딥시크, 이용자 동의 없이 개인정보 '틱톡' 계열사에 넘겼다

▲딥시크 로고가 보인다. 로이터연합뉴스

과도한 개인정보 수집으로 논란을 빚었던 중국의 생성형 인공지능(AI) 서비스 '딥시크'가 이용자의 동의 없이 AI 프롬프트에 입력한 내용까지 중국 ‘볼케이노사’에 전송한 것으로 드러났다.

클라우드 서비스 제공업체인 볼케이노는 중국의 소셜미디어 ‘틱톡’을 운영하는 바이트댄스의 계열사다.

개인정보보호위원회는 24일 딥시크에 대한 사전 실태점검 결과 통신 기능 및 개인정보 처리방침상 미흡한 부분을 확인해 시정권고와 개선권고를 내리기로 전날 전체회의에서 의결했다고 밝혔다.

실태 점검 결과 딥시크는 개인정보를 중국과 미국 소재의 4곳 회사에 이전하면서도 서비스 개시 당시 이용자로부터 국외 이전에 대한 동의를 받거나 처리 방침을 공개하지 않았던 것으로 밝혀졌다. 특히 딥시크는 기기 정보, 네트워크 정보, 앱 정보뿐 아니라 이용자가 AI 프롬프트에 입력한 내용을 바이트댄스의 계열사인 볼케이노에 전송하고 있었던 것으로 확인됐다.

▲남석 개인정보위 조사조정국장이 24일 서울 종로구 정부서울청사에서 진행된 브리핑에서 딥시크에 대한 사전 실태점검 결과를 발표하고 있다. (김나리 기자)

남석 개인정보위 조사조정국장은 이날 브리핑에서 “딥시크가 볼케이노로 데이터를 전송한 것에 대해 보안 취약점이나 이용자 인터페이스(UI), 이용자 경험(UX) 개선을 위해 클라우드 서비스를 이용한 것이지, 서비스 운영‧개선 외에 마케팅 등의 목적으로는 이용하지 않았다고 소명했다”며 “딥시크는 이용자가 AI 프롬프트에 입력한 내용의 이전은 불필요하다는 위원회의 지적에 따라 4월 10일 신규 이전을 차단했다”고 설명했다.

딥시크가 1월 15일 한국 앱 마켓에 서비스를 출시하면서 개인정보 처리방침을 중국어 및 영어로만 제공했으며 개인정보 파기 절차, 안전조치, 보호책임자 정보 등의 필수 항목을 누락한 사실도 드러났다.

딥시크는 프롬프트 입력 데이터를 AI 학습에 활용하면서도 이용자에게 이를 거부(opt-out)할 수 있는 선택권을 제공하지 않았다. 이에 딥시크는 3월 17일부터 거부 기능을 도입했고 개인정보위가 권고한 AI 보호조치 사항을 모두 준수하겠다고 약속했다.

아울러 딥시크는 14세 미만 아동 개인정보를 수집하지 않는다면서도 가입 시 연령 확인 절차가 없었던 문제가 발견되자 개선하기 위해 연령 확인 절차를 도입했다.

개인정보위는 이번 점검 결과를 바탕으로 딥시크 측에 개인정보를 국외로 이전할 경우 관련 법적 근거를 철저히 갖출 것과 이미 볼케이노사로 이전된 이용자 프롬프트 입력 내용 중 불필요한 정보는 즉시 파기할 것, 한국어 처리 방침을 보다 구체적이고 명확하게 공개해 서비스의 투명성을 지속적으로 높일 것을 권고했다.

남 과장은 “딥시크에 지난해 주요 AI 서비스 대상 사전 실태 점검 결과를 바탕으로 개인정보보호위원회가 권고하는 강화된 개인정보 보호조치 방안의 준수, 아동 개인정보의 수집 여부 확인 및 파기, 개인정보 처리시스템 전반의 안전조치 향상과 함께 상시적으로 국내 대리인을 지정할 것을 개선 권고하기로 했다”고 설명했다.

딥시크가 개인정보위의 시정 권고를 10일 이내에 수락하면 시정 명령을 받은 것으로 간주하며 시정 및 개선 권고를 이행한 결과는 60일 이내에 개인정보위에 보고해야 한다. 향후 개인 정보위는 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속 관리해 나갈 계획이다.

딥시크는 곧 국내에서 서비스를 재개할 것으로 관측된다.

남 과장은 “전날 대리인 측에서는 조만간 시정 이행이 되면 서비스를 개시할 것이라고 밝혔다”고 설명했다.

개인정보위는 올해 1월 딥시크 서비스 출시 직후 국내‧외의 개인정보 침해 우려가 제기되자 딥시크에 개인정보 수집·처리 방식에 관한 질의서 보내고 자체적인 기술 분석을 통해 개인정보 처리 방침 상 미흡한 부분을 확인했다. 이에 개인정보 보호법에 대한 고려가 부족한 것을 인정하고 2월 15일 신규 다운로드를 잠정 중단했다.