[보안뉴스 한세희 기자] 중국 인공지능(AI) 기업 딥시크가 국내 사용자 정보를 동의 없이 중국과 미국 기업들에 넘긴 것으로 나타났다. 사용자가 입력한 프롬프트 내용도 적절한 설명 절차 없이 가져갔다.

개인정보보호위원회는 24일 이 같은 내용의 ‘딥시크 사전 실태점검 결과’를 발표했다. 딥시크는 올해 1월 서비스 출시 직후 개인정보 침해 우려가 제기됐고, 개인정보위가 실태 조사에 들어가자 국내 서비스를 잠정 중단한 바 있다.

당시 딥시크의 개인정보 처리방침엔 개인정보 파기 절차와 방법, 안전조치, 개인정보 보호책임자 연락처 등 우리 법이 요구하는 사항이 빠져 있었다. 처리방침도 중국어와 영어로만 쓰여 있었다.


▲최장혁 개인정보보호위원회 부위원장이 23일 서울 종로구 정부서울청사에서 열린 제9차 전체회의에서 의사봉을 두드리고 있다. [자료: 연합]

개인정보위 조사 결과, 딥시크는 국내 서비스를 중단한 2월 15일까지 사용자 개인정보를 중국 내 3곳, 미국 내 1곳 등 4개 해외 기업으로 이전했다. 이 과정에서 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다.

특히 베이징볼케이노테크놀로지라는 회사에 사용자 기기 및 네트워크 정보, 앱 정보, 프롬프트 입력 내용 등을 전송했다. 이 회사는 틱톡을 운영하는 바이트댄스의 계열사다.

또 입력한 프롬프트가 AI 개발이나 학습에 활용되는 것을 거부하는 방법이 없었고, 약관에도 수집 목적을 ‘서비스 제공 개선’으로만 표시해 설명이 불충분했다. 미성년자 개인정보 수집을 막기 위한 연령 확인 절차도 없었다.

딥시크는 조사 진행 중 한국어로 된 처리방침과 대한민국 관할조항 등을 추가했다. 또 당초 문제가 됐던 사용자 키 입력 정보 수집과 관련, “서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 실제 수집한 사실이 없다”며 “정확한 수집 항목으로 처리방침을 재정비했다”고 밝혔다.



국외이전 관련 사항도 국내 법에 맞게 제출했다. 딥시크는 “볼케이노 전송은 보안 취약점과 사용자 인터페이스(UI), 사용자 경험(UX) 개선을 위해 클라우드 서비스를 이용한 것”이라며 “볼케이노는 바이트댄스 계열사이나 별도 법인으로 바이트댄스와 무관하고, 처리위탁 정보는 마케팅 등 목적으로 이용하지 않는다”고 소명했다. 사용자가 입력한 프롬프트 이전도 개인정보위 지적에 따라 중단했다고 밝혔다.

개인정보위는 볼케이노로 이전한 사용자 프롬프트 내용을 즉각 파기하고 개인정보를 국외 이전할 경우 합법 근거를 충실히 구비하라는 내용의 시정권고를 내릴 계획이다. 또 AI 서비스에 맞춰 강화된 개인정보 보호조차 방안을 준수하고, 아동 개인정보 수집 여부 확인과 국내 대리인 지정 등을 개선권고하기로 했다.

딥시크가 개인정보위 지적 사항을 대부분 개선했다고 밝힘에 따라 조만간 딥시크가 국내 서비스를 재개하리란 예상이 나온다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>