개인정보보호위원회가 23일 오후 서울 종로구 정부서울청사에서 2025년 제9회 전체회의를 진행하고 있다. [ⓒ개인정보보호위원회]

[디지털데일리 김보민기자] 개인정보보호위원회(이하 개인정보위)가 중국 인공지능(AI) 업체 딥시크를 대상으로 이미 국외로 이전한 국내 이용자 정보를 파기할 것을 권고했다.

남석 개인정보위 조사조정국장은 24일 전체회의 브리핑을 통해 "위원회는 점검 결과를 바탕으로 딥시크 측에 개인정보 국외 이전 시 합법 근거를 충실히 구비할 것과, 기존에 '볼케이노'사로 이전한 이용자 프롬프트 입력 내용을 즉각 파기할 것, 한국어 처리방침 공개를 통해 서비스 투명성을 제고할 것을 시정권고했다"고 밝혔다.

개인정보위는 딥시크 서비스가 지난 1월 출시된 이후 국내외 개인정보가 침해될 수 있다는 우려가 제기되면서, 딥시크 측에 개인정보 수집·처리 방식에 관한 질의서를 전달하고 한국인터넷진흥원(KISA)과 기술 분석을 진행해왔다. 그 결과 딥시크는 개인정보보호법에 대한 고려가 소홀했다는 점을 인정했고 개인정보위에 협력하겠다는 의사를 밝혔다. 지나 2월15일을 기점으로 국내 앱마켓에서 신규 다운로드를 잠정 중단하기도 했다.

그간 딥시크는 사용자 데이터가 중국 바이트댄스가 운영하는 클라우드컴퓨팅 및 스토리지 플랫폼 '볼케이노'로 전송된다는 이유로, 중국 정부에 사용자 정보를 무단으로 넘기고 있다는 질타를 받아왔다.

개인정보위는 딥시크가 사용자 동의 없이 중국 뿐만 아니라 다른 국가 회사로도 정보를 이전했다고 설명했다. 남 조사조정국장은 "딥시크는 개인정보를 중국 및 미국 소재 회사로 이전하면서, 서비스 개시 시점에서 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않고 있었다"며 '특히 기기정보, 네트워크 정보, 앱 정보 외 이용자가 AI 프롬프트에 입력한 내용을 볼케이노사에 전송하고 있는 것이 확인됐다"고 말했다.

국외로 정보가 이전된 업체는 총 4곳이다. 당초 명단에는 클라우드플레어가 올랐는데, 개인정보위는 클라우드플레어가 도메인과 인터넷프로토콜(IP) 주소를 연결하는 '도메인네임시스템(DNS)' 서비스를 제공하는 점이 개인정보 이전에 해당하지 않는다고 판단해 명단에서 제외했다.

딥시크는 점검 과정에서 국외 이전에 대한 법정 사항을 한국어 처리방침에 포함해 개인정보위에 제출했다. 볼케이노 서비스를 이용한 것에 대해서는, 보안 취약점 및 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위한 것이라고 설명했다.

개인정보위는 국외 이전 외에도, 딥시크가 한국 앱 마켓에 서비스를 출시하면서 중국어와 영어로만 처리방침을 공개했고 개인정보 파기 절차 및 방법 등 국내 개인정보보호법 요구사항을 누락했다고 강조했다. 키 입력 패턴과 리듬 등 광범위한 정보를 수집한 사실도 확인했다.

또한 AI 프롬프트에 입력한 내용을 개발·학습에 활용되지 않도록 거부하는 기능이 없다는 점도 지적했다. 처리방침과 이용약관에도 '서비스 제공·개선'으로만 표시해, 이용자가 이해할 만한 설명과 고지가 부족했다고 부연했다.

이 밖에도 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서, 서비스 가입 시 아동 여부를 확인하는 절차가 없던 것으로 확인됐다. 딥시크 측은 개인정보위 점검 과정에서 연령 확인 절차 등을 마련했고 개발서버 데이터베이스(DB) 접근 제한 소홀 등 보안 취약점에 대한 조치를 완료한 것으로 확인됐다.

[ⓒ구글플레이 캡처]

개인정보위는 시정권고 외에도, 국내 대리인 지정 등 개선권고 사항을 의결했다. 개선권고는 시정권고와 달리 법 위반 사항이 불분명할 경우 취해지는 조치다. 남 조사조정국장은 "지난해 주요 AI 서비스 대상 사전 실태점검 결과를 바탕으로 개인정보위가 권고하는 강화된 개인정보 보호조치 방안을 준수하고, 아동 개인정보 수집 여부 확인 및 파기, 개인정보 처리시스템 전반의 안전조치 향상과 함께 상시적으로 국내 대리인을 지정할 것을 개선 권고하기로 했다"고 말했다.

딥시크가 개인정보위 시정권고를 10일 이내 수락할 경우, 시정명령을 받은 것으로 간주된다. 시정 및 개선권고에 대한 이행 결과는 60일 이내 개인정보위에 보고돼야 한다. 개인정보위는 시정 및 개선권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 관리할 방침이다.

한편 개인정보위는 서비스 재개 시점의 경우 딥시크 측이 결정할 사안이라고 밝혔다. 딥시크가 자율적으로 서비스 중단을 결정한 만큼, 서비스 재개 시점 또한 개인정보위가 결정할 사안이 아니라는 취지다. 남 조사조정국장은 "신규 서비스 중단은 딥시크가 자율적으로 결정한 것"이라며 "시정명령을 수용하고 이행한다면 자체적으로 (재개) 결정이 가능할 것으로 보고 있고, 대리인 측에서도 조만간 시정이 이행되면 서비스를 개시할 것으로 이야기했다"고 말했다.