개인정보위 지난달 31일 공식질의 보냈지만 "아직 답변 없어"
키보드 패턴 수집 항목·중국내 서버 저장이 우려 확산
민간기업은 사내 사용 금지·자체 AI 사용, 개인정보위 "사용에 주의"

중국 스타트업 딥시크에서 공개한 인공지능(AI) 모델 '딥시크 R-1(R-1)'의 정보 보안 우려가 잇따라 여러 민간 기업과 공공기관의 R-1 이용이 금지됐다. 이에 한국 개인정보보호위원회는 지난달 31일 딥시크 본사에 공식 질의를 보냈지만 아직 답변을 받지 못한 것으로 알려졌다. 

지난 7일 진행된 정부서울청사 브리핑에서 개인정보위는 "해당 서비스에 대한 조속한 검토를 거쳐 필요시 개인정보 걱정 없이 안전하게 활용할 수 있는 방안을 제시할 예정"이라고 발표했다. 다만 상황을 고려해 R-1을 신중하게 이용할 것을 당부한다고 덧붙였다.

딥시크의 개인정보 우려는 크게 두 가지 맥락으로 이어진다. 우선 수집하는 정보의 범위다. R-1 개인정보 보호정책을 살펴보면 딥시크는 사용자가 R-1을 이용할 때마다 ▲프로필 ▲프롬포트 ▲연락정보 ▲기술정보 ▲사용정보 ▲쿠키 ▲결제정보를 수집한다. 

지난 6일 서울 종로구 정부서울청사 PC에 '딥시크' 사이트가 차단된 화면. 정부 부처들은 이날 중국 인공지능(AI) 딥시크(Deepseek) 접속 차단에 대거 나섰다. /사진=연합뉴스
지난 6일 서울 종로구 정부서울청사 PC에 '딥시크' 사이트가 차단된 화면. 정부 부처들은 이날 중국 인공지능(AI) 딥시크(Deepseek) 접속 차단에 대거 나섰다. /사진=연합뉴스

이 중 기술 정보에는 ▲장치 모델 ▲운영 체제 ▲키 입력 패턴 또는 리듬 ▲IP 주소 및 시스템 언어를 포함된다.

김태원 한국지능정보사회진흥원(NIA) 수석연구원은 "개인별 키압이 다를 수 있기 때문에 키패드 입력 등은 개인정보가 될 수 있다. 이런 개인정보를 과도하게 수집하는 데 문제가 있다"고 설명했다.

오픈AI의 챗GPT도 여러 정보를 수집하고 있지만 키보드 입력 패턴이나 리듬을 수집한 건 R-1뿐이다. 또 오픈AI는 데이터를 보유하는 기간에 대해 사용자가 어떻게 설정하느냐에 따라 달라진다고 설명하고 있다. 

또 다른 우려는 R-1을 통해 수집한 정보를 딥시크가 중국 정부로 전송할 수 있다는 조항 때문이다. 정책에 따르면 사용자의 개인 정보는 사용자가 거주하는 국가 외부의 서버에 저장될 수 있다. 딥시크는 개인정보 보호정책의 한 항목에는 "우리는 수집한 정보를 중화인민공화국에 있는 안전한 서버에 저장한다"고 나와있다. 

김 연구원은 R-1을 통해 수집된 정보가 딥시크의 규정에 따라 중국 정부로 유출될 가능성이 있다는 것에 "충분히 우려가 가능한 상황"이라고 말했다. 김 연구원은 "오픈AI가 등장한 초기에는 오픈AI에 의한 정보 수집에도 우려가 있었다. R-1의 경우 중국 정부로 정보가 들어갈 수 있다는 점이 큰 문제"라고 덧붙였다.

