중국 생성형 인공지능(AI) 딥시크가 개인정보보호위원회로부터 시정‧개선권고 처분을 받았다. 다만 잠정 중단됐던 국내 앱 마켓 다운로드 재개 시점은 딥시크 측에서 자율적으로 정한다.

개인정보위는 24일 서울 종로구 정부서울청사에서 ‘딥시크 서비스 사전 실태점검 결과 발표’ 브리핑을 진행했다. 남석 개인정보위 조사조정국장은 브리핑에서 “이번 딥시크의 시정권고 내용 중 가장 큰 건은 이미 이전한 개인정보를 즉각 파기할 것에 대한 내용이 포함돼 있다”며 “특히 국내 대리인을 통해 이행 여부를 좀 더 철저히 점검해 나갈 계획”이라고 설명했다.

앞서 개인정보위는 1월 31일 딥시크가 국내외 개인정보 침해 우려가 제기됨에 따라 개인정보 수집‧처리 방식에 관한 질의서를 보냈다. 이어 한국인터넷진흥원과 기술 분석 등을 진행해 다른 사업자와의 통신 기능 및 개인정보 처리방침 상 미흡한 부분을 일부 확인했다.

이에 딥시크 측은 개인정보위에 적극 협력하겠다는 의사를 표명하며 2월 15일 국내 앱마켓에서 신규 다운로드를 잠정 중단했다. 개인정보위는 딥시크 신규 다운로드 잠정 중단 전 한국 이용자가 일평균 5만명 정도 이용한 것으로 파악했다.

다만 남 국장은 “딥시크 앱의 서비스 재개 시점은 사업자 측에서 자율적으로 결정할 것”이라며 “잠정 중단된 이유는 한국 보호법 준수를 강화하기 위함이라고 딥시크사에서 설명했다”고 말했다.

딥시크는 키 입력 패턴, 리듬과 같은 광범위한 정보를 수집한다고 지적받았다. 해당 내용은 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 실제 수집한 사실은 없었던 것으로 확인됐다.

특히 딥시크의 개인정보 국외 이전의 경우 중국 기업 3개(딥시크, 볼케이노, 슈미 테크놀로지)와 미국 기업 1개(인터컴)에 정보를 이전한 것으로 파악됐다. 딥시크의 서비스 개시 시점에 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않았다. 특히 기기‧네트워크‧앱 정보 외 이용자가 AI 프롬프트에 입력한 내용을 중국 볼케이노사에 전송하고 있었다.

딥시크 측은 볼케이노로의 전송에 대해 보안 취약점 및 이용자 인터페이스(UI), 경험(UX) 등의 개선을 위해 클라우드 서비스를 이용한 것이라고 설명했다. 이용자가 AI 프롬프트에 입력한 내용의 이전은 불필요하다는 위원회의 지적에 이달 10일부터 신규 이전을 차단했다.

아동의 개인정보 수집도 문제가 됐다. 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입시 아동 여부를 확인하는 절차가 없었다. 현재 연령 확인 절차 등을 마련했으나 이용자가 나이를 직접 선택하는 구조라 큰 효과가 없다는 의견도 나온다.

남 국장은 “연령 확인 절차 도입과 함께 아동의 학습 정보를 파악하면 즉시 파기하는 걸로 협의가 된 사항”이라며 “연령을 확인하는 절차에 대해 사업자 측에 개선을 유도하는 방안을 고민해 볼 것”이라고 말했다.

개인정보위는 딥시크에 개인정보 국외 이전시 합법근거를 충실히 구비하고 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것과 한국어 처리방침 공개 등 서비스의 투명성을 지속 확보할 것을 시정권고했다.

이어 △‘강화된 개인정보 보호조치 방안’ 준수 △아동 개인정보의 수집 여부 확인 및 파기 △개인정보 처리시스템 전반의 안전조치 향상 △국내대리인 지정 등을 개선권고했다.

딥시크가 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되며 시정 및 개선 권고에 대한 이행 결과는 60일 이내에 개인정보위에 보고해야 한다. 향후 개인정보위는 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속 관리해 나갈 계획이다.