2025년 초, 중국의 인공지능(AI) 챗봇 딥시크는 챗GPT의 강력한 대항마로 등장하며 많은 주목을 받았습니다. 그러나 이 혁신적인 기술의 이면에는 심각한 개인정보 보호 문제가 있었습니다.
한국 개인정보보호위원회(이하 개인정보위)는 딥시크가 이용자 동의 없이 개인정보와 AI 프롬프트 입력 내용을 국외로 전송한 사실을 적발하며, 서비스의 투명성과 법적 준수 부족을 지적했습니다. 이번 포스팅에서는 딥시크의 개인정보 무단 유출 논란의 전말, 주요 문제점, 그리고 개선 권고 사항을 최신 뉴스를 바탕으로 상세히 정리해 드립니다.
AI 기술과 개인정보 보호의 균형을 고민하시는 분들께 유용한 정보가 되기를 바랍니다.
딥시크 개인정보 유출 논란의 배경
딥시크는 2025년 1월 한국 앱 마켓에 출시되며 저렴한 비용으로 고성능 AI 모델을 제공해 빠르게 인기를 얻었습니다. 하지만 출시 직후 국내외에서 개인정보 침해 우려가 제기되었고, 이에 개인정보위는 한국인터넷진흥원(KISA)과 협력해 기술 분석과 질의 절차를 시작했습니다. 2월부터 딥시크는 신규 다운로드를 중단했으며, 2025년 4월 23일 제9회 개인정보위 전체회의에서 사전 실태 점검 결과가 발표되었습니다.
최신 뉴스에 따르면, 딥시크는 이용자 동의 없이 개인정보를 중국과 미국 소재 회사로 전송했으며, 특히 중국 바이트댄스 계열사인 볼케이노 엔진(Volcano Engine)으로 기기 정보, 네트워크 정보, AI 프롬프트 입력 내용을 전송한 사실이 확인되었습니다. 이 사건은 한국뿐 아니라 미국, 이탈리아, 호주 등 여러 국가에서 딥시크의 데이터 관리 방식에 대한 우려를 증폭시켰습니다. 개인정보위의 발표 자료는 공식 웹사이트에서 확인하실 수 있습니다.
딥시크의 주요 문제점
개인정보위의 점검 결과, 딥시크는 개인정보보호법을 위반한 여러 문제점을 드러냈습니다. 아래에서 주요 위반 사항을 상세히 정리해 드립니다.
1. 개인정보 국외 전송 시 동의 및 고지 미흡
딥시크는 서비스 출시 당시 이용자의 기기 정보, 네트워크 정보, 앱 정보, 그리고 AI 프롬프트에 입력된 내용을 중국의 볼케이노 엔진과 미국 소재 회사로 전송했습니다. 그러나 이러한 국외 전송에 대해 이용자의 사전 동의를 받지 않았으며, 개인정보 처리방침에도 관련 내용을 명시하지 않았습니다.
개인정보위는 특히 AI 프롬프트 입력 내용의 전송이 서비스 운영에 불필요하다고 지적했으며, 딥시크는 이 지적을 받아들여 2025년 4월 10일부터 신규 전송을 차단했다고 밝혔습니다. 다만, 이미 전송된 데이터의 즉각적인 파기가 필요하다는 점에서 추가 조치가 요구되고 있습니다.
2. 개인정보 처리방침의 불완전성
딥시크는 초기 서비스 당시 중국어와 영어로만 개인정보 처리방침을 제공했으며, 한국어 처리방침은 누락되었습니다. 또한, 개인정보보호법이 요구하는 필수 기재 항목, 개인정보 파기 절차 및 방법, 안전조치, 개인정보 보호책임자의 성명 및 연락처가 포함되지 않았습니다.
이로 인해 한국 이용자는 자신의 정보가 어떻게 처리되는지 충분히 알지 못한 채 서비스를 이용했습니다. 딥시크는 점검 과정에서 한국어 처리방침을 제출했으며, 서비스 재개 시 웹과 앱을 통해 이를 공개할 예정입니다. 개인정보보호법의 요구사항은 법제처 국가법령정보센터에서 자세히 확인하실 수 있습니다.
