[한스경제=김태형 기자] 생성형 AI(인공지능)의 가성비 경쟁을 부추기며 업계에 긴장감을 고조시킨 중국의 AI 기업 딥시크(DeepSeek)가 개발한 AI 모델 ‘R1’이 이용자 정보를 광범위하게 수집해 국가안보까지 위협할 수 있다는 지적이 나왔다.
이렇게 과도하게 수집된 이용자 정보를 중국 정부가 공유, 활용할 가능성이 제기되면서 각국 정부와 기업들의 경계심이 커졌고 국내 정부 기관은 물론 기업들까지 줄줄이 '금지령’을 내렸다.
챗 GPT에 견줄 만큼 질문에 답변을 잘하고 데이터 분석 능력도 뛰어나다는 평가를 받는 딥시크는 공개 3주 만에 국내 사용자들이 120만명을 넘겼다. 하지만 민감한 정보를 다루는 정부부처, 외교부, 국방부, 중앙선관위 등을 포함한 주요 공공기관과 주요 IT기업들도 딥시크를 통한 중국으로의 정보유출을 우려해 접속을 차단했다.
딥시크는 개발자들이 프로그램을 자유롭게 수정하고 활용할 수 있도록 '오픈소스'로 AI모델을 공개했는데 이용자들에게 요구하는 사항도 많다. 생년월일, 이름, 주소와 전화번호, 비밀번호, IP 정보뿐 아니라 이용자가 자판을 입력하는 패턴이나 리듬, 압력 정보까지 중국 항저우에 있는 본사 서버가 수집하는 것으로 알려졌다.
이는 딥시크가 누군가를 특정할 수 있는 주민번호 등을 수집하지 않아도 자판을 입력하는 패턴과 리듬, 압력 등을 분석하면 질문자가 누구인지 특정해 가려낼 수도 있다는 분석이다. 이와 같이 이용자의 취향과 정치 성향까지도 분석할 수 정보들이 수집되는데 더 큰 문제는 중국 정부가 중국 기업이 축적한 개인정보를 언제든 열람할 수 있다는 것이다.
전문가들은 딥시크에는 이용자가 정보 수집을 거부하면 정보 수집을 할 수 없는 '옵트 아웃' 조항이 없다는 점도 문제라고 지적했다. 이는 이용자의 동의 여부와 관계없이 개인정보가 수집된다는 것인데 챗GPT도 서비스 초기에는 '옵트 아웃' 조항이 없다가 이후에 포함됐다.
중국은 지난 2021년 9월 데이터 보안법을 제정, 국가 안보 수호나 범죄 수사의 필요에 따라 국가 기관이 정보를 수집할 때 관련 조직이나 개인은 협조해야 한다고 규정하고 있다. 미국은 현재 이 중국의 데이터 보안법 때문에 틱톡을 금지시켰다.
중국 정부가 딥시크가 수집한 정보를 마음대로 들여다볼 수 있다는 우려가 커진 상황에서 딥시크가 사용자의 개인정보를 중국 국영통신사인 차이나모바일로 전송하는 백도어가 발견됐다는 보도가 나와 파장이 일고 있다.
지난 5일(현지시간) 미국 ABC 방송에 따르면 캘리포니아주 온타리오의 사이버보안 기업 페루트시큐리티의 이반 차린니 최고경영자는 AI 소프트웨어를 활용해 딥시크의 코드를 해독한 결과 사용자의 개인정보를 중국 차이나모바일로 전송하는 코드가 숨겨져 있는 것이 발견됐다고 밝혔다.
그는 "중국 정부의 통제에 있는 서버들이 중국내 기업으로 직접 연결된 부분이 보인다. 이는 과거에는 한 번도 본 적이 없는 것"이라고 말했다.
차이나모바일의 온라인 레지스트리 사이트 'CMPassport.com'으로 사용자 정보를 전송하는 기능을 지닌 코드가 의도적으로 은폐된 듯한 모양새로 삽입돼 있었다는 주장이다. ABC 방송은 "딥시크에 가입하거나 로그인하는 사용자는 자신도 모르게 중국 내 계정을 만들게 돼 신원, 사용한 검색어, 온라인 상에서 어떤 행동을 하는지가 중국 정부 시스템에 노출될 수 있다는 것"이라고 설명했다.
