개인정보·입력내용 국외 무단 전송한 딥시크에 ‘즉각 파기’ 시정 권고

[아이티데일리] 중국 인공지능(AI) ‘딥시크(DeepSeek)’가 서비스 당시 이용자 동의 없이 중국과 미국 업체에 개인정보를 무단 이전한 사실이 공식 확인됐다. 이에 정부는 이전한 내용을 즉각 파기하고 한국어 처리방침 공개 등을 시정할 것을 권고했다.

개인정보보호위원회(위원장 고학수)는 지난 23일 제9회 전체회의를 열고 딥시크에 대한 사전 실태점검 결과를 심의·의결했다고 발표했다.

개인정보위에 따르면, 딥시크는 개인정보를 중국 및 미국 소재 회사에 이전하면서도 지난 1월 15일 서비스 개시 시점에 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않았다. 특히 기기·네트워크·앱 정보 외에 이용자가 AI 프롬프트로 입력한 내용도 클라우드 서비스 제공업체인 ‘볼케이노 엔진 테크놀로지’에 전송했다.

딥시크는 국외이전(위탁) 관련 법정사항을 한국어 처리방침에 포함해 개인정보위에 제출햇다. 볼케이노에 전송한 정보는 보안 취약점과 UI·UX를 개선하기 위해 클라우드 서비스를 이용한 것이라고 설명했다. 이용자가 AI 프롬프트에 입력한 내용의 이전은 불필요하다는 개인정보위 지적에 따라 이달 10일부터 신규 이전을 차단했다.

아울러 딥시크 측은 볼케이노가 바이트댄스 계열사이나 별도 법인으로 무관하며, 처리위탁 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있다고 소명했다.

딥시크는 타 사업자와 유사하게 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 AI 개발·학습에 이용했다. 하지만 AI 프롬프트 입력 내용의 경우 이용자가 모델 개발·학습 활용에 거부하는 기능이 없었다. 처리방침과 이용약관에도 ‘서비스 제공·개선’으로만 표시해 충분한 설명이나 고지가 있었다고 볼 수 없었다.

조사 이후 딥시크는 프롬프트 입력 내용의 AI 개발·학습 활용을 이용자가 거부할 수 있는 ‘옵트아웃(Opt-out)’ 조항을 마련했다. 또 개인정보위가 지난해 3월 주요 AI 서비스 사전 실태점검 후 권고한 ‘강화된 보호조치’를 모두 준수하기로 했다.

강화된 보호조치는 사전 학습 시 한국인터넷진흥원(KISA)에서 제공하는 주민등록번호, 휴대전화번호 등 개인정보 노출 페이지에 대한 삭제·차단 반영 등을 골자로 한다.

개인정보위는 점검 결과를 바탕으로 딥시크에 개인정보 국외 이전 시 합법 근거를 구비하고, 이미 볼케이노로 이전한 프롬프트 입력 내용을 즉각 파기할 것을 시정 권고했다. ‘강화된 보호조치’ 준수와 국내 대리인 지정 등도 개선 권고했다.

딥시크가 개인정보위 시정 권고를 10일 내 수락하면 시정명령을 받은 것으로 간주된다. 이 경우 딥시크는 시정 및 개선 권고 이행 결과를 60일 이내로 개인정보위에 보고해야 한다.

개인정보위는 딥시크 실태점검을 계기로 지난해 발간한 ‘해외사업자 대상 개인정보보호법 적용 안내서’의 핵싱 사항을 체크리스트 형태로 제공하기로 했다.