중국 AI 챗봇 애플리케이션 ‘딥시크(DeepSeek)’가 올해 상반기에 한국 시장에 진출하며 고효율 학습과 강력한 텍스트 처리 등의 특장점으로 빠르게 주목을 받았다. 하지만 개인정보 처리방침 미비와 국외이전 동의 누락 등 다수의 법적 문제로 인해 논란의 중심에 서게 됐다.

딥시크는 국내 진출 초기부터 사용자로부터 이름, 비밀번호, 전화번호, 생년월일, 이메일, 키보드 입력 패턴, 오디오 기록, 파일, 채팅 기록 등 과도한 개인정보를 수집해 왔다. 이렇게 수집한 개인정보들을 중국 서버에 저장하고, 중국 법률에 따라 처리해 온 것으로 알려졌다.

이 같은 논란이 일자 개인정보보호위원회는 사전 실태점검을 통해 딥시크의 위반 사항을 적발하고 시정 권고를 내렸으며, 이에 따라 딥시크는 일시적으로 국내 앱 마켓에서의 신규 다운로드를 중단하고 개선 조치를 시행했다.

◇개인정보 점검 결과 처리방침·국외이전 등 문제 다수

딥시크는 올해 1월경 한국어 서비스를 시작했으나, 초기에는 개인정보 파기 절차, 안전조치, 보호책임자 정보 등이 포함되지 않았고, ‘키 입력 패턴·리듬’ 등 민감한 정보 수집 항목이 명시되어 있었으나 실제로는 수집하지 않은 것으로 확인됐다. 그 이후 딥시크는 한국어 처리방침과 대한민국 관할조항을 추가하고, 수집 항목을 명확히 정비해 개정안을 제출했다.

하지만 이보다 더 큰 문제는 개인정보의 국외이전이었다. 딥시크는 우리나라에서 수집한 이용자 정보를 중국과 미국 소재 기업에 이전하면서도 이에 대한 사전동의를 받지 않았고, 처리방침에도 이를 명시하지 않았다. 특히 AI 프롬프트 입력 내용이 중국 소셜미디어 기업 ‘볼케이노’(Volcano)로 전송된 사실이 확인되면서 논란이 커졌다. 볼케이노는 바이트댄스(ByteDance)의 계열사다. 개인정보위는 이에 대해 국외이전 관련 법정사항을 처리방침에 포함하고, 프롬프트 입력 내용의 신규 이전을 차단할 것을 요구했다.

딥시크는 국내에서 서비스를 시행했던 올해 1월 15일~2월 15일 사이에 중국 3개 기업과 미국 1개 기업에 한국 이용자의 개인정보를 동의없이 이전했다. 이전된 정보에는 기기 정보, 네트워크 정보, 애플리케이션 정보, 그리고 사용자가 프롬프트에 입력한 질문 내용까지 모두 포함됐다.

또 딥시크의 국내 서비스 초기에는 중국어와 영어로만 개인정보 처리방침을 제공했으며, 한국어 버전은 전혀 없었다. 이에 더해 개인정보 파기 절차, 보호책임자 연락처나 안전조치 등 법적 필수 항목도 누락했다.

이에 더해 딥시크는 AI 학습에 이용자 입력 데이터를 활용하면서도 아웃풋(opt-out) 기능을 제공하지 않았으며, 14세 미만 아동의 개인정보 수집을 금지하면서도 실제로는 연령 확인 절차도 없었던 것으로 알려졌다. 개인정보위 점검 이후 아웃풋 기능이 도입됐으며, 연령 확인 절차 및 개발서버 접근 제한 등 보안 취약점도 개선됐다.

◇정부·공공기관·민간 기업까지...딥시크 접속 차단 확산

딥시크의 개인정보 처리 문제는 정부 부처와 공공기관, 민간 기업의 대응으로 이어졌다. 산업통상부, 과학기술정보통신부, 외교부, 국방부, 통일부, 농림축산식품부, 보건복지부, 기후에너지환경부, 성평등가족부, 공정거래위원회 등 18개 중앙부처는 딥시크 접속을 차단했으며, 행정안전부는 모든 부처와 지자체에 생성형 AI 사용 시 보안 유의 공문을 발송했다. 경찰청, 고위공직자범죄수사처, 법원행정처 등 수사·사법기관도 접속 차단에 동참했다.

공공기관 역시 대응에 나섰다. 한국은행, 금융위원회, 금융감독원, 산업은행, 한국토지주택공사(LH), 인천국제공항공사, 주택도시보증공사, 주택금융공사 등은 딥시크 접속을 차단했다. 지방자치단체들도 함께 대응했다. 서울시는 내부 회의를 통해 한시적 접속 차단을 시행 중이며, 인천시, 경기도 등도 안정성이 확보되기 전까지 차단을 유지할 방침이다.

