개인정보위, '개인정보 논란' 딥시크에 시정권고…“조만간 서비스 재개할 듯”

개인정보 유출 논란으로 국내 다운로드를 자체 중단한 중국 생성형 인공지능(AI) 딥시크가 개인정보 처리방침 등에서 미흡한 부분이 발견돼 개인정보보호위원회로부터 시정명령을 받았다. 딥시크는 시정조치 후 조만간 서비스를 재개할 전망이다.

개인정보위는 지난 23일 서울 종로구 정부서울청사에서 제9회 전체회의를 열고, 한국어 처리방침 공개, 국내 대리인 지정 등을 담은 딥시크 사전 실태점검 결과를 심의·의결했다.

앞서 개인정보위는 올해 1월 딥시크 서비스 개시 이후 개인정보 침해 우려가 일자 한국인터넷진흥원(KISA)과 기술 분석을 통해 일부 미흡한 사항을 확인하고 사전 실태점검에 착수했다. 사전 실태점검은 개인정보 보호 취약점을 선제적으로 점검해 침해위험을 예방하기 위해 도입한 제도다. 법위반사항이 발견되더라도 일반적인 조사와 달리 과징금·과태료 부과 없이 시정을 권고한다.

조사 결과, 딥시크는 개인정보 처리방침에 우리 개인정보보호법이 요구하는 사항을 누락했으며 내용도 중국어·영어로만 공개했다. 수집하는 정보도 키 입력 패턴·리듬 등 광범위하게 명시했다. 또 개인정보를 인터컴·볼케이노엔진·슈메이테크놀로지 등 중국·미국 소재 4개 기업에 이전했으나 동의를 받거나 처리방침에 공개하지 않았다. 특히 볼케이노엔진엔 이용자가 입력한 프롬프트 내용도 전송하고 있었다. 아울러 다른 AI 사업자와 유사하게 이용자가 프롬프트 입력한 내용을 AI 개발·학습에 이용했으나 이를 거부할 수 있는 기능이 없었고, 처리방침·이용약관에도 '서비스 제공·개선'으로만 표시해 충분한 설명 또는 고지가 있었다고 볼 수 없었다.

딥시크는 점검과정에서 한국어로 된 처리방침과 별도의 대한민국 관할 조항을 추가해 제출했다. 또 키 입력 패턴은 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재했고, 실제 수집한 사실은 없으며 정확한 수집 항목으로 처리방침을 정비했다고 설명했다. 또 볼케이노엔진에 개인정보 전송은 사용자환경·경험(UI·UX) 개선 등을 목적으로 하기에 이용자가 프롬프트에 입력한 내용의 이전은 불필요하다는 개인정보위의 지적을 받아들여 지난 10일부터 신규 이전을 차단했다. 개발·학습 활용과 관련해선 이용자가 이를 거부할 수 있는 기능을 마련했다.

개인정보위는 점검 결과를 바탕으로 딥시크에 △개인정보 국외이전 시 합법근거 충실히 구비 △이미 볼케이노엔진으로 이전한 이용자의 프롬프트 입력 내용 즉각 파기 △한국어 처리방침 공개 등 서비스 투명성 지속 확보 등을 시정권고했다.

개선권고 사항엔 △'강화된 개인정보 보호조치 방안' 준수 △아동 개인정보의 수집 여부 확인 및 파기 △개인정보 처리시스템 전반의 안전조치 향상 △국내대리인 지정을 담았다.

딥시크가 개인정보위의 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주된다. 시정·개선 권고 이행 결과는 60일 이내에 개인정보위에 보고해야 한다. 이번 사전 실태점검 결과를 계기로 딥시크는 조만간 다운로드를 재개할 것으로 보인다.

남석 개인정보위 조사조정국장은 “딥시크 측이 당초 글로벌 서비스 과정에서 우리 보호법상 미흡한 점을 인정하고 보완을 위해 스스로 신규 다운로드를 중단한 것”이라며 “시정권고 수용과 이행 시 자체적으로 (서비스 재개) 결정이 가능할 것”이라고 말했다.

그러면서 “전날 전체회의에서 딥시크 대리인 측이 조만간 시정 이행이 되면 서비스를 개시하겠다고 밝혔다”고 덧붙였다.

남 국장은 중국법상 정부 요청 시 딥시크가 자료를 제공해야 한다는 우려에 대해선 “이번 시정권고를 통해 지정된 국내 대리인을 통해 이행 여부를 철저히 점검해 나갈 계획”이라며 “해외 개인정보 감독기구와 공조체계를 구축해 국외이전된 개인정보가 보호될 수 있도록 지속 노력하겠다”고 말했다.

조재학 기자 2jh@etnews.com