중국 생성형 인공지능(AI) 서비스 ‘딥시크(DeepSeek)’가 국내 이용자의 개인정보를 사전 동의 없이 해외로 무단 이전한 사실이 확인됐다. 개인정보보호위원회는 24일, 딥시크에 시정 권고를 내리고 관련 내용을 발표했다.

딥시크는 지난 1월 15일부터 국내 서비스를 시작했으나, 한 달 만인 2월 15일 개인정보 수집 논란으로 서비스를 잠정 중단한 상태다.

개인정보위에 따르면, 딥시크는 서비스 기간 중 약 150만 명에 달하는 국내 이용자의 개인정보를 중국 내 3곳, 미국 내 1곳 등 총 4곳의 해외 업체로 이전했으며, 이 과정에서 이용자의 사전 동의나 고지는 없었다.

특히 이용자가 프롬프트에 입력한 내용까지 중국 IT 대기업 바이트댄스(Bytedance) 계열사인 '볼케이노'로 전송된 것으로 드러났다. 이에 대해 딥시크 측은 "마케팅이 아닌 보안 강화 및 UX 개선을 위한 클라우드 서비스 활용"이라고 해명했으나 개인정보위는 "이용자 프롬프트 입력 내용의 이전은 불필요하다"고 판단했다.

딥시크는 이번 실태점검 이후 관련 내용을 포함한 한국어 개인정보 처리방침을 새로 마련했으며, 이달 10일부터는 추가적인 정보 이전을 차단했다고 주장했다. 그러나 개인정보위는 볼케이노로 전송된 프롬프트 내용을 즉시 파기할 것을 포함해 ▲국내 대리인 지정 ▲개인정보 시스템 보안 강화 ▲아동 연령 확인 절차 도입 등 총체적 시정을 권고했다.

문제의 프롬프트 데이터는 AI 학습·개발에도 활용된 것으로 알려졌지만, ‘옵트아웃(opt-out)’ 기능이 없어 이용자는 거부할 권리를 행사할 수 없었다. 이는 개인정보위 지적 이후 개선된 것으로 파악됐다. 딥시크는 개인정보위의 시정 권고를 수용할 경우, 향후 60일 내 이행 결과를 보고해야 한다. 

딥시크 측은 "한국 개인정보 보호법상 요구사항을 일부 간과한 점을 인정하고, 관련 제도 보완에 나서고 있다"고 밝혔으며 개인정보위는 "국내 앱 다운로드 서비스의 재개 시점은 미정이나, 대부분의 개선 사항이 완료된 만큼 조만간 재개될 가능성이 높다"고 밝혔다.