한 정보를 제공받을 수 있다. 권헌영 고려대 정보보호대학원 교수는 “중국법에 따라 정부가 필요하다고 하면 (기업이) 이용자의 정보를 제공해야 하기 때문에 이용자의 정보가 보호되지 않을 우려가 있다”고 말했다.

실제 대만 디지털부는 공공부문 근로자들에게 딥시크 사용을 금지했고, 일본도 공무원들에게 사용을 삼가도록 권고했다. 미국 텍사스주도 주 정부 기기에서 딥시크 사용을 금지했다. 이날 산업통상자원부와 외교부 등 국내 정부 기관들과 기업들도 잇달아 사용 규제를 발표했다. 각 지자체도 행안부의 공문에 따라 내부 시스템에 국정원이 제작한 생성형 AI 활용 가이드라인을 공지하며 혹시 모를 개인정보 유출을 경계하는 분위기다.

개인정보위는 가능한 이달 중 딥시크 측의 답변을 받아 검토에 나선다는 방침이다. 개인정보위 관계자는 “(딥시크로부터) 정보 수집 목적 등을 파악해 정보의 과도 수집 여부 등 국내법 준수 여부도 확인할 계획”이라며 “개인정보 수집 목적이나 처리 절차를 파악하고 필요할 경우 실태점검이나 추가적인 조사를 실시하겠다”고 말했다.