[비즈니스포스트] 중국 생성형 인공지능(AI) 딥시크가 국내 이용자 정보와 입력어를 무단으로 해외에 이전한 것으로 드러났다. 

개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열어 전날 전체회의에서 심의·의결한 ‘딥시크 서비스 사전 실태점검 결과’를 발표했다.
 

점검 결과에 따르면 딥시크는 올해 1월15일 국내 서비스를 시작하면서 2월15일 서비스를 중단할 때까지 개인 정보를 중국과 미국 등 해외 업체 4곳에 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 대해 공개하지 않았다.

중국어와 영어로 된 처리 방침에서도 국내법이 요구하는 개인정보 파기 절차 및 방법, 안전조치, 개인정보 보호책임자의 성명·연락처 등의 사항을 누락하고 키 입력 패턴·리듬 등과 같은 광범위한 정보를 수집한다고 명시했다.

이용자가 인공지능 프롬프트에 입력한 내용도 중국 업체인 볼케이노에 전송한 것으로 파악됐다. 이 회사는 중국 소셜미디어 틱톡의 모회사 바이트댄스의 계열사다.

딥시크는 3월28일 위원회에 한국어 처리방침을 새로 마련해 제출했고, 4월10일에는 위원회의 지적에 따라 프롬프트 입력 내용에 대한 신규 이전을 차단했다. 

딥시크는 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 옵트아웃 기능이 없었다. 위원회의 지적 이후 3월17일 관련 기능을 개선했다.

딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 때 아동 여부를 확인하는 절차가 없었다. 위원회의 점검과정에서 연령 확인 절차 등을 마련했다.

위원회는 점검 결과를 바탕으로 딥시크에 개인정보 국외 이전 때 합법 근거를 구비하고, 이미 볼케이노에 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것과 한국어 처리방침 공개 등의 서비스 투명성을 확보할 것을 시정권고하기로 했다.

또한 △강화된 개인정보 보호조치 방안 준수 △아동 개인정보의 수집 여부 확인 및 파기 △개인정보 처리시스템 전반의 안전조치 향상 △국내대리인 지정 등을 개선권고하기로 했다. 조승리 기자