개인정보 무단 국외이전한 딥시크…정부 ‘즉각 파기’ 시정 권고

개인정보위, 딥시크 서비스 사전 실태점검 결과 발표
프롬프트 정보 활용하면서도 안내 미흡·한국어로된 개인정보 처리방침 없어
개인정보 국외이전시 합법근거 마련·이미 이전한 개인정보 즉각 파기 명령

AP

과도한 개인정보 수집으로 논란이 됐던 중국 생성형 인공지능(AI) 스타트업 딥시크(DeepSeek)를 상대로 우리 정부가 시정 및 개선을 권고했다.

딥시크는 중국·미국 소재 5개 기업으로 국내 이용자 개인정보를 이전함에도 이를 안내하지 않았으며, 한국어로 된 개인정보 처리방침을 제공하지 않았다. 아울러 사용자가 입력한 질문 내용(프롬프트)을 학습에 이용함에도, 이에 관한 구체적인 설명이나 거부 기능이 없었고 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입시 아동 여부를 확인하는 절차가 없었다.

이와 관련, 24일 개인정보보호위원회는 딥시크를 상대로 ▲프롬프트 입력 정보의 국외 이전 차단 및 이미 이전된 데이터의 즉각 파기 ▲한국어 처리방침 공개 ▲아동 개인정보 보호 조치 강화 ▲국내대리인 지정 등 시정·개선 권고했다.

지난 1월 딥시크 서비스 출시 직후 국내외의 개인정보 침해 우려가 제기됨에 따라 개인정보위는 딥시크에 개인정보 수집·처리 방식에 관한 질의서를 보낸 바 있다. 동시에 한국인터넷진흥원(KISA)과 기술 분석 등을 진행해 다른 사업자와의 통신 기능 및 개인정보 처리방침(이하 처리방침)상 미흡한 부분을 일부 확인했다.

이후 개인정보위는 딥시크에 대한 사전 실태점검에 착수했으며, 이 과정에서 딥시크는 우리 개인정보보호법에 대한 고려가 일부 소홀했음을 인정하고 개인정보위에 적극 협력하겠다는 의사를 표명하는 한편, 국내 앱 마켓에서 신규 다운로드를 잠정 중단한 바 있다.

◆바이트댄스 연관성엔 선 그어…볼케이노의 클라우드 서비스만 활용

이번 조사를 통해 개인정보위는 딥시크가 이용자의 개인정보를 사전 고지나 동의 없이 해외로 이전하고 있는 사실을 확인했다. 다만 당초 논란이 됐던 틱톡 운영사 바이트댄스와의 연관성에 대해선 딥시크 측은 일부 선을 그었다.구체적으로 딥시크는 개인정보를 중국 및 미국 소재 5개 회사로 이전하면서도 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않고 있었다. 특히 딥시크는 기기 정보, 네트워크 정보, 앱 정보 외 이용자가 인공지능(AI) 프롬프트에 입력한 내용까지 볼케이노(Beijing Volcano Engine Technology)란 사업자에 전송하고 있었다.

이후 딥시크는 국외이전(위탁) 관련 법정사항을 한국어 처리방침에 포함해 개인정보위에 제출했다. 아울러 볼케이노로 전송에 대해서는 보안 취약점 및 이용자 인터페이스(UI)와 경험(UX) 등의 개선을 위해 클라우드 서비스를 이용한 것이라고 설명했다. 이 가운데 이용자가 AI 프롬프트에 입력한 내용의 이전은 불필요하다는 위원회의 지적에 따라 이달 10일부터 신규 이전을 차단했다.

특히, 딥시크 측은 볼케이노는 바이트댄스의 계열사이나 별도 법인으로 바이트댄스와는 무관하고, 처리위탁 정보는 서비스 운영·개선 외 마케팅 등의 목적으로는 이용하지 않고 있으며, 관련 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 소명했다.

◆사용자 입력한 정보 학습 거부권 없어…충분한 설명도 없어

딥시크는 타 AI 사업자와 유사하게 공개된 데이터(오픈소스 데이터 및 웹 수집 데이터 등)와 이용자가 프롬프트에 입력한 내용을 AI 개발·학습에 이용하고 있었다. 그러나 AI 프롬프트 입력 내용의 경우 이용자가 AI 개발·학습 활용에 거부할 수 있는 기능이 없었고, 처리방침·이용약관에도 ‘서비스 제공·개선’으로만 표시해 충분한 설명 또는 고지가 있었다고 볼 수 없었다.

개인정보위 조사 이후 딥시크는 AI 프롬프트 입력 내용의 AI 개발·학습 활용과 관련해 이용자가 거부할 수 있는 기능(opt-out)을 마련했다. 아울러 개인정보위가 지난해 주요 AI 서비스 사전 실태점검 후 권고한 ‘강화된 보호조치’를 모두 준수하기로 했다.

‘강화된 보호조치’는 사전학습 시 KISA에서 제공하는 개인정보(주민등록번호, 휴대전화번호, 계좌번호 등) 노출 페이지(URL)에 대한 삭제·차단 반영, 이용자 입력 데이터의 사용 목적을 분명히 알리고 사용 여부에 대한 선택권 보장, AI 관련 개인정보 처리 흐름 전반을 구체적 안내 등을 담고 있다.

◆우리 법상 필수 고지사항 누락…키 입력 패턴 리듬은 실제 수집하지 않아

딥시크는 앱 출시 당시 중국어와 영어로만 개인정보 처리방침을 제공하고 있었으며 개인정보 파기 절차, 보호책임자 연락처 등 우리 법상 필수 고지 사항을 누락한 것으로 확인됐다. 특히 ‘키 입력 패턴과 리듬’ 등 광범위한 개인정보 항목을 수집한다고 명시해 논란을 빚었다.

딥시크 측은 이후 우리 법정 사항을 포함해 한국어로 된 처리방침과 별도의 우리 관할조항(처리법적 근거, 보유기간, 파기절차 및 방법, 개인정보 보호책임자 등)을 추가했다. 아울러 문제가 된 키 입력 패턴은 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로, 실제 수집한 사실은 없으며 정확한 수집 항목으로 처리방침을 정비했다고 개인정보위에 소명했다.

이와 함께 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입시 아동 여부를 확인하는 절차가 없었으나, 점검과정에서 연령 확인 절차 등을 마련했다. 또 일부 확인된 보안 취약점(개발서버 데이터베이스 접근 제한 소홀, 디렉터리 리스팅 방지 미흡 등)에 대해서는 점검과정에서 조치를 완료했다.

한편 딥시크가 개인정보위의 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되며, 시정 및 개선 권고에 대한 이행 결과는 60일 이내에 개인정보위에 보고해야 한다.

개인정보위는 “시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속 관리해 나갈 계획”이라고 밝혔다. 아울러 “딥시크 측에서 조만간 개인정보위 시정·개선 권고를 이행해, 서비스를 재개할 의지를 보였다”고 말했다.

[서울=뉴시스]