미국 빅테크를 충격에 빠뜨릴 정도로 적은 비용으로 고성능 생성형 인공지능(AI)을 개발한 딥시크의 한 달간(1월 15일~2월 15일) 행적이 공개됐다. AI에 질문하기 위해 입력하는 명령어(프롬프트)를 사용자 동의 없이 바이트댄스(틱톡 운영사) 계열사에 이전한 것으로 드러났다. 틱톡은 이용자의 행동 패턴 등 수많은 데이터를 활용해 알고리즘을 만들고, 이를 통해 중국에 우호적인 메시지를 무작위로 전파한다는 의심을 받는 글로벌 ‘빅5’ 소셜미디어다. 딥시크가 이전 프롬프트 데이터를 삭제하고, 앞으로 시정하겠다는 답변을 내놓긴 했지만, 중국이 AI 앱을 활용해 세계 데이터를 수집하려 한다는 의혹은 더 커질 전망이다.

◇딥시크의 수상한 개인정보 관리

개인정보보호위원회는 24일 딥시크가 한국에 서비스를 시작한 1월 15일부터 개인정보 침해 우려로 신규 앱 다운로드를 자체 중단한 2월 15일까지 딥시크의 국내 서비스에 대한 조사 결과를 발표했다. 대부분의 의혹이 사실로 드러났다. 딥시크는 국내 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전 동의를 받지 않았고, 개인정보 처리방침도 공개하지 않았다. 처리방침을 영어와 중국어로만 제작했다는 점도 지적받았다. 개인정보위 관계자는 “개인정보 국외 이전이나 처리 위탁 자체를 금지하는 것이 아니고 처리방침을 분명하게 알리는 것이 중요하다”고 설명했다.

가장 논란이 예상되는 것은 틱톡과의 연관성이다. 딥시크는 이용자가 프롬프트에 입력한 내용을 바이트댄스의 자회사인 볼케이노엔진에 전송했다. 이 회사의 본업은 클라우드 서비스 플랫폼이다. 미국의 아마존웹서비스(AWS)와 비슷하다. 2021년 출범한 볼케이노엔진은 바이트댄스의 핵심 기술인 추천 알고리즘, 데이터 분석, AI 기술을 기업 고객에 제공하는 것을 사업 모델로 삼고 있는 것으로 알려졌다. 미국에선 틱톡의 사용자 데이터가 중국 서버에 이전됐을 가능성이 제기되면서 현재 오라클이 미국 내 틱톡 데이터를 처리하고 있다.

◇중국발 AI 공세 봇물 터지나

개인정보위는 딥시크에 볼케이노엔진으로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다. 딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 시정 명령을 받은 것으로 간주해 60일 내 이행 결과를 보고해야 한다. 개인정보위는 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속적으로 관리한다는 입장이다.

이에 대해 딥시크 측은 대부분 수용 의사를 밝힌 것으로 알려졌다. 개인정보 처리방침을 한국어로 공지하고, 이미 이전된 프롬프트 데이터를 삭제하는 등의 조치를 취하겠다는 것이다. 개인정보위에 따르면 볼케이노엔진의 서비스를 이용한 것과 관련해 딥시크 측은 “보안 취약점과 사용자환경(UI), 사용자경험(UX) 등의 개선을 위해서”라고 답변했다.

딥시크가 시정 권고를 이행하면 중단된 국내 서비스도 재개될 전망이다. 남석 개인정보위 조사조정국장은 “딥시크에서 자율적으로 서비스를 중단한 만큼 권고를 수용하고 이행한 뒤 서비스 재개 여부를 스스로 결정할 것”이라고 설명했다. 이에 대해 AI업계 관계자는 “미국처럼 한국 내 데이터 처리를 국내 업체에 맡기도록 하는 등 안전 조치를 취하지 않으면 비슷한 문제가 재발할 수 있다”고 우려했다.

이승우 기자 [email protected]