충격! 딥시크, 사용자 모르게 AI 질문 내용까지 틱톡 모회사에 넘겼다

여러분은 생성형 AI에게 무슨 질문을 하시나요? 단순한 정보 검색부터 중요한 업무 관련 질문, 때로는 개인적인 고민까지 AI 비서에게 물어보는 시대가 되었습니다. 하지만 그 질문들이 어디로 흘러가는지 한 번이라도 의심해 보셨나요? 충격적이게도 중국의 AI 서비스 '딥시크'가 사용자 동의 없이 AI 질문 내용까지 틱톡 모회사 계열사에 넘기고 있었다는 사실이 드러났습니다^1. 이번 사태는 AI 시대에 우리의 개인정보가 얼마나 취약한지 다시 한번 일깨워주는 사례입니다.

딥시크 AI가 사용자의 비밀 질문을 몰래 들여다보며, 틱톡 로고가 박힌 거대한 감시 카메라를 들고 있는 모습, 배경은 디지털 데이터가 흐르는 사이버 공간, 풍자적이고 과장된 만화 스타일

 

딥시크의 충격적인 개인정보 유출 실태

개인정보보호위원회는 2025년 4월 24일, 딥시크가 한국에서 서비스를 제공한 약 한 달간(2025년 1월 15일~2월 15일)의 개인정보 처리 실태를 조사한 결과를 발표했습니다^1. 그 결과는 많은 우려가 현실로 드러난 충격적인 내용이었습니다.

딥시크는 국내 사용자의 개인정보를 중국 내 회사 3곳과 미국 내 회사 1곳 등 총 4개 해외 업체에 이전했습니다^1. 문제는 이 과정에서 사용자로부터 국외 이전에 대한 동의를 전혀 받지 않았다는 점입니다^2.

더 심각한 것은 딥시크가 개인정보 처리방침조차 한국어로 제공하지 않고 영어와 중국어로만 제작했다는 점입니다^1. 국내 이용자들은 자신의 정보가 어떻게 처리되는지 제대로 알기도 어려웠던 셈입니다.

민감한 프롬프트 정보까지 유출

특히 가장 논란이 되는 것은 사용자들이 AI에게 질문하기 위해 입력한 프롬프트(명령어) 내용까지 틱톡 모회사인 바이트댄스의 자회사 '볼케이노엔진'에 전송했다는 사실입니다^1. 우리가 AI에게 묻는 질문과 대화 내용까지 중국 기업에 넘어간 것입니다.

바이트댄스와 볼케이노엔진의 정체

'볼케이노엔진'은 정확히 어떤 회사일까요? 2021년 출범한 이 회사는 바이트댄스의 자회사로, 본업은 클라우드 서비스 플랫폼입니다^1. 미국의 아마존웹서비스(AWS)와 유사한 형태라고 볼 수 있습니다.

볼케이노엔진은 바이트댄스의 핵심 기술인 추천 알고리즘, 데이터 분석, AI 기술을 기업 고객에게 제공하는 비즈니스 모델을 가지고 있습니다^1. 바로 이 회사에 우리가 딥시크에 입력한 질문과 명령어가 사용자 동의 없이 전송된 것입니다.

이는 단순한 개인정보 유출을 넘어 중국이 AI 앱을 통해 전 세계의 데이터를 수집하려 한다는 의혹을 더욱 키우는 결과를 낳았습니다^4. 미국에서도 틱톡의 사용자 데이터가 중국 서버에 이전됐을 가능성이 제기되면서 현재는 오라클이 미국 내 틱톡 데이터를 처리하고 있는 상황입니다^4.

바이트댄스와 틱톡의 민감한 문제

틱톡은 이용자의 행동 패턴 등 수많은 데이터를 활용해 알고리즘을 만들고, 이를 통해 중국에 우호적인 메시지를 무작위로 전파한다는 의심을 받는 글로벌 '빅5' 소셜미디어입니다^1. 이런 회사의 자회사에 우리의 AI 질문 내용이 넘어갔다는 것은 더욱 우려스러운 일이 아닐 수 없습니다.

