딥시크, 국내 사용자 개인정보 美中 기업에 넘겼다… 개보위 “즉시 파기 권고”

크게보기

AP 뉴시스

중국의 생성형 인공지능(AI) ‘딥시크(DeepSeek)’의 한국 이용자 정보가 동의 없이 중국과 미국 등 4개 업체로 넘어간 사실이 새로 확인됐다. 기존에는 중국 업체 한 곳으로 만 개인정보가 이전된 것으로 알려졌다.

24일 개인정보보호위원회는 정부서울청사에서 브리핑을 열고 ‘딥시크 사전 실태점검 결과’를 발표했다. 점검 결과 딥시크는 올해 1월 15일 국내 서비스를 시작해 2월 15일 중단되기까지 이용자 개인정보를 베이징 딥시크, 볼케이노 엔진테크놀로지(이하 볼케이노), 슈메이 테크놀로지, 인터컴 등 중국 3개, 미국 1개 업체에 이전한 것으로 나타났다. 이들은 주로 보안과 민원 서비스 등을 제공하는 업체다. 개인정보위는 스타트업들의 경우 일부 업무를 외부 기업에 위탁하는 경우가 많다고 설명했다.

문제는 정보가 이용자에게 사전 고지 없이 이전된 점이다. 딥시크는 국외 이전에 대해 이용자의 동의를 받지 않았고 개인정보 처리 방침에 이를 공개하지 않았다. 중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다. 이런 가운데 틱톡의 모회사인 ‘바이트댄스’의 계열사 볼케이노에는 이용자가 AI 프롬프트에 입력한 내용이 고스란히 넘어간 것으로 확인됐다.

딥시크는 이에 대해 UI·UX 개선과 보안 강화를 위해 위탁 업체를 이용한 것이라고 해명했다. 개인정보위는 딥시크에 개인정보 국외 이전시 합법 근거를 구비하고 볼케이노로 이전한 이용자의 프롬프트 입력을 즉시 파기하도록 시정 권고했다. 딥시크가 이를 10일 내 수락하면 시정명령으로 간주되고, 60일 내 이행 결과를 제출해야 한다.

개인정보위는 아동 개인정보 보호 측면에서도 개선을 요구해 개선 사실을 확인했다고 밝혔다. 이용자가 입력한 정보가 AI 학습에 사용되지 않도록 거부할 수 있는 기능(옵트아웃)이 없다는 지적에 대해 딥시크는 지난달 17일부터 ‘옵트아웃’ 기능을 도입했다. 또 개인정보위가 권고한 ‘강화된 보호조치’를 모두 준수하기로 했다. 논란이 됐던 ‘키보드 패턴’ 정보는 실제 수집되지 않은 것으로 파악됐다.

딥시크는 앞서 1월 과도한 개인정보 수집 논란이 일자 신규 다운로드 서비스를 잠정 중단했다. 문제가 시정되는대로 국내 서비스를 재개할 전망이다.