세계를 강타한 중국 인공지능(AI) 스타트업 딥시크(Deepseek)의 AI모델이 보안 문제로 논란이 되고 있는 가운데 7일 개인정보보호위원회(개인정보위, 위원장 고학수)는 "해당 서비스와 관련한 주요 공식 문서인 개인정보 처리 방침, 이용 약관 등에 대해 타 AI 서비스와 면밀한 비교 분석을 실시 중"이라면서 "서비스 사용 시 구체적으로 전송되는 데이터나 트래픽 등에 대한 기술 분석을 전문 기관들과 함께 진행 중에 있다"고 밝혔다.
중국에는 딥시크 같은 AI기업이 약 4000개 정도 되는 것으로 알려져있다. 이번 사태가 빈번히 일어날 수 있는데, 그때마다 조사 서한을 보내는 건 무리다. 이에 대해 개인정보위는 "그동안 개인정보위는 사전 실태점검, 사전 적정성 검토, 가이드라인 마련 등을 통해 AI 관련 전문지식과 경험을 축적해왔다"면서 "챗GPT 등 생성형AI의 업무 활용 수요가 늘어날 것으로 전망되는 상황에서 일정 규모 이상의 공공·민간 조직이 개인정보 관점에서 주의해야 할 사항을 안내하는 정책자료를 만들어 1분기 중 배포할 예정"이라고 말했다.
이날 개인정보위는 남석 조사조정국장이 정부서울청사에서 기자들을 대상으로 딥시크 관련 개인정보위가 어떻게 대응하고 있는 지를 설명했다. 앞서 개인정보위는 지난 1월 31일 딥시크 본사에 개인정보 침해 관련 질의서를 송부한 바 있다. 남 국장은 "딥시크 서비스 개발 및 제공과정에서 데이터(개인정보 포함) 수집 및 처리와 관련한 핵심적 사항을 온오프라인 포함해 다수(항조우와 베이징 딥시크 회사 등) 채널을 통해 공식 질의했다"면서 "딥시크 서비스 이용과정에서 보안 우려가 지속 제기되니 신중한 이용을 당부드린다"고 말했다.
개인정보위가 딥시크에 문의 한 내용은 ▲개인정보 처리 주체 ▲수집 항목 ▲수집 목적 ▲수집‧이용 및 저장 방식 ▲공유 여부 등이다. 딥시크 답변이 언제 올 것이냐는 기자들 질문에 남 국장은 "통상적으로 (이런 사안엔) 최대 2주가 걸린다"며 "(한번에 끝나는 게 아니라) 보통 수차례 질의응답 과정이 반복적으로 이뤄진다"고 답했다. 남 국장 답변에 따르면, 오는 14일까지 딥시크가 답변을 보내오고, 우리 측이 이 답변에 대한 기술 검토 등을 거쳐 추가 질문을 담은 서한을 다시 딥시크에 보내고 답을 받는 과정이 몇 차례 진행한다면, 딥시크의 개인정보 처리에 대한 최종 결론이 앞으로 최소 한달을 넘길 전망이다. 중국 데이터보안법은 모든 개인과 조직이 국가 정보기관에 협력해야 한다는 의무를 명시하고 있어 국내 사용자의 개인정보 보호 여부가 도마에 오른 상태다.
앞서 지난 2023년 7월 개인정보위가 한국인 이용자 687명에 대한 정보 유출 미신고를 이유로 챗GTP를 만든 오픈AI에 내린 과태료 사건의 경우 조사 기간이 약 3달 정도 걸렸다. 이에 대해 김해숙 개인정보위 조사1 과장은 "챗GTP 사건 등으로 경험을 쌓았기 때문에 (딥시크의 침해 여부를 판단하는데) 그 정도 시간이 안 걸릴 것"이라고 내다봤다. 또 남 국장은 "안전성이나 위험성이 구체적으로 확인된 것은 아니다"며 "저희가 공식적인 조사 단계는 아니다"고 덧붙였다.
딥시크에 즉각 서한을 보낸 개인정보위는 자체 기술분석도 진행중이다. 남 국장은 "서비스 관련 주요 문서(개인정보 처리방침, 이용약관 등)에 대한 면밀한 비교 분석을 실시 중이며, 실제 이용환경을 구성해 서비스 사용 시 구체적으로 전송되는 데이터 및 트래픽 등에 대한 기술 분석을 전문기관 등과 함께 진행 중(유관 부처‧기관과 공유‧협력)"이라고 전했다.
