개인정보위 ‘딥시크 실태점검’…이용자 정보·입력어 해외로 무단 이전

3개사 중 한 곳은 틱톡 ‘바이트댄스’ 자회사로 확인 딥시크 “클라우드 서비스만 이용, 위탁정보 활용 안해” 해명 개인정보위, 해외 이전 입력 내용 즉각 파기 등 시정 권고

2025-04-25     최태우 기자
스마트폰 화면에 딥시크 로고가 표시돼 있다. [사진=로이터]

국내 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) 딥시크(DeepSeek)가 서비스 당시 중국과 미국 내 여러 업체에 국내 이용자 정보를 무단 이전한 것으로 나타났다. 이용자가 답을 얻고자 프롬프트에 입력하는 내용도 중국 업체에 넘어간 것으로 확인됐다.

딥시크는 앞서 1월 국내 서비스 출시 후 과도한 개인정보 수집 논란 등에 휩싸이며 개인정보위 실태점검이 시작되자 점검에 협력하겠다는 의사를 밝히고 국내 앱 마켓에서 신규 다운로드 서비스를 잠정 중단한 바 있다.

개인정보보호위원회가 전체회의에서 심의·의결한 결과(딥시크 사전 실태점검)에 따르면, 올해 1월15일 국내 서비스를 개시한 딥시크는 서비스 중단 시점인 2월15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전했다.

이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다.

딥시크가 국내 서비스를 중단하기 전까지 일평균 이용자는 약 5만명으로 알려져 있는데, 딥시크 서비스 제공 약 한 달간 150만명의 이용자 정보가 해외로 무단 이전된 것으로 추정된다. 이용자의 어떤 정보가 중국과 미국 업체로 넘어갔는지는 파악되지 않았다.

개인정보위에 따르면, 중국어·영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다.

딥시크는 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 ‘볼케이노(Beijing Volcano Engine Technology)’에 전송했다. 이 업체는 소셜미디어(SNS) 틱톡을 서비스하는 바이트댄스(Bytedance)의 계열사다.

딥시크는 점검 과정에서 제외된 국외이전 관련 법정 사항을 새로 마련한 한국어 처리방침에 포함해 개인정보위에 지난달 28일 제출했다.

프롬프트에 입력한 내용을 중국 업체로 전송한 사실에 대해서 딥시크는 “보안 취약점과 사용자인터페이스(UI)/사용자경험(UX) 등의 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것”이라고 해명했다.

개인정보위는 “볼케이노는 바이트댄스의 계열사이지만 별도법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 딥시크가 소명했다”고 전했다.

남석 개인정보보호위원회 조사조정국장이 24일 서울 종로구 정부서울청사에서 열린 제9회 전체회의 결과 브리핑에서 딥시크 서비스 사전 실태점검 결과를 발표하고 있다. [사진=연합뉴스]

딥시크는 타 사업자와 유사하게 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 AI 개발·학습에 이용하고 있으나, 프롬프트 입력 내용의 경우 이용자가 이를 AI 개발·학습을 위한 활용에 거부할 수 있는 기능이 없고 처리방침·이용약관에도 ‘서비스 제공·개선’으로만 표시했었다.

개인정보위는 “점검결과 프롬프트 입력 내용의 AI 개발·학습을 위한 활용에 이용자가 거부할 수 있는 기능(opt-out)을 지난달 17일 마련했다고 딥시크가 알려왔다”고 설명했다.

아울러 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 시 아동 여부를 확인하는 절차가 없었으나, 점검 과정에서 연령 확인 절차 등을 마련하기도 했다.

개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것, 또 한국어 처리방침 공개 등 서비스 투명성도 지속 확보할 것을 시정 권고했다.

또 지난해 주요 AI서비스 사전 실태점검 결과를 토대로 마련된 개인정보 보호조치 방안 준수, 아동 개인정보 수집 여부 확인·파기, 개인정보 처리시스템 전반의 안전조치 개선, 국내대리인 지정 등을 개선 권고했다.

딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법(보호법 제63조)에 따라 시정명령을 받은 것으로 간주한다. 이 경우 시정·개선 권고에 대한 이행 결과는 60일 내 개인정보위에 보고해야 한다.

개인정보위는 “향후 시정·개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 관리할 계획”이라며 “이번 실태점검을 계기로 지난해 발간한 안내서(해외사업자 대상 개인정보보호법 적용)의 핵심 사항을 체크리스크 형태로 함께 제공할 계획”이라고 밝혔다.