중국 AI스타트업 딥시크(DeepSeek)가 세계 AI 시장에 던진 파장이 확산하고 있다. 지난 1월 20일 공개된 DeepSeek-R1 모델은 오픈AI 최신 모델과 맞먹는 성능을 보이며 글로벌 AI 커뮤니티를 충격에 빠뜨렸다. 특히 미국 기업들이 수백만에서 수천만 달러를 투자하는 것과 달리, 딥시크는 훨씬 적은 비용으로 고성능 AI 모델을 개발해냈다. 이는 엔비디아 주가를 18% 하락시키는 등 시장에 큰 충격을 주었고, '스푸트니크 모먼트'로까지 불리며 기술 혁신의 새로운 이정표로 평가받았다.
더욱 주목할 만한 것은 1월 28일경 딥시크 앱이 미국 구글 플레이스토어에서 1위를 기록하며 소비자 시장에서도 큰 인기를 얻었다는 점이다. 그러나 같은 날 대규모 사이버 공격이 발생해 신규 등록 서비스를 일시적으로 중단해야 했고, 이는 딥시크의 보안 취약성을 드러내는 전조가 되었다.
실제로 딥시크는 자사 데이터 관리용 오픈소스 데이터베이스 관리 시스템(DBMS) ClickHouse의 보안을 소홀히 하여, 인증 절차 없이 누구나 접근 가능한 상태로 방치했다. 이로 인해 100만 건 이상의 채팅 기록, API 키, 서버 내부 파일까지 유출되는 심각한 사태가 발생했다. WIZ 연구팀의 분석에 따르면, 포트 8123/9000을 통해 SQL 쿼리로 민감 정보 추출이 가능했다. 이는 급격한 성장 속도에 비해 보안 인프라 투자가 미비했음을 여실히 보여준다.
더욱 우려스러운 것은 중국의 국가정보법이다. 이 법은 모든 조직과 개인이 정부의 정보 활동을 지원하고 협력하도록 요구하고 있어, 중국 당국이 딥시크가 수집한 해외 사용자의 데이터에 접근할 가능성이 있다는 우려를 불러일으키고 있다. 이러한 이유로 이탈리아, 일본, 대만, 네덜란드 등 여러 국가가 공공기관에서 딥시크 사용을 금지했으며, 이탈리아와 아일랜드는 딥시크의 데이터 처리 방식에 대한 조사에 착수했다.
국내에서도 파장이 거세다. 경찰청, 통일부, 보건복지부를 비롯한 주요 정부기관들이 업무용 PC에서 딥시크 접속을 차단했으며, 개인정보보호위원회는 딥시크 측에 공식 질의서를 발송했으나 아직 명확한 답변을 받지 못한 상태다. 공정거래위원회 또한 개인정보 및 민감정보의 수집·처리 관련 약관 사항이 명확히 확인될 때까지 딥시크 접속을 일시 차단하는 조치를 취한 상태다.
기업 통제 실패도 도마 위에 올랐다. 미국 시스코(CISCO) 연구에 따르면, 딥시크 R1 모델은 유해 프롬프트 공격에 100% 취약했으며, 악성 코드 생성 시도에도 쉽게 뚫렸다. 이는 윤리적 검증 없이 기술 개발에만 집중한 결과로, 전 세계 주요 기업의 70%가 딥시크 접근을 차단하는 계기가 되었다.
한편, 국가 안보 측면의 위협도 간과할 수 없다. 딥시크가 차이나모바일(China Mobile)과 연계됐다는 의혹이 제기됐고, 미국 FCC가 China Mobile을 국가안보 위협으로 지정한 상황에서 딥시크 로그인 페이지에서 해당 기업의 코드가 발견된 것은 심각한 우려를 낳고 있다. 이러한 우려로 인해 미국, 대만은 정부 기관에서 딥시크 사용을 금지했다. 이는 AI 기술이 단순한 혁신 도구를 넘어 사이버 시대의 지정학적 무기로 활용될 가능성을 시사한다.
딥시크 사태는 AI 기술이 가져올 수 있는 개인정보 보호, 데이터 주권, 국가 안보 등 다층적 위험을 여실히 보여준다. 국제사회는 이에 대응하기 위해 다양한 규제와 협력을 모색하고 있다. 대표적으로, EU의 COMPL-AI 프레임워크는 AI 모델의 해킹 위험과 편향성을 체계적으로 평가하는 기술적 규제의 선례를 제시하고 있다. 이 프레임워크는 EU AI Act의 6대 윤리 원칙을 27개의 기술 벤치마크로 구체화하여, 프롬프트 유출이나 목표 변조와 같은 사이버 보안 위협에 대한 모델의 취약성을 진단하고, HarmBench 데이터셋을 활용해 인종과 성별 편향성을 정량화한다.
2025년 4월부터 EU AI Act의 공식 감사 도구로 활용될 이 프레임워크는 AI 기업들에게 기술적 준수 증명을 의무화함으로써 보다 안전하고 공정한 AI 생태계 조성을 목표로 한다. 한편, 국제 데이터 주권 협정을 통한 크로스보더 데이터 흐름 관리의 중요성이 부각되고 있다. EU의 GDPR, Data Act, 미국 법무부(DOJ)의 ‘우려 국가 또는 대상자의 미국 민감 개인정보 및 정부 관련 데이터 접근 차단에 관한 규정’, 중국의 네트워크 데이터 보안 관리 조례 등 각국의 데이터 보호 정책이 충돌하면서 국제적 조화가 시급한 과제로 대두됐다.
관련기사
- 보안 우려에 '딥시크' 잇단 차단…한국형 AI 모델 도약 기회되나2025.02.06
- "오픈AI 넘사벽 아니더라...韓서 딥시크 수준 만들 수 있다"2025.02.06
- 네이버 "글로벌 빅테크 LLM과 협력 가능성 있어"2025.02.07
- 전자 부품부터 의료·패션까지…"3D 프린팅 기술 활용 확대할 것"2025.02.07
특히 중국의 국가정보법과 사이버보안법에 대응, 미국과 EU를 중심으로 기술적 차단과 제도적 견제가 강화되고 있다. 미국의 행정명령 제14117호에 따른 새로운 보안 요구사항, OECD 데이터 거버넌스 이니셔티브 등이 이러한 움직임의 일환으로 추진되고 있다. 이러한 노력들은 단순한 기술 규제를 넘어 디지털 시대의 새로운 지정학적 균형을 모색하는 과정으로, 글로벌 데이터 거버넌스의 재편을 가속화할 것으로 전망된다.
딥시크 사태는 AI 기술의 혁신 속도와 이에 걸맞은 제도적 장치 및 보안 체계 구축 사이의 심각한 간극을 드러냈다. AI 기술이 지속적으로 성장하면서도 안전성과 신뢰성을 갖추기 위해서는 각국의 규제 기관과 기술 기업들이 협력해 보다 정교한 데이터 보호 체계를 마련해야 한다. 또한, AI 모델의 투명성을 확보하고 보안 취약점을 사전에 방지할 수 있도록 국제 표준을 정립하는 것이 중요하다. 이러한 노력이 뒷받침될 때 AI 기술은 글로벌 경제와 사회에 긍정적인 영향을 미칠 수 있다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