개인정보위의 조치와 딥시크의 대응

개인정보보호위원회는 이런 심각한 위반 사항을 발견하고 딥시크에 볼케이노엔진으로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것을 시정 권고했습니다^4. 또한 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했습니다^4.

딥시크가 개인정보위의 시정 권고를 10일 내에 수용하면, 시정 명령을 받은 것으로 간주해 60일 내에 이행 결과를 보고해야 합니다^4. 개인정보위는 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속적으로 관리한다는 입장입니다^4.

딥시크 측은 "글로벌 서비스 출시 과정에서 한국 법 고려에 일부 소홀했다"며 정부에 적극 협력하겠다는 의사를 밝힌 것으로 전해졌습니다^5. 하지만 이미 유출된 정보에 대한 우려는 쉽게 가시지 않고 있습니다.

지속되는 서비스 중단

현재 딥시크는 국내 신규 다운로드가 중단된 상태입니다^8. 개인정보위의 시정 권고를 수용하고 관련 문제를 해결한 후에야 서비스 재개가 가능할 것으로 보입니다^3. 하지만 이미 앱을 다운로드하여 사용 중인 이용자나 웹을 통해 접속하는 경우에는 여전히 서비스 이용이 가능한 상황입니다^5.

AI 개인정보 보호, 어떻게 해야 할까?

이번 딥시크 사태는 AI 시대에 개인정보 보호의 중요성을 다시 한번 일깨워주는 사례입니다. 특히 생성형 AI에 입력하는 프롬프트(질문/명령어)에는 우리의 관심사, 고민, 때로는 민감한 정보까지 포함될 수 있습니다.

AI 서비스를 이용할 때는 해당 서비스의 개인정보 처리방침을 꼼꼼히 확인하는 습관이 필요합니다. 특히 해외 기업이 제공하는 서비스인 경우, 국내법 준수 여부와 개인정보 이전 관련 내용이 명확히 명시되어 있는지 확인해야 합니다.

또한 생성형 AI에 입력하는 내용에도 주의가 필요합니다. 개인을 특정할 수 있는 정보나 민감한 업무 관련 내용은 가능한 입력하지 않는 것이 좋습니다. 특히 기업 내부 정보나 기밀 사항을 AI에 질문하는 것은 피해야 합니다.

국내 대체 서비스 활용하기

국내 기업이 제공하는 AI 서비스를 이용하는 것도 하나의 대안이 될 수 있습니다. 국내 서비스는 한국의 개인정보보호법을 준수해야 하므로 상대적으로 더 안전할 수 있습니다. 또한 기업용 AI 서비스를 도입할 때는 데이터 저장 위치와 처리 방식에 대해 명확한 계약 조항을 포함시키는 것이 중요합니다.

결론: AI 시대, 개인정보 자기결정권을 지켜야

딥시크의 개인정보 유출 사태는 우리에게 중요한 교훈을 남깁니다. AI가 발전할수록 우리의 데이터는 더 많이 수집되고, 때로는 우리도 모르게 국경을 넘어 이동할 수 있습니다.

개인정보의 주체로서 우리는 자신의 정보가 어떻게 수집되고, 어디로 이전되며, 어떤 목적으로 활용되는지 알 권리가 있습니다. 기업들은 이용자의 동의 없이 정보를 수집하거나 이전해서는 안 되며, 명확한 개인정보 처리방침을 제공해야 할 의무가 있습니다.

AI 기술은 우리의 삶을 편리하게 만들어 주지만, 그 편리함의 대가로 개인정보 보호가 훼손되어서는 안 됩니다. 개인정보 자기결정권을 지키며 AI 기술의 혜택을 누릴 수 있는 균형점을 찾는 것이 우리 모두의 과제입니다.

#딥시크 #AI개인정보유출 #틱톡 #바이트댄스 #볼케이노엔진 #프롬프트유출 #개인정보보호 #생성형AI #AI데이터보안 #개인정보자기결정권 #개인정보위 #중국AI #데이터주권

⁂