개인정보보호위원회(이하 개인정보위)가 중국의 생성형 AI 스타트업 ‘딥시크’에 대한 대응 방안을 마련한다. 딥시크가 사용자 개인정보를 과도하게 수집하고 중국 내 서버에 저장하는 등 보안 문제가 제기되기 때문이다.
남석 개인정보위 조사조정국장은 서울 종로구 정부서울청사에서 딥시크 대응 경과를 주제로 브리핑을 열고 “해당 AI 서비스를 개인정보 유출 걱정 없이 안전하게 활용할 수 있는 방안을 제시할 예정”이라며 “이용 과정에서 보안상 우려가 지속적으로 제기되는 상황을 고려해 신중한 이용을 당부드린다”고 7일 밝혔다. 남 국장은 딥시크에 대해 “언론에서 다른 인공지능(AI) 서비스보다 개인 정보를 과다 수집하고 중국법에 따라 중국 정부의 개입 가능성에 대해 우려가 있다는 점에 동의한다”고 말했다.
앞서 개인정보위는 지난달 31일 중국 딥시크 본사에 해당 서비스의 개발 및 제공과정에서 데이터(개인정보 포함) 수집‧처리와 관련된 핵심적 사항을 온‧오프라인을 통해 공식 질의했다. 주요 내용은 △개인정보 처리 주체 △수집 항목 △수집 목적 △수집‧이용 및 저장 방식 △공유 여부 등이다. 다만 아직 딥시크로부터 답변을 받지 못했다.
남 국장은 “통상적으로 질의서의 답변을 받기까지 업무일(워킹데이) 기준 2주 정도 기간을 부여한다”며 “아직 답변 기한이 도달하지 않았기에 답변이 오지 않은 상황”이라고 설명했다. 그러나 남 국장은 “상대측의 합리적인 요청 등이 있을 때 연장하는 형태로 운영”한다며 “통상적으로 수차례의 질의응답 과정이 반복적으로 이뤄진다”라고 답변 시기가 길어질 수 있음을 시사했다.
답변이 오지 않을 시에 대한 후속조치로 남 국장은 “답변과 별개로 개인정보위의 자체적으로 해당 서비스와 관련된 주요 공식 문서인 개인정보 처리 방침, 이용 약관 등에 대해 타 AI 서비스와 비교 분석을 실시 중”이라며 “실제 이용 환경을 구성해 구체적으로 전송되는 데이터나 트래픽 등에 대한 기술 분석을 전문 기관들과 함께 진행 중”이라고 밝혔다.
이어 남 국장은 “개인정보위와 유사한 역할을 하는 영국 ICO, 프랑스 CNIL, 아일랜드 DPC 등과 협의를 시작한 상황”이라며 “현재 관련 사항을 공유하며 향후 공동 대응 방안도 논의 중”이라고 말했다. 또 “북경 소재 한중 개인정보 보호 협력센터를 통해 중국 현지에서도 소통을 시도 중”이라며 “한국의 중국 공식 외교채널을 통한 원활한 협조도 당부할 예정”이라고 말했다.
다만 구체적인 대응 방안에 대해서 남 국장은 “딥시크의 안전성이나 위험성이 구체적으로 확인된 것은 아니라 공식적인 조사 단계는 아직”이라며 “결과에 따라 행동을 취할 수 있지만 아직 가정이기에 구체적인 답변이 어렵다”고 답했다.
끝으로 “개인정보 관점에서 생성형 AI 이용 안내를 위한 정책 자료 제공을 추진 중”이라며 “챗GPT 등을 비롯한 생성형 AI의 업무 활용 수요가 늘어날 것으로 전망되기에 공공‧민간 조직이 개인정보 관점에서 주의해야하는 사항을 안내하는 정책 자료를 만들어 1분기 배포할 예정”이라고 말했다.
현재 정부부처와 금융권, 기업들 사이에서 개별적으로 딥시크 차단이 이뤄지고 상황이다. 서정아 개인정보위 대변인은 “공공기관의 보안을 담당하고 있는 행안부와 국정원의 딥시크의 지침 수준에서 보면 기관 자율적인 사항”이라며 “딥시크와 함께 전체적인 사실관계를 규명하고, 추가적인 대책을 마련해야하는 입장에서는 지금 정도의 조치가 적절한 수준”이라고 판단했다.
