개인정보위, 보안 논란에 칼 빼들었다

(사진=개인정보보호위원회)
(사진=개인정보보호위원회)

과도한 개인정보 수집 등 논란을 빚고 있는 중국의 생성형 인공지능(AI) 기업인 딥시크의 국내 신규 서비스가 잠정 중단됐다. 

17일 개인정보보호위원회(이하 개인정보위)는 최장혁 부위원장 주재로 언론 브리핑을 열고 "딥시크 애플리케이션의 국내 서비스가 지난 15일 오후 6시부터 잠정 중단됐다"라며 "국내 개인정보보호법에 따른 개선·보완이 이뤄진 후 서비스가 재개될 예정"이라고 밝혔다.

개인정보위는 지난달 31일 딥스크 측에 개인정보 수집·처리 방식에 관한 공식 질의서를 보냈고, 시정까지 걸리는 시간을 고려해 서비스 잠정 중단을 권고했다. 딥시크 측이 이를 수용하며 서비스 중단 조치가 이뤄졌다.

개인정보위는 "국내외 언론 등에서 지적된 제3사업자와 통신 기능, 개인정보 처리방침상 미흡한 부분이 있음을 일부 확인했다"고 밝혔다. 남석 개인정보위 조사조정국장은 "기존 이용자의 경우 사업자 측에서 특별히 취할 수 있는 조치가 없다"며 "만약 필요하다면 기존 다운로드 받은 분은 자체적으로 앱을 삭제해 달라"고 요청했다.

(사진=딥시크)
(사진=딥시크)

이에 따라 앱 스토어에서 딥시크 앱의 신규 다운로드가 제한된다. 단, 기존에 다운로드를 받았던 사용자는 지속적으로 이용 가능하다. 개인정보위는 기존 사용자들에게 '딥시크 입력창에 개인정보를 입력하지 않는 등 신중하게 이용해달라'고 당부했다. 

앞서 딥시크는 '저비용 고효율' 모델을 내놓으며 업계에 가장 '핫'한 기업으로 부상했다. 값비싼 GPU 없이 고성능 AI 모델을 개발할 수 있다는 가능성을 보여줬기 때문이다. 그러나 과도한 개인정보 수집 논란이 불거지며 세계 각국에서 딥시크 사용을 제한하는 움직임이 거세지고 있다. 

딥시크 서비스는 한국뿐 아니라 이탈리아에서도 중단됐다. 여기에다 최근보안성 문제까지 도마 위에 올랐다. 글로벌 IT 기업 시스코(Cisco)는 펜실베니아대학 연구팀과 함께 딥시크 R1을 비롯, 오픈AI의 'o1-프리뷰', '클로드 3.5 소네트', 'GPT-4o', '라마 3.1 405B', '제미나이 1.5 프로' 등을 대상으로 안전성 테스트를 진행했다.

AI 모델별 보안성 평가 결과. 딥시크가 가장 취약한 것으로 드러났다. (사진=시스코)
AI 모델별 보안성 평가 결과. 딥시크가 가장 취약한 것으로 드러났다. (사진=시스코)

연구진은 각 AI 모델에게 사이버 범죄, 허위 정보, 불법 활동 및 일반적인 해악을 포함한 6가지 항목의 무작위 악성 프롬프트 50개를 제공하고, 탈옥(제한 해제) 시도를 얼마나 막아내는지를 살펴봤다. 그 결과 딥시크 R1은 탈옥 시도를 단 한 건도 차단하지 못하며 공격 성공률 100%를 기록했다. 

한편 개인정보위는 이번 조치에 관련, "AI 대중화 시대를 맞아 AI 활용과 개인정보 보호가 균형을 이룰 수 있도록 개인정보보호법상 AI 특례 신설과 해외사업자 대상 집행력 강화 방향 법 개정을 추진할 것"이라고 했다

AI포스트(AIPOST) 유진 기자 aipostkorea@naver.com