정보 유출 우려, 공공기관 및 기업 '딥시크 이용 금지'

R-1이 과도하게 데이터를 수집한다는 비판이 일자 지난 4일 행정안전부는 중앙부처와 17개 광역지방자치단체에 R-1과 챗GPT등 생성형 AI 사용에 유의할 것을 당부하는 공문을 보냈다. 국방부와 외교부, 산업통상자원부 등 각 정부 부처 역시 자체 판단에 따라 외부 접속이 가능한 컴퓨터에서 R-1의 접속을 제한했다. 

민간 기업중에서는 카카오가 가장 먼저 사내 R-1 사용을 금지했다. 카카오는 지난 5일 사내 R-1 사용을 금지하는 공지를 올렸다. 카카오 관계자는 "카카오 AI 사내 활용 정책에 따라 정보 보안과 윤리 등 AI 안전성에 대해 완전한 검증이 되지 않아 우려되는 지점이 있다는 판단 하에 사내 업무 목적으로 사용을 지양한다는 공지를 진행한 바 있다"고 밝혔다. 

그 외 은행을 포함한 각 금융기업들과 증권사들, 카카오가 같은 정보통신(IT) 기업들, 제조 및 기타 기업들이 잇따라 사내에서 딥시크 접속을 차단했다. 기업 내부 자료와 문건을 R-1이 학습하고 외부로 데이터가 유출될 수 있다는 우려 때문이다. 

김 연구원은 "AI, 클라우드 등 서비스를 이용하면 정보가 수집되는 건 피할 수 없다"며 정보 유출을 피해서 자체 AI 서비스를 만드는 경우도 있다고 설명했다. 대표적인 것인 삼성이다. 삼성은 지난 2023년 AI 포럼을 열고 삼성리서치에서 개발한 생성형 AI 모델 '삼성 가우스'를 공개한 바 있다. 

남석 개인정보보호위원회 조사조정국장이 지난 7일 서울 종로구 정부서울청사에서 딥시크 관련 추진상황 및 향후 대응방향 브리핑을 하고 있다. /사진=연합뉴스
남석 개인정보보호위원회 조사조정국장이 지난 7일 서울 종로구 정부서울청사에서 딥시크 관련 추진상황 및 향후 대응방향 브리핑을 하고 있다. /사진=연합뉴스

개인정보위, "면밀히 검토 예정"

개인정보위에 따르면 10일 오전 기준으로 딥시크의 답변은 아직 회신되지 않은 상태다. 개인정보위 관계자는 "보통 2~3주 이상으로 소요되는데다 해외 기업인만큼 기다리고 있는 상태다"고 밝혔다. 

이후 답변이 오면 개인정보위는 답변 내용에 따라 공개 여부를 결정할 방침이다. 개인정보위 관계자는 "답변에 따라 추가 요청을 할 수 있어서 (공개 시점에 대해) 지금 말하기는 어렵다"고 설명했다. 

개인정보위가 딥시크에 보낸 공식 질의는 ▲개인정보 처리 주체 ▲수집 항목 ▲수집 목적 ▲수집·이용 및 저장 방식 ▲공유 여부 등이 포함돼 있다. 개인정보위는 딥시크에 공식 질의를 보낸 것외로도 R-1의 서비스 관련 주요 문서에 대해 면밀하게 비교 분석을 실시하고 있으며 서비스 사용 시 구체적으로 전송되는 데이터 및 트래픽 등에 대한 기술 분석을 전문기관 등과 함께 진행하고 있다. 

개인정보위는 해외 주요국 개인정보 규제·감독기구인 영국의 ICO, 프랑스의 CNIL, 아일랜드의 DPC등과 협의를 시작했고 관련 상항을 공유하며 향후 공동 대응 방안도 논의 중이라고 덧붙였다. 공식 외교채널로도 소통을 시도하며 원활한 협조를 위해 노력할 예정이다.

키워드
#딥시크 #개인정보보호위원회 #정보유출우려 #딥시크이용금지
관련기사
저작권자 © 스마트에프엔 무단전재 및 재배포 금지