[더테크 이승수 기자]  개인정보 수집 논란으로 국내 서비스를 잠정 중단한 중국의 생성형 인공ㄴ지능(A) 딥시크가 국내 이용자들의 정보를 해외로 무단 이전한 것으로 파악됐다.

24일 개인정보보호위원회는 '딥시크 사전 실태점검 결과'를 통해 이같이 발표했다.

개인정보위에 따르면 올해 1월 딥시크 서비스 출시 직후 국내∙외의 개인정보 침해 우려가 제기됨에 따라 딥시크에 개인정보 수집·처리 방식에 관한 질의서를 보냈다. 이와 동시에 한국인터넷진흥원과 기술 분석 등을 진행하여 다른 사업자와의 통신 기능 및 개인정보 처리방침(이하 ‘처리방침’)상 미흡한 부분을 일부 확인했다.

개인정보위는 딥시크에 대한 사전 실태점검에 착수했다. 그 과정에서 딥시크는 개인정보 보호법(이하 ‘보호법’)에 대한 고려가 일부 소홀했음을 인정하고 개인정보위에 적극 협력하겠다는 의사를 표명하는 한편, 국내 앱 마켓에서 신규 다운로드를 잠정 중단했다.

딥시크는 지난 1월 15일 한국 앱 마켓에 출시하면서 중국어, 영어로만 처리방침을 공개했다. 해당 처리방침에서도 개인정보 파기 절차 및 방법, 안전조치, 개인정보 보호책임자의 성명∙연락처 등 우리 보호법이 요구하는 사항을 누락했으며, 키 입력 패턴∙리듬과 같은 광범위한 정보를 수집한다고 명시하고 있었다.

딥시크는 개인정보를 중국 및 미국 소재 다수 회사로 이전하면서도(서비스 개선, 보안, 고객 서비스 대응 등 목적), 서비스 개시 시점에 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않고 있었다.

특히 딥시크는 기기 정보, 네트워크 정보, 앱 정보 외 이용자가 AI(인공지능) 프롬프트에 입력한 내용도 Beijing Volcano Engine Technology Co., Ltd.(이하 ‘볼케이노’)에 전송하고 있었다.

또한, 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입시 아동 여부를 확인하는 절차가 없었으나, 점검과정에서 연령 확인 절차 등을 마련하였다. 또 일부 확인된 보안 취약점에 대해서는 점검과정에서 조치가 완료된 것을 확인했다.

이에 개인정보위는 점검 결과를 바탕으로 딥시크에 개인정보 국외 이전시 합법근거를 충실히 구비하고 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것과 한국어 처리방침 공개 등 서비스의 투명성을 지속 확보할 것을 시정권고하기로 했다.

딥시크가 개인정보위의 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되며(보호법 제63조의2), 시정 및 개선 권고에 대한 이행 결과는 60일 이내에 개인정보위에 보고하여야 한다. 개인정보위는 향후 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속 관리해 나갈 계획이다.