챗GPT 대항마 ‘딥시크’, 오픈AI·타국 개인정보 데이터 무단 수집 정황 발각

[아이티데일리] 낮은 비용으로 챗GPT 성능의 AI 모델을 선보이며 혁신 스타트업으로 부상한 중국의 인공지능(AI) 기업 딥시크(Deepseek)가 AI 모델 훈련을 위해 오픈AI의 데이터를 무단으로 수집·이용한 정황이 드러났다.

개발자 아나나이(Ananay)의 X(트위터)에 따르면, 중국의 딥시크 서비스가 알리바바 클라우드와 화웨이 클라우드 인프라를 통해 오픈AI의 챗GPT(ChatGPT) 관련 트래픽을 처리했을 가능성이 제기되고 있다.

구체적으로 그림에 표기된 서버 정보 ‘IP 121.41.91.88’는 알리바바 AS37963를 통해 중국 항저우에서 라우팅된 것으로 나타났다. 또 ‘IP 101.44.251.87’의 경우 화웨이클라우드 AS136907을 통해 홍콩에서 라우팅된 것으로 보인다. OS는 우분투 리눅스 20.04 버전이다. 포워드 DNS에는 ‘api-openai-us1.deepseek.com’과 ‘api-openai.deepseek.cn’ 및 ‘pussybot.online’ 등 의심스러운 도메인도 함께 표시됐다.

보안 인증 정보에도 데이터 무단 수집·이용 정황이 담겼다. 인증서 로그는 특정 기간(Not Before, Not After) 동안 유효하도록 설정돼 있으며, 최근 기록은 2024년 1월 16일부터 2024년 4월 14일까지로 나타났다. 인증서에는 ‘pussybot.online’과 같은 도메인이 포함돼 있고, 이 도메인은 관련성 없는 데이터 수집 인프라로 악용됐을 가능성이 높다.

한 업계 관계자에 따르면, ‘pussybot.online’과 ‘api-openai.deepseek.cn’ 등의 의심스러운 도메인 연계는 데이터 수집 시도를 숨기기 위한 위장 전략일 수 있다고 조언했다.

이 관계자는 “중국 클라우드 인프라 사용과 의심스러운 인증서 기록은 사용자나 공급자의 동의 없이 데이터 수집 또는 프록시 처리했을 가능성과 일치한다. 특히 DNS 실패와 인증서 만료 기록은 고의적인 서비스 종료나 탐지를 피하기 위한 조치로 해석된다”고 말했다.

한편, 딥시크는 타국의 개인정보를 불법으로 수집한 정황도 드러났다. 이에 미국, 이탈리아 등 국가에서 사용금지 처분을 내리거나 보안 당국을 통해 면밀히 주시하고 있는 것으로 알려진다. 미국의 해군은 “딥시크의 근원과 사용에 관한 잠재적 보안·윤리적 우려가 있으니 어떠한 용도로도 사용하지 말 것”을 공지했고 이탈리아는 딥시크 애플리케이션 신규 다운로드를 전면 차단했다. 이탈리아 개인정보 보호기관인 ‘가란테’는 유럽연합(EU) 일반 데이터 보호 규칙을 준수하고 있는지 심층 조사를 시작한다는 계획이다. 아일랜드, 영국, 독일 등 국가들은 보안 관련 부처 및 위원회를 통해 국가 안보 위협에 준하는 수준으로 주시하고 있는 것으로 나타났다.