'딥시크' 개인정보유출 우려 커지는데... 개인정보위는 뭐하나

개인정보수집 절차 등 질의서에 대한 딥시크 회신, 반년은 걸릴 듯
中서버에 직접 개인정보수집 딥시크, 국외 이전 중지 명령도 한계

정부 기관과 주요 기업이 중국 인공지능(AI) 딥시크(Deepseek)를 차단하고 나선 가운데, 개인정보보호위원회의 선제적인 조치를 요구하는 목소리가 나오고 있다.

7일 관계부처에 따르면 외교부, 국방부, 산업통상자원부 등 여러 중앙행정기관과 경기도 등 지자체는 최근 딥시크의 접속을 차단했다. 앞서 행정안전부와 국가정보원이 '딥시크 등 생성형 AI 사용에 유의해달라'는 공문을 보낸 것을 기점으로 공공기관뿐만 아니라 카카오 등 주요 기업도 차단 조치에 나서고 있다.

이와 관련해 이날 딥시크는 공개성명을 처음 발표했다. 딥시크는 "자사와 관련된 허위 정보와 위조 계정이 오해와 혼란을 일으키고 있다"며 주의를 당부하며 "최근 딥시크와 관련된 일부 위조 계정과 근거 없는 정보가 대중을 오도하고 혼란을 초래하고 있다"고 말했다.

●딥시크 개인정보유출 위험...개인정보위의 이용자 정보 보호책은?

딥시크는 출시 이래 줄곧 AI 학습 과정에서 이용자 정보를 과도하게 수집한다는 지적을 받아왔다.

딥시크의 '개인정보 보호정책'을 보면 AI 모델 학습 등을 위해 사용자의 생년월일과 이름, 이메일 주소, 전화번호, 비밀번호 등을 수집한다고 고시돼 있다. 또 이용자들이 입력한 키보드 패턴, 오디오, 파일, 채팅 기록과 다른 콘텐츠를 수집하고, 회사 재량에 따라 해당 정보를 법 집행기관 및 공공 기관과 공유할 수 있다고 명시했다.

문제는 컨트롤타워 역할을 해야할 개인정보위가 중심을 잡지 못하고 있다. 개인정보위는 지난달 31일 중국 딥시크 본사에 개인정보 수집 항목과 절차, 처리 및 보관 방법 등의 확인을 요청하는 질의서를 발송했으나 아직 답변받지 못했다. 보안 업계에서 조차 개인정보위의 사전 대응책 미흡과 현안 진단이 한박자 느리다는 지적이 나오고 있다.

개인정보위 관계자는 "딥시크의 개인정보 처리 방침에 대해 검토하고 있지만, 판단을 내릴 정도는 아니다"라며 "앞서 보낸 질의서에 대한 회신이 온 뒤 종합적으로 검토할 것"이라는 원론적인 답변을 했다.

이처럼 딥시크의 회신이 언제 올지 모르는 상황에서, 세계적으로 제재가 잇따르는 서비스가 별다른 안전장치 없이 국내에서 운영되고 있어 우려스럽다는 반응이 나온다.

김승주 고려대 정보보호대학원 교수는 "딥시크가 개인정보를 과도하게 수집하는 경향이 있으며, 특히 이용자의 키보드 입력패턴의 경우 민감정보에 해당할 수 있다"며 "중국에 보관된 이용자의 정보를 중국 정부가 원할 때 언제든 접근할 수 있다는 것도 문제"라고 지적했다. 이어 김 교수는 "개인정보위가 선제적으로 대응했어야 했는데, 해외에 비해 한박자 늦었다"며 "민간에서 쟁점이 되고, 많은 이용자가 몰리고 나서야 정부가 움직인 것"이라고 꼬집었다.

●IT 보안 전문가의 제언... "국산 챗GPT 개발 전까지 이용자 스스로 조심해야"

딥시크의 답변을 신속하게 받기 힘들뿐더러, 제대로 된 답변을 한 번에 내주지 않을 거란 관측도 제기되고 있다.

개인정보위 관계자는 "그간 사례를 미뤄 봤을 때 딥시크 회신은 빨라야 석 달이고 적어도 6개월은 걸릴 것"이라며 "과거 미국 오픈AI에 유사한 질의를 보낸 뒤 회신을 받기까지 6개월 이상 걸렸다"고 전했다.

한석현 서울YMCA 시민중계실 실장은 "딥시크 측에서 회신을 주지 않더라도 딱히 제재할 방법이 없고, 부실하게 왔다면 재답변을 요구하는 수밖에 없다"며 "개인정보 침해가 심각하게 우려된다면 회신 전이라도 '국외 이전 중지 명령 제도' 등 대안을 강구해야 한다"고 강조했다.

국외 이전 중지 명령 제도는 해외로 넘어간 정보를 두고 정보 주체에게 피해가 발생했거나 국외 이전을 중지하는 것이 정보 주체에게 이익이 될 경우 정보의 국외 이전을 중단하는 제도다. 단, 중국 기업이 중국 서버에 직접 개인정보를 수집하는 딥시크는 '국외 이전 중지 명령 제도' 대상에 해당하지 않아, 개인정보위가 다른 방안을 강구해야 할 것이라는 의견도 나온다.

데이터베이스 보안 전문기업 피앤피시큐어 김충일 이사는 "딥시크 보안에 대한 우려는 키보드 패턴, 채팅 기록까지 공공기관에 공유할 수 있기 때문이다. 특히 중국 정부에서 이를 받고 데이터 분석을 하지 않을까 하는 걱정도 있다"며 "한국 지자체와 정부기관에서 이용 제한을 장려하고 있지만 이용자를 억지로 막기는 힘들 것이다. 지금처럼 보안 장치가 없는 상상황에서는 이용자 스스로가 개인정보나 기업 기밀을 빼고 입력하는 조심성을 길러야 할 것이다"고 언급했다.

이주석 한국인공지능협회 원장은 역시 "챗GPT가 처음 생겼을 때도 개인정보 유출에 대한 우려가 많았다"며 "딥시크 역시 사용자 스스로의 절제가 필요하다고 본다. 개인정보 측면에서 너무 민감한 내용은 질문에서 제외하고 이용하는 것을 권장한다"고 말했다.

이어 이 원장은 "네이버 서치 GPT와 카카오 Ko GPT 등 공개된 오픈소스 외에도 챗GPT에 버금가는 국내 인공지능 챗봇 개발이 활발한 것으로 알고 있는데, 더욱 세분화된 AI 플랫폼 모델이 유통된다면 딥시크에 대한 사용 우려를 한방에 극복할 수 있을 것이다"고 덧붙였다.

산업