한국 유저 120만명 분의 개인정보가 중국 바이트 댄스에 유출, 한국에서 중국 생성 AI 「딥 시크」어플리의 다운로드 금지



　중국의 인공지능(AI) 모델 「딥 시크(DeepSeek)」가 유저 정보를 중국의 SNS(교류 사이트)·틱특크의 모회사 「아르바이트 댄스」에 유출시키고 있던 사실이 확인되었다.한국의 개인 정보 보호 위원회는 17일 「딥 시크·유저의 정보가 아르바이트 댄스에 유출한 사실을 확인했다」라고 한 다음 「개인 정보 보호 법상, 딥 시크의 대응이 불충분한 것을 인정해 15일부터 어플리의 신규 다운로드를 중지했다」라고 분명히 했다.나라의 차원에서 딥 시크·어플리의 다운로드가 전면적으로 차단되는 사례는 지난달말의 이탈리아에 이어 한국이 2례목이다.한국에서 딥 시크·어플리 금지가 보도된 직후, 중국 외교부(성에 상당)의 곽가고·보도관은 정례 브리핑으로 「중국 정부는 일관해서 중국 기업에 현지의 법률을 엄격하게 지키도록 요구해 왔다」 「관련국(한국)이 경제·무역·과학·기술면에서의 문제를 안전 보장과 관련 짓거나 정치 문제화하거나 하지 않게 요구한다」라고 코멘트했다.

【그래픽】딥 시크의 개인정보 유출 의혹과 주요국의 반응

　딥 시크는 싼 투자로 고성능 AI를 개발해, 이것이 보도되면 세계의 IT업계에 큰 충격이 달렸다.그런데 이 딥 시크에 대해서는 유저의 키보드 입력의 버릇 등, 과도한 정보 수집이 밝혀져 문제가 되었다.딥 시크·어플리의 1주간의 유저수는 121만명(1월말 시점)으로 채팅 GPT의 493만명에 이어 많다.

　개인 정보 보호 위원회는 딥 시크가 인터넷에 액세스 한 기록을 확인하는 과정에서 정보 유출을 확인했다.딥 시크가 아르바이트 댄스에 어떠한 정보를 얼마나의 양, 또 왜 유출시켰는가는 확인되어 있지 않다.한국에서는 개인 정보 보호법으로 제삼자에게 정보를 제공할 때  그방법과 목적을 구체적으로 공표해, 동의를 얻는 것을 의무 지우고 있다.그러나 딥 시크는 이것을 지켜 오지 않았다.개인 정보 보호 위원회는 「제삼자에게 정보를 제공할 때는 정보 제공자의 동의를 유리한 차면 안되어, 어떤 정보를 왜 수집해, 언제까지 보유할까를 전하지 않으면 안 된다.그런데 딥 시크의 개인 정보 보호 방침이나 이용 약관에는 이러한 내용이 기재되지 않았었다」라고 지적했다.

　딥 시크의 시큐러티가 문제가 된 것은 이번이 처음은 아니다.미 ABC TV에 의하면, 캐나다의 사이버 시큐러티 회사 FerootSecurity가 딥 시크의 코드를 분석했는데, 중국 국영 통신사의 차이나·모바일에 유저 정보를 유출시키는 기능이 가르쳐지고 있었다.딥 시크는 유저의 키보드 입력의 버릇까지 파악하고 있어, 또 유저에게는 개인정보의 제공을 거부하는 권한이 없다.

■딥 시크는 키보드 입력의 패턴까지 모두 파악해 중국 기업에 제공

　딥 시크가 지난 달 최신의 AI모델(R1)의 판매를 개시한 직후, 개인 정보 보호 위원회는 딥 시크의 개인 정보 보호 방침이나 이용자 약관등을 확인해, 서비스 이용시에 전송 되는 데이터, 트래픽(액세스량)등의 기술 분석을 실시했다.그 과정에서 개인 정보 보호 위원회는 「틱특크」를 운영하는 중국의 아르바이트 댄스에 딥 시크·유저의 정보가 유출하고 있는 사실을 확인했다.문제를 파악한 개인 정보 보호 위원회는 딥 시크 측에 어플리의 제공 중단을 요구해, 딥 시크는 이번 달 15일에 이것을 수락 한국에서 딥 시크·어플리의 다운로드는 무기한에 전면 금지가 되었다.개인 정보 보호 위원회의 최장혁(최·잘효크) 부위원장은 「한국의 개인 정보 보호법에 근거해, 개선이나 보완이 확인되면 사 -나사는 재개될 것이다」라고 코멘트했다.


