개인정보 유출 주범 지목 … 딥시크 보안 4대 궁금증

◆ 딥시크 쇼크 ◆

'가성비 인공지능(AI)'으로 전 세계에 충격을 안긴 중국의 생성형 AI 딥시크가 이제는 과도한 개인정보 수집과 유출의 주범으로 지목되면서 전방위적으로 '딥시크 포비아'가 확산하고 있다. 미국과 유럽 등 주요 국가에 이어 국내 정부부처와 일반 기업도 잇달아 딥시크 접속 차단에 나서는 가운데 딥시크를 둘러싼 우려가 큰 이유는 무엇인지 등 궁금증에 대해 짚어봤다.

우선 딥시크가 가장 많이 지적받는 부분은 다른 생성형 AI 서비스 기업과 비교해도 이용자 데이터를 지나치게 많이 수집한다는 점이다. 딥시크의 개인정보 약관에 따르면 딥시크는 이용자가 프롬프트에 입력하는 정보 외에도 개인의 기기 정보와 일련번호,키보드 입력 패턴과 리듬,IP 주소,쿠키 정보를 수집한다고 명시하고 있다.

키보드 입력 패턴은 개인마다 키보드 사용 방식이 다르다는 점에 착안해 이를 분석하는 기술이다. 패턴은 사람마다 달라 개인 식별에 활용될 가능성도 있다.

더 큰 문제는 이렇게 수집한 정보가 모두 중국으로 넘어간다는 것이다. 딥시크는 약관에서 "사용자로부터 수집한 데이터는 사용자가 거주하는 국가 외부에 위치한 서버에 저장될 수 있다"며 "'국가 외부의 위치'는 지리적으로 중화인민공화국(중국)"이라고 설명하고 있다.

중국은 '중국의 모든 조직과 국민은 중국의 정보 활동을 지지·지원·협력해야 한다'는 국가정보법 제7조에 따라 자국 기업이 가진 민간 데이터를 요청할 수 있다. 딥시크 또한 관련 법률이나 정부 요청을 준수해 정보를 제공할 수 있다고 약관에 명시하고 있다.

딥시크를 사용하려면 무조건 개인정보를 제공해야만 하는 것도 논란거리다. 챗GPT나 네이버 클로바X는 이용자들이 원할 시 입력한 데이터가 서비스 품질 개선 목적 등으로 활용되는 것을 거부할 수 있는 '옵트아웃(Opt-out)' 옵션을 제공한다. 딥시크는 이 같은 옵션을 제공하지 않아 사실상 정보를 넘기고 서비스를 이용하느냐,이를 거부하고 서비스를 쓰지 않느냐의 선택만 가능하다.

최근 딥시크의 내부 데이터베이스가 노출되는 사고로 보안 취약성이 드러난 것도 딥시크 포비아를 더욱 부추기고 있다. 이스라엘 클라우드 보안 업체 위즈에 따르면 최근 노출된 딥시크의 데이터베이스에는 사용자 채팅 기록,API 인증 키,시스템 로그 등 100만건 이상의 민감한 내용이 포함된 것으로 확인됐다.

최근 아마존웹서비스(AWS),마이크로소프트(MS) 같은 미국 빅테크들이 잇달아 자사 클라우드 서비스를 사용하는 기업 고객에게 딥시크 모델을 쓸 수 있도록 하면서 과연 이것이 안전한지에 대한 의문도 제기된다. 업계에 따르면 빅테크들은 오픈소스로 공개돼 딥시크 프로그램 코드만 가져와 별도 서버에서 사용하기 때문에 정보 유출 가능성은 사실상 없다.

정부부처와 기업들의 딥시크 금지령이 미봉책이라는 지적도 나온다.

KT 등 기간통신사에서 딥시크 웹사이트나 도메인을 막은 것이 아니라 자체 사내망에서만 사용을 막은 만큼 원천 차단이라고 보기는 힘들기 때문이다. 이 경우 부처 혹은 사내 PC를 활용한 딥시크 이용은 불가능하지만,직원들이 스마트폰 등 개인 기기에서 딥시크 앱을 내려받아 사용하는 것까지는 막을 수 없다.

이에 대한 관계당국의 대응은 좀처럼 속도를 내기 힘든 상황이다. 딥시크와 관련한 조사 및 서비스 차단 권한은 행정안전부,개인정보보호위원회,방송통신위원회,방송통신심의위원회 등에 분산돼 있다. 컨트롤타워가 없다 보니 아직까지 실효성 있는 대책을 내놓기 힘든 형국이다.

[김태성 기자 / 정호준 기자]