[ 아시아경제 ] 중국산 인공지능(AI) 서비스 '딥시크'가 개인정보를 과도하게 수집해 국외로 이전한 데 대해서 우리 정부가 제재를 가했다. 신규 다운로드를 잠정 중단한 딥시크의 서비스 재개 시점은 국내법에 맞게 자사의 개인정보 보호 수준을 끌어올린 후 자체적으로 정하게 될 것으로 보인다.

개인정보위는 23일 전체회의를 열고 딥시크에 대한 이같은 사전 실태 점검 결과를 심의·의결했다. 앞서 지난 1월 딥시크 서비스 출시 이후 개인정보 침해 우려가 제기돼 개인정보위가 사전 실태 점검에 착수했으며 2월15일부터 국내 신규 다운로드를 잠정 중단한 바 있다.

개인정보위의 점검 결과, 딥시크는 기기·네트워크·애플리케이션(앱) 정보뿐만 아니라 이용자가 AI 프롬프트에 입력한 내용까지 중국의 IT기업 바이트댄스의 클라우드 플랫폼인 '볼케이노'로 전송한 것으로 나타났다.

이에 딥시크 측은 "보안 취약점과 사용자환경(UI), 사용자경험(UX) 등의 개선을 위해 클라우드 서비스를 이용한 것"이라고 경위를 설명했다.

하지만 개인정보위는 '이용자가 프롬프트에 입력한 내용을 이전하는 것은 불필요하다'고 지적했고, 딥시크는 지난달 10일부터 이에 대해선 신규 이전을 차단했다고 알려왔다.

딥시크는 한국 앱 마켓에 출시하면서도 한국어가 아닌 중국어, 영어로만 개인정보 처리방침을 공개했다.

개인정보 파기 절차, 안전조치, 개인정보 보호책임자의 성명, 연락처 명시 등 우리 법이 요구하는 사항은 지키지 않았고, 키 입력 패턴·리듬과 같은 필요 이상의 정보를 수집한다고 명시해놓고 있었다.

또한 이용자가 프롬프트에 입력한 내용을 AI 개발·학습에 활용할지를 이용자 본인에게 묻는 기능(옵트아웃)도 없었다.

이뿐만이 아니다. 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 시 아동 여부를 확인하는 절차조차 없었다.

딥시크는 한국어로 된 개인정보 처리 방침과 관할 조항 등을 3월 개인정보위에 제출했다.

또한 문제가 됐던 키 입력 패턴, 리듬과 같은 광범위한 정보를 실제로 수집하진 않았다고 해명했다. 딥시크 측은 "키 입력 패턴은 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것"이라며 "실제 수집한 사실은 없으며 정확한 수집 항목으로 처리방침을 정비했다"고 밝혔다.

또한 프롬프트 입력 내용을 AI 개발·학습 활용에 쓰이지 않도록 이용자가 거부하는 기능을 마련했고, 지난해 개인정보위가 주요 AI 서비스 기업에 권고한 보호조치를 준수하기로 했다.

딥시크는 아동 개인정보 수집과 관련해선, 개인정보위 점검 과정에서 뒤늦게 연령 확인 절차 등을 마련했다.

개인정보위는 딥시크에 ▲개인정보 국외 이전 시 합법적인 근거를 마련하고 ▲볼케이노에 이전한 이용자 프롬프트 입력 내용을 즉각 파기할 것 ▲한국어 처리방침 공개 등 서비스 투명성을 확보할 것을 시정 권고하기로 했다.

그리고 ▲강화된 개인정보 보호조치 방안 준수 ▲아동 개인정보 수집 여부 확인 및 파기 ▲개인정보 처리시스템 전반의 안전조치 향상 ▲국내 대리인 지정 등을 개선 권고하기로 했다.

개인정보위는 법 위반이 분명한 사항에 대해선 '시정 권고'를 하고, 법 위반까지는 불분명하지만 개선이 필요한 부분에는 '개선 권고'를 하고 있다.

딥시크가 10일 이내에 시정 권고를 수락하면 시정명령을 받은 것으로 간주되며, 시정·개선 권고에 대한 이행 결과는 60일 이내에 개인정보위에 보고해야 한다. 개인정보위는 딥시크의 이행 여부를 최소 2회 이상 점검할 계획이다.

남석 개인정보위 조사조정국장은 24일 정부서울청사에서 열린 브리핑에서 "이번 경우에는 국내 대리인을 지정하도록 했다"며 "국내 대리인을 통해서 이행 여부를 좀 더 철저히 점검해나갈 것"이라고 밝혔다.

이어 "국제적인 개인정보 감독기구와 협조하고 있다"며 "공조체제를 통해 국외 이전된 개인정보가 보호될 수 있도록 노력하겠다"고 했다.

딥시크는 자사 서비스가 한국 법에 맞는 개인정보 보호 조치 수준을 달성했다고 판단했을 때 자율적으로 신규 다운로드를 재개할 것으로 보인다. 남 국장은 "시정 권고 수용과 이행 시에는 자체적으로 결정이 가능할 것으로 보고 있다"고 했다.

그는 "개인정보위가 어떤 처분을 해서 신규 다운로드가 중단된 게 아니고 피심인(딥시크) 쪽에서 당초 글로벌 서비스를 제공하는 과정에서 '법상 미흡한 점이 있는 것을 인정하고 보완하겠다'고 하면서 스스로 신규 다운로드를 중단한 것"이라고 설명했다.

남 국장은 "시정·개선 권고한 내용을 딥시크에서 수용하는 경우 우리 보호법상의 개인정보 수준은 어느 정도 확보된다고 보면 될 것 같다"면서 "그게 실제로 제대로 이행이 되고 있는지를 계속적으로 확인하겠다"고 했다.

김보경 기자 bkly477@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>