개보위 "딥시크, 韓 개인정보 처리방침 제출…국외 반출 정보도 파기"

중국 스타트업이 개발한 AI 챗봇 '딥시크' 로고.ⓒ연합뉴스

인공지능(AI) 챗봇 '딥시크'가 한국어로 된 '개인정보 처리방침(처리방침)'과 별도의 대한민국 관할조항을 추가하기로 했다. 현재 딥시크는 과도한 개인정보 수집 논란으로 국내 신규 서비스 다운로드가 잠정 중단된 상태다.

개인정보보호위원회(개인정보위)는 지난 23일 제9회 전체회의를 열고 딥시크에 대한 사전 실태점검 결과를 심의 및 의결했다고 24일 밝혔다.

개인정보위는 지난 1월 딥시크 서비스 출시 후 국내외 개인정보 침해 우려가 제기됨에 따라 딥시크에 개인정보 수집 및 처리 방식에 대한 질의서를 보냈다. 동시에 한국인터넷진흥원과 기술 분석을 진행, 처리방침상 미흡한 부분을 확인해 딥시크에 대한 사전 실태점검에 착수하고 국내 앱 마켓에서 신규 다운로드를 잠정 중단시켰다.

당초 딥시크는 한국 앱 마켓에 서비스를 출시하면서 중국어, 영어로만 처리방침을 공개했다. 해당 처리방침에서도 개인정보 파기 절차 및 방법, 안전조치, 개인정보 보호책임자의 성명과 연락처 등 우리 보호법이 요구하는 사항을 누락했다.

점검 과정에서 딥시크는 보호법상 법정 사항을 포함해 한국어 버전의 처리방침과 별도의 대한민국 관할조항(처리법적 근거, 보유기간, 파기절차 및 방법, 개인 정보 보호책임자 등)을 추가해 제출했다. 이는 딥시크 서비스 재개 시점에 웹 및 앱에서 공개할 예정이다.

키 입력 패턴과 리듬 등 광범위한 정보를 수집한다고도 명시해 논란이 됐는데, 이는 실제 수집한 사실이 없는 것으로 확인됐다.

딥시크의 국내 사용자 정보가 틱톡 모회사인 바이트댄스로 넘어갔다는 의혹에 대한 점검도 이뤄졌다. 딥시크는 개인정보를 중국 및 미국 소재 다수 회사로 이전하면서도, 서비스 개시 시점에 이용자에게 이 사실을 알리지 않았다.

특히 기기 정보와 네트워크 정보, 앱 정보 외 이용자가 AI 프롬프트에 입력한 내용도 바이트댄스 계열사인 볼케이노에 전송하고 있었다.

이에 딥시크는 국외이전 관련 법정사항을 한국어 처리방침에 포함해 제출했다. 볼케이노로의 전송에 대해서는 서비스 개선을 위해 클라우드 서비스를 이용한 것이라고 소명했다.

개인정보위 측은 "볼케이노는 바이트댄스의 계열사이나 별도 법인으로 바이트댄스와는 무관하고, 처리위탁 정보는 서비스 운영 및 개선과 마케팅 등 목적으로는 이용하지 않고 있다고 소명했다"면서 "AI 프롬프트에 입력한 내용의 신규 이전도 차단했다고 알려왔다"고 설명했다.

이어 "AI 프롬프트 입력 내용을 AI 개발 및 학습에 활용하지 못하도록 이용자가 거부할 수 있는 기능을 마련한 것으로 확인했다"며 "개인정보위가 지난해 주요 AI 서비스 사전 실태점검 후 권고한 '강화된 보호조치'도 모두 준수하기로 했다"고 부연했다.

개인정보위는 딥시크에 개인정보 국외 이전 시 합법근거를 구비하고, 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것을 주문했다. 한국어 처리방침 공개 등 서비스 투명성도 지속 확보할 것을 시정권고하기로 했다.

또한 ▲강화된 개인정보 보호조치 방안 준수 ▲아동 개인정보의 수집 여부 확인 및 파기 ▲개인정보 처리시스템 전반의 안전조치 향상 ▲국내대리인 지정을 개선권고하기로 했다.

딥시크가 개인정보위의 시정권고를 10일 내 수락하면 시정명령을 받은 것으로 간주된다. 시정 및 개선 권고에 대한 이행 결과는 60일 내에 개인정보위에 보고해야 한다. 개인정보위는 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검할 계획이다.