우려가 현실로 확인됐다. 개인정보 유출 우려를 낳았던 중국의 생성형 인공지능(AI) 딥시크가 중국 소셜미디어 ‘틱톡’의 모회사인 ‘바이트댄스’에 이용자 데이터를 넘긴 것으로 확인됐다.
18일 개인정보보호위원회 등에 따르면 개인정보위가 딥시크 서비스 출시 이후 딥시크 서비스에 대한 자체 분석 결과, 딥시크가 제3자인 바이트댄스에 이용자 입력 정보를 전송한 것을 드러났다.
이와 관련, 개인정보위 관계자는 “딥시크가 (바이트댄스와) 통신하는 사실을 확인했다”면서 “어떤 정보가 얼마나 넘어갔는지는 아직 확인하지는 못했다”고 밝혔다.
딥시크는 이 과정에서 이용자의 동의를 받지 않은 것으로 알려졌다.
국내 개인정보보호법은 사업자가 제3자에게 이용자 관련 정보를 제공할 경우 정보 제공자인 이용자에게 이를 알리고 동의를 받아야 한다.
개인정보위는 딥시크의 개인정보 처리방침에 이런 내용이 반영돼 있지 않는 등 여러 부문에서 미흡한 점을 확인했다.
개인정보위는 딥시크가 관련 서비스를 시정하기까지 상당한 시일이 걸릴 것으로 보고 딥시크 국내 서비스의 잠정 중단을 권고했고, 딥시크는 이를 수용했다.
이에 따라 딥시크 앱의 신규 다운로드는 이달 15일 오후 6시부터 국내 앱 마켓에서 제한된 상태다.
딥시크가 개인정보위 권고를 바로 수용한 것에 대해서는 단순한 시스템 개선 차원에서부터 개인정보 유출까지 다양한 해석이 나온다.
먼저, 바이트댄스에 전송한 데이터가 개인정보보호법상 민감한 개인정보를 포함하고 있었을 가능성이다.
만약 사전 동의 없이 제3자에 이용자 개인정보를 제공하는 것은 국내법상 위법이다.
딥시크가 서비스 중단권고를 받아들인 것도 바로 이 때문이라는 분석을 낳는다.
개인정보위는 딥시크 서비스 중단 기간 딥시크의 개인정보 처리 실태를 면밀히 들여다볼 계획이다.
앞서 개인정보위는 지난해 5개월 동안 오픈AI, 구글, MS 등 주요 6개 AI 서비스에 대한 사전 실태점검을 벌인 바 있어 그 과정을 그리 어렵지 않을 것으로 보고 있다.
개인정보위는 딥시크 실태점검 과정에서 딥시크 서비스가 국내 개인정보보호법에서 요구하는 요건을 준수하도록 유도할 방침이다.
점검 최종 결과 발표 때는 해외 AI 개발사가 국내 서비스 출시 전 점검해야 할 사항을 가이드 형태로 제시할 계획이다.
개인정보위는 딥시크 앱 다운로드 서비스가 잠정 중단됐지만, 기존에 앱을 내려받아 이용하거나 웹을 통한 딥시크 활용에는 제한이 없다.
남 국장은 “이미 (딥시크를) 다운로드받아서 사용하시는 분이나 인터넷을 통해 이용하시는 분은 (개인정보 유출) 위험성이 있으니 신중한 이용을 당부드린다”며 “자체적으로 삭제하고 이용하지 않는 방법도 있다”고 덧붙였다.
김성곤 선임기자 gsgs@public25.com
댓글0