3. AI 학습을 위한 데이터 활용의 투명성 부족
딥시크는 다른 AI 서비스와 유사하게 이용자가 프롬프트에 입력한 내용을 AI 개발 및 학습에 활용했습니다. 그러나 이 과정에서 이용자가 데이터 활용을 거부할 수 있는 옵션(opt-out 기능)이 없었고, 처리방침과 이용약관에서도 “서비스 제공·개선”이라는 모호한 표현만 사용해 충분한 설명이 부족했습니다.
개인정보위의 권고에 따라 딥시크는 2025년 3월 중순부터 이용자가 AI 학습 데이터 활용을 거부할 수 있는 기능을 도입했으며, 관련 처리 절차를 재정비했습니다.
4. 아동 개인정보 보호 미흡
딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다고 주장했으나, 서비스 가입 시 아동 여부를 확인하는 절차가 없었습니다. 이는 아동의 개인정보가 의도치 않게 수집될 위험을 초래했습니다.
점검 과정에서 딥시크는 연령 확인 절차를 추가했으며, 일부 보안 취약점도 수정한 것으로 확인되었습니다. 아동 개인정보 보호와 관련된 자세한 가이드라인은 개인정보보호위원회 아동 보호 페이지에서 확인하실 수 있습니다.
5. 키 입력 패턴 수집 논란
딥시크의 초기 처리방침에는 키 입력 패턴과 리듬 등 민감한 정보가 수집 대상으로 명시되어 있었습니다. 이는 이용자 행동 분석에 활용될 수 있는 고위험 정보로, 개인정보위는 이에 대해 강한 우려를 표명했습니다.
딥시크는 이를 서비스 준비 단계에서 수집 항목이 확정되지 않은 상태로 잘못 기재한 오류라고 해명하며, 실제로는 키 입력 패턴을 수집하지 않았다고 밝혔습니다. 이후 처리방침을 정비해 정확한 수집 항목을 명시했습니다.
개인정보위의 시정 권고와 딥시크의 대응
개인정보위는 딥시크의 위반 사항을 근거로 다음과 같은 시정 및 개선 권고를 내렸습니다:
- 볼케이노 엔진으로 전송된 이용자 AI 프롬프트 입력 내용을 즉각 파기할 것.
- 개인정보 국외 전송 시 이용자 동의와 처리방침 고지 등 합법적 근거를 충실히 구비할 것.
- 한국 이용자를 위한 한국어 처리방침을 공개하고 투명성을 지속적으로 확보할 것.
- 연령 확인 절차를 유지하고 아동 개인정보 보호를 강화할 것.
- 개인정보 처리 시스템의 안전조치와 국내 대리인 지정 절차를 개선할 것.
딥시크는 개인정보위의 지적을 대부분 수용하며 개선 조치를 취했습니다. 2025년 4월 10일부터 AI 프롬프트 입력 내용의 신규 전송을 차단했 Ascendant는 이에 대해 “2025년 3월부터 이용자가 AI 학습 데이터 활용을 거부할 수 있는 기능을 도입했습니다”라며 “한국을 중요한 시장으로 간주하며 한국의 개인정보보호법을 준수하겠다는 의지를 밝혔습니다.”라고 전했습니다.
개인정보위는 딥시크가 10일 이내에 시정 권고를 수락하면 이를 정식 시정명령으로 간주하며, 60일 이내에 이행 결과를 보고받을 계획입니다. 이후 최소 2회 이상 이행 상황을 점검하며 지속적인 관리를 이어갈 방침입니다.
딥시크를 둘러싼 국제적 우려
딥시크의 개인정보 문제는 한국에 국한되지 않습니다. 최신 뉴스에 따르면, 미국, 이탈리아, 호주, 대만 등 여러 국가에서 딥시크의 데이터 관리 방식에 대한 조사가 진행되고 있습니다.
