![[출처=딥시크 홈페이지 캡처]](https://cdn.ebn.co.kr/news/photo/202502/1652150_664755_5555.jpg)
중국 생성형 인공지능(AI) ‘딥시크’가 중국 소셜미디어 ‘틱톡’의 모회사 바이트댄스에 이용자 관련 데이터를 전송한 것으로 확인됐다. 그간 국내외 언론이 지속적으로 제기해온 데이터 유출 의혹이 사실로 드러난 것.
딥시크는 국내 신규 다운로드 서비스가 중단된 상태다. 개인정보보호위원회(개인정보위)는 딥시크의 개인정보 처리 실태를 점검하고 법적 대응 방안을 검토 중이다.
18일 개인정보보호위원회는 "딥시크가 제3자인 바이트댄스와 데이터를 주고받은 사실을 확인했다"고 밝혔다. 다만, 전송된 정보의 구체적인 내용과 규모, 전송 목적 등은 아직 확인되지 않았다.
개인정보위는 딥시크 서비스 출시 이후 딥시크 본사에 개인정보 수집·처리 방식에 관한 공식 질의를 보낸 데 이어 딥시크 서비스에 대한 자체 분석에 착수했다.
현행 개인정보보호법상 사업자가 이용자 정보를 제3자에게 제공하려면 반드시 이용자의 동의를 받아야 한다. 그러나 개인정보위가 확인한 딥시크의 개인정보 처리방침에는 이러한 내용이 명확히 기재되지 않은 것으로 나타났다.
딥시크 측은 이달 10일 국내 대리인을 지정하고, 글로벌 서비스 출시 과정에서 한국의 개인정보보호법을 충분히 고려하지 못했다는 점을 인정했다.
이에 개인정보위는 추가적인 우려 확산을 막기 위해 딥시크 측에 국내 서비스 잠정 중단을 권고했고, 딥시크는 이를 수용해 15일 오후 6시부터 국내 앱 마켓에서 신규 다운로드가 제한됐다.
업계에서는 딥시크가 개인정보위의 권고를 신속히 수용한 점을 들어 바이트댄스에 전송된 데이터가 개인정보보호법상 민감한 정보일 가능성을 제기하고 있다. 사전 동의 없이 개인정보를 제공한 사실이 드러날 경우 법적 문제가 발생할 수 있기 때문.
개인정보위는 서비스 중단 기간 동안 딥시크의 개인정보 처리 실태를 면밀히 점검할 계획이다. 지난해 5개월간 오픈AI, 구글, MS 등 주요 AI 서비스 6곳을 사전 점검한 경험을 바탕으로, 이번 조사 역시 신속하게 진행될 전망이다.
조사 결과를 바탕으로 개인정보위는 △딥시크의 개인정보 보호 조치 개선 유도 △AI 서비스의 개인정보 처리 기준 가이드라인 마련 △해외 사업자 대상 법적 집행력 강화 등의 대책을 마련할 방침이다.
특히 생성형 AI 확산에 맞춰 개인정보보호법 개정도 추진한다. 개인정보위는 AI 특례 신설, 해외 기업의 법 준수 의무 강화 등을 포함한 개정안을 검토 중이며, 오는 9월 서울에서 열리는 ‘글로벌 프라이버시 총회(GPA)’에서 주요국 감독기구와 협력 방안을 논의할 계획이다.
남석 개인정보위 조사조정국장은 "개인정보위원장이 AI 행동 정상회의에서 주요 감독기구와 논의한 결과, 일부 국가에서도 유사한 문제를 제기하며 딥시크에 질의서를 보낸 것으로 확인됐다"고 말했다.
