중국의 저비용·고성능 인공지능(AI) ‘딥시크’가 국내 이용자 정보를 중국 등 해외로 무단 이전한 것으로 확인됐다. 딥시크는 과도한 개인정보 수집과 유출 논란으로 현재 국내에서 신규 다운로드가 중단된 상태다.
개인정보보호위원회(개인정보위)는 24일 정부서울청사에서 ‘딥시크 사전 실태점검 결과’를 발표했다. 점검 결과 딥시크는 서비스 기간 동안 국내 이용자 개인정보를 중국과 미국 업체 총 4곳으로 동의 없이 무단 이전했다. 또 이용자가 필요한 정보를 얻기 위해 딥시크 대화창에 질문하거나 명령한 내용도 넘겼다.
정보를 이전받은 중국 업체는 ‘딥시크 베이징’과 온라인 사업 마케팅·리스크 관리를 돕는 ‘수메이’, 클라우드 서비스를 제공하는 ‘볼케이노’ 등 3곳이다. ‘볼케이노’는 소셜미디어 틱톡의 모회사인 바이트댄스 계열사다. 미국 업체는 온라인 고객 지원 회사인 ‘인터콤’으로, 딥시크의 고객 지원 분야 서비스를 위탁한 곳이다. 개인정보위는 “유출된 정보와 이용자의 규모는 정확히 알 수 없다”고 밝혔다.
딥시크는 개인정보 수집 기준도 준수하지 않았다. 딥시크는 이용자로부터 국외 이전에 대한 동의를 받지 않았다. 또 이용자가 대화 입력창에 입력한 내용을 AI 개발과 학습에 활용되는 것을 거부할 수 있는 ‘옵트아웃’ 기능도 제공하지 않았다.
딥시크는 또 한국 서비스를 하며 중국어와 영어로 된 ‘개인정보 처리방침’(처리방침)만 공개했다. 한국어 버전이 없었을 뿐 아니라 국내 개인정보보호법이 요구하는 개인정보 파기 절차와 방법 등의 사항도 처리방침에서 누락했다.
개인정보위는 딥시크에 개인정보를 국외로 이전할 시 이용자 동의 및 고지 절차 등 합법적인 근거를 갖추고, 볼케이노로 이전한 이용자의 입력창 입력 내용을 즉각 파기할 것을 시정 권고하기로 했다. 한국어로 된 처리방침을 공개하라고도 요구했다. 다만 딥시크는 점검 과정에서 국내법을 준수한 한국어 처리 방침을 마련해 제출하는 등 논란이 됐던 일부 내용을 시정했다.
딥시크는 지난 1월 저비용 고성능 AI 모델을 출시했으나, 곧바로 과도한 개인정보 수집 논란에 휩싸였다. 개인정보위는 지난 1월 말 딥시크에 대한 실태 점검에 착수했고, 2월 15일 국내에서 딥시크 앱의 신규 다운로드를 중단했다. 이미 내려받은 딥시크를 사용할 수는 있다. 남석 개인정보위 조사조정국장은 “사업자 쪽에서 권고를 수용하고 이행한 뒤 자율적으로 (서비스 재개 여부를) 결정할 것”이라고 밝혔다.