미국 하원 중국공산당특별위원회는 딥시크가 중국 정부와 연계되어 미국 이용자의 데이터를 수집하고 있다고 주장하며, 국가 안보 위협으로 간주했습니다. 이탈리아 데이터보호당국(Garante)은 딥시크의 GDPR(유럽연합 일반데이터보호규정) 준수 여부를 조사 중이며, 호주는 정부 기기에서 딥시크 사용을 금지했습니다.
이러한 글로벌 반응은 딥시크의 데이터 전송이 단순한 기술적 실수가 아니라, 중국의 데이터 관리 체계와 관련된 구조적 문제로 인식되고 있음을 보여줍니다.
특히, 딥시크가 데이터를 전송한 볼케이노 엔진은 바이트댄스의 자회사로, 틱톡과 동일한 모회사 소속입니다. 이는 과거 틱톡의 데이터 유출 논란과 유사한 맥락으로, 중국 기업의 데이터 처리 방식에 대한 국제적 불신을 증폭시켰습니다. 중국의 데이터보호법은 기업이 정부 요청 시 데이터를 제공하도록 강제하고 있어, 이용자 데이터가 중국 정보기관에 활용될 가능성에 대한 우려가 큽니다. 글로벌 데이터 보호 규제에 대한 정보는 GDPR 공식 웹사이트에서 확인하실 수 있습니다.
이용자가 알아야 할 점과 대응 방안
딥시크의 사례는 AI 기술의 편리함 뒤에 숨겨진 개인정보 보호의 중요성을 일깨웁니다. 이용자 여러분께서는 다음과 같은 점을 고려해 주시기 바랍니다:
- AI 챗봇에 주민등록번호, 금융 정보 등 민감한 개인정보를 입력하지 않도록 주의해야 합니다. 딥시크의 경우, 프롬프트 입력 내용이 동의 없이 학습과 전송에 사용되었습니다.
- 서비스 이용 전 개인정보 처리방침을 꼼꼼히 확인하고, 국외 전송 여부와 데이터 활용 목적을 파악해야 합니다.
- AI 서비스 이용 시 필요한 최소한의 정보만 제공하며, 불필요한 데이터 공유를 피해야 합니다.
- 딥시크처럼 논란 후 개선 조치를 취하는 서비스는 지속적인 보안 업데이트 여부를 확인하는 것이 중요합니다.
개인정보 보호를 위한 실질적인 팁은 전자frontier재단(EFF) 개인정보 가이드에서 더 자세히 알아보실 수 있습니다.
향후 전망과 개인정보위의 계획
개인정보위는 이번 딥시크 점검을 계기로 해외 사업자를 대상으로 한 ‘개인정보보호법 적용 안내서’를 체크리스트 형태로 제공할 계획입니다. 이를 통해 해외 AI 기업이 한국 이용자의 개인정보를 보다 철저히 보호하도록 유도할 방침입니다. 또한, 딥시크의 이행 상황을 지속적으로 모니터링하며, 필요 시 추가 제재를 검토할 가능성이 있습니다.
딥시크는 한국 시장 재진입을 위해 개인정보위의 권고를 충실히 이행해야 합니다. 그러나 글로벌 데이터 규제 강화와 중국 기업에 대한 불신이 커지는 상황에서, 딥시크가 국제적 신뢰를 회복하려면 투명한 데이터 관리와 철저한 법적 준수가 필수적입니다.
AI 혁신과 개인정보 보호의 균형
딥시크의 개인정보 무단 유출 논란은 AI 기술의 급성장 속에서 개인정보 보호가 얼마나 중요한지를 보여주는 사례입니다. AI 서비스는 이용자에게 편리함을 제공하지만, 동시에 데이터 보호에 대한 책임도 져야 합니다. 딥시크는 개인정보위의 권고를 통해 일부 개선을 이루었으나, 이미 전송된 데이터의 파기와 지속적인 투명성 확보가 관건입니다. 이용자 여러분께서는 AI 서비스를 이용하며 자신의 데이터가 어떻게 처리되는지 항상 주의 깊게 살펴보시기 바랍니다.