키 입력 패턴·리듬 실제 수집되지 않아

로이터 연합뉴스

지난 2월 국내 신규 다운로드가 중단된 중국 인공지능(AI) 스타트업 딥시크가 챗봇 입력창에 넣은 정보 등을 이용자 동의 없이 중국 바이트댄스 계열사에 전송한 사실이 확인됐다. 개인정보보호위원회(개인정보위)는 딥시크에 이미 국외로 이전한 이용자 정보를 즉각 파기할 것을 시정 권고했다.

개인정보위는 24일 딥시크 서비스의 사전 실태점검 결과, 다른 사업자와의 통신 기능 및 개인정보 처리방침에 미흡한 부분을 일부 확인했다고 밝혔다. 

조사 결과 딥시크는 지난 1월 국내 서비스 출시 때 개인정보 처리방침을 중국어·영어로만 공개했으며, 개인정보 보호 책임자의 성명·연락처 등 개인정보보호법이 규정한 기재 사항을 누락했다. 

다만 광범위한 정보 수집 의혹이 일었던 키 입력 패턴과 리듬은 실제 수집되지 않은 것으로 나타났다. 딥시크의 개인정보 처리방침에는 회사가 이들 정보를 수집하는 것으로 명시됐으나, 이는 서비스 출시 전 수집 정보를 확정하지 않은 상태에서 처리방침을 먼저 작성했기 때문이라고 회사는 설명했다. 딥시크 쪽은 “한국을 포함해 전 세계적으로 실제 수집한 사실은 없으며, 정확한 수집 항목으로 처리방침을 정비했다”고 개인정보위에 알려왔다.

개인정보위는 딥시크가 이용자로부터 국외 이전에 대한 동의를 받지 않은 채 개인정보를 중국·미국 소재 회사 4곳(중국 3곳·미국 1곳)에 이전한 점도 확인했다. 특히, 딥시크는 이용자의 기기 및 네트워크 정보, 앱 정보 이외에도 챗봇 입력창에 쓴 내용을 중국 바이트댄스가 소유한 클라우드 플랫폼 ‘볼케이노 엔진’(Beijing Volcano Engine Technology Co. Ltd.)에 전송해왔던 것으로 드러났다. 

이에 대해 딥시크 쪽은 개인정보위에 “보안 취약점 및 이용자 인터페이스와 경험(UI/UX) 등의 개선을 위해 클라우드 서비스를 이용한 것”이라며 서비스 운영·개선 외 마케팅 등의 목적으로는 개인정보를 이용하지 않고 있다고 소명했다. 

하지만 개인정보위는 이용자가 챗봇 프롬프트(입력창)에 입력한 내용의 국외 이전은 불필요하다는 입장이다. 이에 딥시크는 지난 10일부터 개인정보의 신규 국외 이전을 차단하기로 했다. 

아울러 딥시크는 이용자가 프롬프트에 입력한 내용이 인공지능 개발·학습 활용되는 것을 거부할 수 있는 기능인 ‘옵트아웃’ 옵션을 제공하지 않았던 문제를 개선해 지난달 17일 국내 서비스에 이 기능을 마련했다. 또 딥시크는 14살 미만 아동의 개인정보를 수집하지 않는다면서도, 서비스 가입 때 아동 여부를 확인하는 절차를 두지 않았으나 개인정보위 점검 과정에서 연령 확인 절차 등을 새로 도입했다. 

개인정보위는 딥시크에 이용자의 동의 없이 국외로 이전한 프롬프트 정보 등을 즉각 파기할 것과 국외 이전 때 합법근거 마련 및 한국어 처리방침 공개 등을 시정 권고하기로 했다. 이와 함께 아동 개인정보의 수집 여부 확인 및 파기, 국내 대리인 지정 등도 개선을 권고하기로 했다. 

남석 개인정보위 조사조정국장은 “국외 개인정보 감독기구와 공조체제를 통해 국외 이전된 개인정보가 보호될 수 있도록 계속적으로 노력할 것”이라며 딥시크의 신규 다운로드 재개 시점에 대해 “(선제적으로) 서비스 중단을 결정한 사업자 쪽에서 시정명령을 수용, 이행한 뒤 자율적으로 결정할 수 있는 사항”이라고 말했다.

선담은 기자 sun@hani.co.kr

Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지