딥시크의 이용약관은 "중화인민공화국 법에 따른 통제를 받는다"고 기술하고 있다. 또 개인정보보호정책은 채팅과 검색어 내역, 키 입력 패턴, IP 주소, 다른 앱에서의 활동 등 모든 종류의 자료를 수집한다고 적시했다.
미 연방통신위원회(FCC)는 지난 2019년 "고객 정보에 대한 무단 접근으로 미국 국가안보에 회복 불가능한 피해를 줄 수 있다"며 차이나모바일의 미국 시장 진출을 불허했다. 이어 2021년에는 차이나텔레콤 아메리카의 미국 영업을 취소했고 2022년에는 차이나텔레콤을 미국 국가안보에 위협을 가하는 기업으로 지정했다.
미 국토안보부 차관을 지낸 존 코언은 ABC 방송 인터뷰에서 "국가안보 당국자들은 언제나 중국기업들이 판매하는 기술제품에 중국 정부가 자료를 들여다볼 수 있는 백도어가 있다고 의심해 왔다"면서 "이번 사례에선 그런 백도어가 발견됐고 열렸으며 이는 우려스러운 일"이라고 말했다.
미 하원 정보위원회 소속인 조시 고트하이머(민주·뉴저지) 의원은 "모든 정부 기기에서 딥시크를 즉각 금지해야 한다고 생각한다"면서 "누구도 본인 기기에 내려받지 못하게 해야 하고 대중에도 알려야 할 것"이라고 말했다.
상황이 심각해지자 미국 의회는 딥시크 사용 제한을 위한 입법 카드를 꺼내 들었다. 6일(현지시간) 월스트리트저널(WSJ) 등에 따르면 미 공화당 소속 하원의원인 다린 라후드(일리노이)와 민주당 소속 조시 고테이머(뉴저지) 하원의원은 정부 소유 기기에서 딥시크 사용을 금지하는 ‘딥시크 금지법’을 발의했다.
법안이 통과되면 딥시크와 모회사 하이플라이어가 개발한 모든 앱을 정부 소유 기기에서 사용할 수 없게 된다. 공화당과 민주당 양당이 공동으로 추진하는 법안인 만큼 하원에서 통과될 가능성이 높은 것으로 전해졌다.
우리나라 과학기술정보통신부·농림축산식품부·문화체육관광부·보건복지부·중소벤처기업부·해양수산부·환경부·노동부 등 정부부처도 딥시크 접속을 차단했다. 생성형 AI 사용 과정에서 민감한 업무 정보가 유출될 가능성을 차단하기 위한 것이다.
정부 관계자는 "딥시크가 다른 생성형 AI보다 정보 수집 범위가 넓고 보안은 취약한 것으로 판단해 접속을 차단하기로 했다"고 밝혔다. 이와 관련 중국 정부는 "위법한 데이터 수집을 요구한 적 없다"고 밝혔다.
딥시크의 우리나라 개인정보보호법 위반 여부와 관련해서 개인정보보호위원회(이하 ‘개인정보위’)는 우리 국민들의 개인정보 보호에 한치의 소홀함이 없도록 국내외 주요기관과 긴밀히 협력하며 다양한 노력을 기울이고 있다고 7일 밝혔다.
개인정보위 측은 “딥시크 출시 직후 딥시크 본사에 해당 서비스의 개발 및 제공과정에서 데이터(개인정보 포함) 수집‧처리와 관련된 핵심적 사항을 다수 채널(온·오프라인 포함)로 공식 질의했다”면서 "관련 주요 문서, 개인정보 처리방침과 이용약관 등에 대한 면밀한 비교 분석을 진행 중이며 실제 이용환경을 구성해 서비스 사용 시 구체적으로 전송되는 데이터와 트래픽 등에 대한 기술 분석을 전문기관 등과 함께 진행 중“이라고 설명했다.
그러면서 “그동안 협력채널을 구축해 온 해외 주요국 개인정보 규제‧감독기구인 영국의 ICO, 프랑스의 CNIL, 아일랜드의 DPC등 과도 협의를 시작했고 현재 관련 상황을 공유하고 있으며 향후 공동 대응 방안도 논의 중”이라며 “북경 소재 ‘한-중 개인정보 보호 협력센터(KISA 북경 대표처)’를 통해서도 중국 현지에 연락하며 소통을 시도하고 있으며 우리나라의 중국 공식 외교 채널을 통한 원활한 협조도 당부할 예정”이라고 밝혔다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
