![[사진=연합뉴스]](https://cdn.thepublic.kr/news/photo/202502/251085_249535_5825.jpg)
[더퍼블릭=이유정 기자] 중국 생성형 인공지능(AI) 서비스 ‘딥시크’가 개인정보 과다 수집 및 유출 논란으로 인해 국내 신규 서비스가 잠정 중단됐다. 특히 개인정보보호위원회는 딥시크가 중국 ‘바이트댄스’에 이용자 데이터를 전송한 정황을 확인하고 추가 조사에 착수했다.
18일 업계에 따르면, 개인정보위는 17일 “딥시크 애플리케이션의 국내 서비스가 지난 15일 오후 6시부터 잠정 중단됐다”며 “국내 개인정보보호법에 따른 개선·보완이 이뤄진 후 서비스가 재개될 예정”이라고 발표했다. 이에 따라 애플 앱스토어와 구글 플레이스토어를 비롯한 국내 모든 앱 마켓에서 딥시크 앱의 신규 다운로드가 차단됐다. 다만 기존 이용자는 계속해서 서비스를 이용할 수 있다.
개인정보위는 지난달 31일 딥시크 본사에 개인정보 수집 및 처리 방식에 대한 공식 질의를 보냈다. 이후 자체 분석을 통해 딥시크의 개인정보 처리 방침이 국내 법규를 충족하지 못한다는 점을 확인했다.
특히 개인정보위는 딥시크가 이용자의 데이터를 제3자인 바이트댄스에 전송한 사실을 포착했다.
남석 개보위 조사조정국장은 “딥시크가 바이트댄스와 통신하는 사실을 확인했다”며 “다만 어떤 정보가 얼마나 넘어갔는지는 아직 파악 중”이라고 밝혔다.
국내 개인정보보호법상 사업자가 이용자의 데이터를 제3자에게 제공할 경우 반드시 이용자의 명확한 동의를 받아야 한다. 그러나 개인정보위는 딥시크의 개인정보 처리 방침에서 이러한 동의 절차가 누락돼 있다는 점을 문제 삼았다.
이에 개인정보위는 딥시크가 국내법을 준수하기까지 시간이 걸릴 것으로 보고, 서비스 개선 전까지 신규 다운로드를 중단할 것을 권고했다. 딥시크 측은 이를 받아들였다.
딥시크의 개인정보 보호 문제는 한국뿐만 아니라 전 세계적으로 논란이 되고 있다. 일본, 호주, 대만 등은 정부 소유 기기에서 딥시크 사용을 금지했으며, 이탈리아는 아예 앱 마켓에서 딥시크 다운로드를 차단했다. 미국에서도 일부 연방기관과 지방정부가 딥시크 사용을 금지했다.
논란이 확산되자 딥시크는 지난 14일 개인정보 처리 방침을 일부 수정했다. 기존 수집 항목에서 ‘이용자의 키보드 입력 패턴’ 항목을 삭제하고, 유럽경제지역(EEA)과 영국, 스위스 등에서는 ‘현지 법률이 허용하는 경우에만 개인정보를 사용한다’는 조항을 추가했다. 하지만 이러한 조치가 충분한지에 대해서는 여전히 의문이 제기되고 있다.
개인정보위는 딥시크 서비스 중단 기간 동안 개인정보 처리 실태를 면밀히 점검할 계획이다. 향후 딥시크가 국내 개인정보보호법을 준수하도록 개선을 유도하고, 최종 조사 결과 발표 시 해외 AI 기업이 국내 서비스를 제공하기 전 준수해야 할 가이드라인도 함께 제시할 예정이다.
남석 조사조정국장은 “이미 딥시크를 다운로드받아 사용 중인 이용자들은 개인정보 유출 위험성이 있으니 신중히 이용할 필요가 있다”며 “서비스 이용을 중단하거나 앱을 삭제하는 것도 하나의 방법”이라고 조언했다.
아울러 개인정보위는 생성형 AI 서비스가 확대됨에 따라 개인정보 보호법 개정을 추진할 계획이다. 특히 해외 AI 기업에 대한 규제 강화 및 집행력을 높이는 방안을 검토 중이다. 오는 9월 서울에서 열리는 ‘글로벌 프라이버시 총회(GPA)’에서는 주요국 감독 기구와 협력해 AI 개인정보 보호 기준을 논의할 예정이다.
더퍼블릭 / 이유정 기자 leelyjwo@thepublic.kr