딥시크 개인정보 유출 논란, 해외 무단 이전 실태 분석
최근 국내 AI 사용자들 사이에서 ‘딥시크’라는 이름이 논란의 중심에 섰습니다. 중국계 생성형 AI 플랫폼인 딥시크가 국내 이용자의 개인정보를 사용자 동의 없이 해외로 무단 전송한 사실이 밝혀졌기 때문입니다.
더욱 충격적인 점은, 사용자가 AI에게 입력한 질문(프롬프트)까지도 중국의 IT 기업 계열사로 전달되었다는 사실입니다. 이번 사건은 AI와 개인정보 보호가 충돌하는 대표 사례로, 우리가 기술을 사용할 때 어떤 부분을 주의해야 할지 돌아보게 만듭니다.
딥시크는 2024년 초, 생성형 AI 기능을 앞세워 국내 서비스를 시작했습니다. 하지만 불과 한 달 만에 개인정보보호법 위반 논란이 불거졌고, 2월 15일부로 국내 운영이 중단되었습니다.
개인정보보호위원회는 실태 점검 결과를 통해 딥시크가 사용자에게 알리지 않은 채 개인정보를 중국과 미국에 위치한 4개 해외 기업으로 무단 이전했다는 점을 확인했습니다.
단순한 접속 정보나 디바이스 정보뿐 아니라 사용자가 AI에 입력한 프롬프트 내용까지도 중국 ‘볼케이노 엔진 테크놀로지’라는 회사로 전송됐습니다.
이 업체는 틱톡을 운영하는 바이트댄스의 계열사로 알려져 있습니다. 사용자의 질문 자체에 개인정보가 포함될 수 있다는 점에서 심각한 사생활 침해로 간주될 수 있는 상황이었습니다.
👇 내 명의로 가입된 사이트, 휴대폰 인증 내역으로 정리하는 법
많은 사용자는 “AI에게 질문한 문장이 개인정보일 수 있냐”는 의문을 갖습니다. 하지만 실제로 많은 프롬프트에는 이름, 주소, 위치 정보, 회사 내부 데이터 등 민감한 정보가 포함되는 경우가 많습니다.
따라서 ‘입력 내용’ 자체도 개인정보로 간주되어야 하며, 이에 대한 보호 조치는 필수입니다.
딥시크는 국외 이전 사실을 개인정보 처리방침에 명시하지 않았고, 사용자에게 동의도 받지 않았습니다. 또한, 개인정보 파기 기준, 보호 책임자 정보 등 법령에서 요구하는 필수 항목이 누락되어 있었습니다.
이는 명백한 개인정보보호법 위반으로 평가됩니다. 개인정보위원회는 해당 내용을 즉각 파기하고, 국내 대리인을 지정하도록 시정 조치를 내렸습니다.
👇 개인정보 유출 조회, 비번 털렸는지 1분 만에 확인하는 방법
AI 서비스를 사용할 때 단순한 기능만 볼 것이 아니라 개인정보 처리방침, 데이터 이전 범위, 프롬프트 처리 정책 등을 반드시 확인하는 습관이 필요합니다.
또한, 민감한 내용은 가급적 AI 프롬프트에 입력하지 않는 것이 자가 보호를 위한 현실적인 방법입니다. 이용자 한 사람 한 사람이 개인정보에 대해 깨어 있어야, 전체적인 시스템도 바뀌어 나갈 수 있습니다.
딥시크 사건은 AI 시대에 우리가 마주할 수 있는 개인정보 위험을 여실히 드러낸 사례입니다. 기술은 편리하지만, 그만큼 개인정보에 대한 이해와 관리가 필요합니다. 이제 우리는 AI의 답변보다, 우리가 어떤 정보를 ‘질문’하고 있는지에 더 주의를 기울여야 할 시점입니다.