민간 부문에서도 대응이 이어졌다. KB국민은행, 하나은행, 우리은행, 수출입은행 등 주요 금융기관은 딥시크 접속을 차단했고, 현대모비스, 신세계그룹 등은 사내 접속을 제한하며 직원들에게 사용 자제를 권고했다. 삼성전자, SK, LG, 포스코, HD현대, 두산, 롯데 등 대기업은 이미 자체적으로 외부 생성형 AI 사용을 제한해 왔다.

◇개인정보위, 7가지 시정 권고...어떤 사항 지적됐나

개인정보위는 올해 4월 딥시크에 대해 총 7가지 시정·개선 권고를 내렸으며, 딥시크는 이를 수락하고 60일 내 이행결과를 보고해야 한다. 위원회는 최소 2회 이상 이행 여부를 점검할 계획이다.

첫째, 딥시크가 이용자의 프롬프트 입력 정보를 중국과 미국 소재 기업으로 이전한 사실이 확인됐다. 이는 사전 동의 없이 처리방침에도 명시되지 않은 것으로, 위원회는 국외 이전을 즉시 차단하고 기존 데이터는 파기할 것을 권고했다.

둘째, 딥시크는 초기 서비스에서 중국어와 영어로만 개인정보 처리방침을 제공했으며, 파기 절차나 보호책임자 정보 등 필수 항목이 누락돼 있었다. 이에 따라 한국어 처리방침을 공개하고 대한민국 관할조항을 추가하는 등 관련 내용을 보완했다.

셋째, AI 학습 데이터 활용과 관련해 이용자의 선택권이 보장되지 않았던 점도 지적됐다. 앞서 딥시크는 프롬프트 입력 내용을 AI 학습에 활용하면서도 거부 기능(opt-out)을 제공하지 않았다. 하지만 개인정보위의 권고 이후 올해 3월 중순부터 옵트아웃 기능을 도입하고 개인정보 처리 흐름에 대한 안내를 구체화했다.

넷째, 아동 개인정보 보호 조치도 미흡했다. 딥시크는 14세 미만 아동의 개인정보 수집을 금지한다고 명시했지만, 가입 시 연령 확인 절차가 없었다. 이에 따라 연령 확인 절차를 도입하고 서버 접근 제한 등 보안 취약점도 개선했다.

다섯째, 개인정보 처리 시스템의 안전조치가 부족했다. 디렉터리 리스팅 방지나 개발서버 접근 제한 등 기술적 조치가 미흡했던 점을 개선해 보안 수준을 강화했다.

여섯째, 해외사업자의 국내 대리인 지정 의무도 이행되지 않았다. 위원회는 딥시크에 국내 대리인을 지정하고 관련 정보를 공개할 것을 권고했다.

마지막으로, 딥시크는 시정권고를 수락한 날로부터 60일 이내에 이행 결과를 보고해야 하며, 위원회는 최소 두 차례 이상 이행 여부를 점검할 예정이다. 시정권고 수락은 시정명령으로 간주된다.

◇AI 시대의 개인정보 보호...디지털 주권 확보 첫걸음

딥시크 사태는 AI 기술의 확산 속에서 개인정보 보호와 디지털 주권 확보의 중요성을 일깨우는 계기가 됐다. 정부는 공식적인 금지령을 내리지는 않았지만, 대부분의 부처와 기관이 자율적으로 딥시크 접속을 차단하며 보안 강화를 선택했다. 특히 공공 업무에서 생성형 AI를 사용할 경우 민감한 정보 입력을 금지하고, 국가정보원의 보안 심사를 의무화하는 등 제도적 장치 마련에도 나섰다.

중국 외교부는 “해당 기업에 불법적인 데이터 수집을 요구한 적 없다”고 반박했지만, 국내에서는 중국 법률에 따라 저장된 데이터가 활용될 수 있다는 우려가 여전히 존재한다. 딥시크는 개인정보위의 권고에 따라 개선 조치를 이행하고 서비스를 재개했지만, 향후에도 지속적인 감시와 점검이 필요하다는 목소리가 높다.

이번 사건은 단순한 앱 서비스 논란을 넘어, AI 기술과 개인정보 보호가 충돌할 때 정부와 기업, 이용자가 어떻게 대응해야 하는지를 보여주는 사례로 평가된다. 디지털 시대의 데이터 주권을 지키기 위한 첫걸음이 시작된 셈이다.