■딥 시크가 모은 개인정보는 중국 기업에

　개인 정보 보호 위원회가 확인한 딥 시크의 시큐러티상의 문제는 크고 둘 있다.개인 정보 보호법에 의하면, 제삼자에게 유저의 개인정보를 제공하는 경우는 본인의 동의를 얻은 다음, 어느 정보를 어느 정도의 기간 보관할까를 명확하게 할 필요가 있다.그런데 딥 시크는 이것을 지키지 않았었다.

　한층 더 큰 문제는, 중국의 거대 IT기업인 아르바이트 댄스에 딥 시크·유저의 개인정보가 유출하고 있는 것이다.한국 개인 정보 보호 위원회의 관계자는 「프록시 서버-(인터넷 중계 서버)로 통신 기록을 분석했는데, 유저가 딥 시크에 액세스 하면 딥 시크는 물론, 아르바이트 댄스에도 유저 정보가 유출하고 있었다」 「구체적으로 어떤 정보가 유출했는지, 왜 아르바이트 댄스와 연결되어 있을까 등은 향후의 조사에서 확인할 수 있을 것이다」라고 설명했다.

　개인 정보 보호 위원회는 딥 시크에 개인 정보 보호 방침의 재검토등을 요구한 다음, 추가의 실태 조사를 시작했다.딥 시크가 수정에 응하지 않는 경우, 개인정보보호 위원회는 과징금이나 과태료, 수정 명령 등을 내릴 수 있다.조사 결과는 빠르면 12개월 이내에는 나올 전망이다.

　신규의 다운로드는 중단이 되었지만, 이전부터의 유저나 PC등을 통한 웹 사이트로의 액세스는 지금도 가능하기 때문에, 시큐러티를 둘러싼 문제는 지금도 해소되어 있지 않다.개인 정보 보호 위원회의 남·소크 조사 조정 국장은 「과거에 어플리를 다운로드했을 경우는 이것을 강제적으로 삭제시킬 수 없다.인터넷으로부터의 차단도 간단하지 않다」 「실태 조사의 과정에서 개인 정보 보호법 등 법령을 준수하고 있는지 확인해, 그 결과를 발표할 때에 대책을 공표하고 싶다」라고 말했다.개인 정보 보호 위원회는 유저에게 딥 시크의 이용을 가까이 두도록(듯이) 호소하고 있다.

■중국에 정보가 악용 될 우려도

　지금까지 딥 시크는 유저의 개인정보를 무차별 수집해, 이것을 이용해 왔다는 지적을 받아 왔다.딥 시크는 유저의 생년월일, 이름, 전자메일 주소, IP주소등의 개인정보는 물론, 유저가 입력한 문자, 음성, 사진, 파일등의 데이터도 모아 왔다.이것은 채팅 GPT나 제미니(Gemini)등의 AI도 수융`W 하고 있다.인간이 스마트 폰의 키보드로 문자를 입력할 때  입력의 스피드나 리듬은 모두 다르지만, 이것을 모아 분석하면 개인을 특정할 수 있어 경우에 따라서는 패스워드의 추측에도 사용될 우려가 있다.비판의 고조를 접수 딥 시크는 이번 달 14일에 유저의 키보드 입력 패턴 등 일부의 정보 수집을 중지한다고 발표했다.

　딥 시크는 다른 AI모델과는 달라, 유저에게 정보 수집 거부의 권한(오프트아우트)을 인정하지 않았다.또 유저 정보를 모두 중국 국내의 서버에 보관해, 광고 목적등에서 제삼자에게 정보를 제공할 수 있다고 하는 조항도 있다.사이버 시큐러티 회사 「FerootSecurity」가 딥 시크의 코드를 분석했는데, 딥 시크에는 유저 정보를 중국의 국영 통신사에 전송 하는 코드가 짜지고 있는 것을 확인했다고 한다.

　현재 중국에서는 데이터 시큐러티법에 의해, 정부가 나라의 안전 보장을 이유로 기업에 데이터를 요구했을 경우는 즉시 제공해야 한다.그 때문에 중국이 유저 정보를 악용 할 가능성은 높다고 보여지고 있다.

　딥 시크는 이러한 염려를 이유로 유럽에서 「(국내 유저의) 개인 데이터에 대해서는, 법률로 인정하는 범위내에서만 사용한다」라고 하는 추가의 약관을 더했다.다만 수집한 정보를 중국의 서버에 보관한다라는 조항은 그대로 유지되어 데이터 이용 거부를 인정하는 조항은 제정하지 않았다.