남국장은 기술 분석이 언제 끝날 것 같냐"는 질문에 "언제까지 마무리하겠다, 이렇게 딱 잘라서 말씀드리기 곤란한 측면이 있다"면서 "우리 쪽을 지원해 주는 전문 기관, 그리고 외부 전문가들과 같이 검토하고 있다. 우리 외에 다른 보안 관련 부처나 기관들에서도 분석을 진행 중인 걸로 알고 있어 그런 그 부처나 기관들까지 협조해 최대한 신속히 진행할 계획"이라고 말했다. 관심있게 들여다 보는 부분에 대해서는 "개인 정보 과다 수집 소지이라든지, 또 정보 주체의 권리 관련 등을 종합적으로 보고 있다. 언론에 나온 내용들 중심으로 보고 있고 기타 추가적으로 분석하면서 해외와도 협력하고 있다"고 덧붙였다.
영국 등 해외 주요국 개인정보 규제 및 감독기구와 협조체제도 운영하고 있다면서 "그동안 협력채널을 구축해 온 해외 주요국 개인정보 규제‧감독기구인 영국 ICO(Information Commissioner’s Office), 프랑스 CNIL(Commission Nationale de l’Informatique et des Libertés), 아일랜드 DPC(Data Protection Commission) 등 과도 협의를 시작했다"면서 "현재 관련 상황을 공유 중으로 향후 공동 대응 방안도 논의 중"이라고 말했다. 이외에도 개인정보위는 프랑스에서 오는 10~11일 열리는 'AI Action Summit'에서 CNIL 및 아일랜드 DPC와 관련 내용 공유를 추진하고 있고, 북경 소재 한-중 개인정보 보호 협력센터(KISA 북경 대표처)를 통해 중국 현지에서도 소통을 시도 중이며, 우리나라의 중국 공식 외교 채널을 통한 원활한 협조도 당부할 예정이다.
남 국장은 "개인정보위는 이상의 다양한 노력 등을 통해 해당 서비스에 대한 조속한 검토를 거쳐 필요시 개인정보를 걱정 없이 안전하게 활용할 수 있는 방안을 제시할 예정"이라면서 "결과 발표 전까지는 서비스 이용 과정에서 보안상 우려가 지속 제기되고 있는 상황을 고려해 신중한 이용을 당부 드린다"고 말했다.
개인정보위는 신중한 이용의 예로 ▲기관·기업의 생성형AI 이용 목적과 구축 유형 및 운영 환경(예: 자체구축 및 상용서비스 활용, 온프레미스와 클라우드 등)과 처리하는 업무 데이터 특성 등을 종합적으로 고려 ▲ AI 구축·운영을 위한 추가학습, 검색증강(RAG), 입력 프롬프팅 등 단계별 특성 감안 ▲개인정보취급자의 컴퓨팅 여건을 고려한 지침 마련을 예로 들었다.
관련기사
- "예산 4억으로 이겼다"…개인정보위, 구글·메타와 붙은 1400억 싸움 승소2025.01.23
- "빅테크 소송만 20건"…개인정보위, 3월 전담팀 출범2025.01.13
- 개인정보위, 스티비 유출 조사 시작…GS리테일 건 접수 완료2025.01.07
- [단독] 한화정밀, 한미반도체와 TC본더 특허소송에 '김앤장' 선임2025.02.07
개인정보위 내부에서 딥시크 사용을 금지했냐는 질문에는 "따로 그런 조치를 하지 않았다"고 답변했다. 또 부처간 협력이 잘 이뤄지고 있다면서 개인정보위가 다른 부처에 딥시크 사용 금지 조치를 취하라고 할 위치는 아니라고 덧붙였다. 개인정보위는 '안전한 개인정보를 위한 생성형 AI 사용법'이라는 카드뉴스도 제작해 배포했다.
한편 딥시크는 논란 이후 첫 공식 입장을 6일 내놨다. 이날 저녁 위챗 계정에 "딥시크와 관련한 일부 위조 계정과 거짓 정보가 대중을 오도하는 사례를 발견했다"면서 "딥시크 공식 계정은 위챗, 샤오홍수, X 등 3개 플랫폼에만 있다"고 설명했다. 하지만 해외 곳곳에서 제기한 개인정보 유출 우려나 보안 안정성에 대한 입장은 내놓지 않았다. 미국은 의회가 나서 딥시크 차단을 추진하고 있고 우리 국회도 이런 움직임을 보이고 있다.
