개인정보위 "딥시크, 한국 이용자 개인정보 해외 무단이전"
'딥시크 실태점검' 결과 발표…AI 프롬프트 입력내용도 中 회사로 넘어가
개인정보 수집 논란을 빚다 국내 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) '딥시크(DeepSeek)'가 서비스 당시 중국과 미국 내 업체 여러 곳에 국내 이용자 정보를 무단 이전한 것으로 파악됐다.
이용자가 생성형 AI를 통해 필요한 답을 얻고자 프롬프트에 입력하는 내용도 중국 업체에 넘어간 것으로 조사됐다.
개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열고 전날 전체회의에서 심의·의결한 '딥시크 사전 실태점검 결과'를 발표했다.
개인정보위에 따르면 올해 1월 15일 국내 서비스를 개시한 딥시크는 서비스 중단 시점인 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전했다.
이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다.
딥시크가 국내 서비스를 중단하기 전까지 일평균 이용자는 약 5만명으로 알려져 있다. 이를 근거로 딥시크 서비스 제공 약 한 달간 150만명의 이용자 정보가 해외로 무단 이전된 것으로 추정해볼 수 있다.
다만 이용자의 어떤 정보가 중국과 미국 업체로 넘어갔는지는 파악되지 않았다.
중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다.
딥시크는 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 이 업체는 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스(Bytedance)'의 계열사다.
다만 딥시크는 점검과정에서 빠뜨렸던 국외이전 관련 법정 사항을 새롭게 마련한 한국어 처리방침에 포함해 개인정보위에 제출했다.
딥시크는 이용자 동의 없이 볼케이노에 개인정보를 이전한 사실은 확인하면서도 보안 취약점과 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 해명했다.
개인정보위는 이용자가 딥시크 프롬프트에 입력한 내용의 이전은 불필요하다고 지적했고, 딥시크는 이달 10일부터 신규 이전을 차단했다.
개인정보위는 "볼케이노는 바이트댄스의 계열사이지만 별도 법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 (딥시크가) 소명했다"고 전했다.
딥시크는 다른 AI 사업자와 유사하게 AI 학습·개발에 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 이용했다.
하지만 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 '옵트아웃(opt-out)' 기능이 없었다. 딥시크는 이를 개인정보위 지적 이후에야 개선했다.
당초 처리지침 상 수집정보로 기재했던 '키 입력 패턴·리듬' 정보에 대해서는 국내 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 실제 수집한 사실은 없다고 알려와 이를 확인했다고 개인정보위는 밝혔다.
딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 시 아동 여부를 확인하는 절차가 없었다. 그러나 점검과정에서 연령 확인 절차 등을 마련하기도 했다.
개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다.
딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이럴 경우 시정 및 개선 권고에 대한 이행 결과는 60일 내 개인정보위에 보고해야 한다.
앞서 딥시크는 올 1월 국내 서비스 출시 뒤로 과도한 개인정보 수집 논란 등에 휩싸이며 개인정보위 실태점검이 시작되자 한국의 개인정보보호법에 대한 고려가 일부 소홀했다는 점을 인정하고, 점검에 협력하겠다는 의사를 나타냈다.
또 국내 앱 마켓에서 신규 다운로드 서비스를 잠정 중단한 바 있다.
개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 구체적으로 언급하지 않았다.
다만 딥시크 측이 개인정보위 지적사항을 대부분 개선했다고 밝히고 있는 만큼 개인정보위 시정권고 등에 따른 후속조치와 별개로 조만간 국내 서비스를 재개할 것으로 예상된다.
이용자가 생성형 AI를 통해 필요한 답을 얻고자 프롬프트에 입력하는 내용도 중국 업체에 넘어간 것으로 조사됐다.
개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열고 전날 전체회의에서 심의·의결한 '딥시크 사전 실태점검 결과'를 발표했다.
개인정보위에 따르면 올해 1월 15일 국내 서비스를 개시한 딥시크는 서비스 중단 시점인 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전했다.
이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다.
딥시크가 국내 서비스를 중단하기 전까지 일평균 이용자는 약 5만명으로 알려져 있다. 이를 근거로 딥시크 서비스 제공 약 한 달간 150만명의 이용자 정보가 해외로 무단 이전된 것으로 추정해볼 수 있다.
다만 이용자의 어떤 정보가 중국과 미국 업체로 넘어갔는지는 파악되지 않았다.
중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다.
딥시크는 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 이 업체는 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스(Bytedance)'의 계열사다.
다만 딥시크는 점검과정에서 빠뜨렸던 국외이전 관련 법정 사항을 새롭게 마련한 한국어 처리방침에 포함해 개인정보위에 제출했다.
딥시크는 이용자 동의 없이 볼케이노에 개인정보를 이전한 사실은 확인하면서도 보안 취약점과 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 해명했다.
개인정보위는 이용자가 딥시크 프롬프트에 입력한 내용의 이전은 불필요하다고 지적했고, 딥시크는 이달 10일부터 신규 이전을 차단했다.
개인정보위는 "볼케이노는 바이트댄스의 계열사이지만 별도 법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 (딥시크가) 소명했다"고 전했다.
딥시크는 다른 AI 사업자와 유사하게 AI 학습·개발에 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 이용했다.
하지만 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 '옵트아웃(opt-out)' 기능이 없었다. 딥시크는 이를 개인정보위 지적 이후에야 개선했다.
당초 처리지침 상 수집정보로 기재했던 '키 입력 패턴·리듬' 정보에 대해서는 국내 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 실제 수집한 사실은 없다고 알려와 이를 확인했다고 개인정보위는 밝혔다.
딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 시 아동 여부를 확인하는 절차가 없었다. 그러나 점검과정에서 연령 확인 절차 등을 마련하기도 했다.
개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다.
딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이럴 경우 시정 및 개선 권고에 대한 이행 결과는 60일 내 개인정보위에 보고해야 한다.
앞서 딥시크는 올 1월 국내 서비스 출시 뒤로 과도한 개인정보 수집 논란 등에 휩싸이며 개인정보위 실태점검이 시작되자 한국의 개인정보보호법에 대한 고려가 일부 소홀했다는 점을 인정하고, 점검에 협력하겠다는 의사를 나타냈다.
또 국내 앱 마켓에서 신규 다운로드 서비스를 잠정 중단한 바 있다.
개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 구체적으로 언급하지 않았다.
다만 딥시크 측이 개인정보위 지적사항을 대부분 개선했다고 밝히고 있는 만큼 개인정보위 시정권고 등에 따른 후속조치와 별개로 조만간 국내 서비스를 재개할 것으로 예상된다.
<저작권자ⓒ뷰스앤뉴스. 무단전재-재배포금지>
