[베이징=AP/뉴시스]28일 중국 수도 베이징의 한 사용자 휴대전화 화면에 딥시크(DeepSeek)와 챗GPT(ChatGPT)의 애플리케이션이 보이고 있다. 2025.01.28.

<이미지를 클릭하시면 크게 보실 수 있습니다>

[서울=뉴시스]송혜리 기자 = 국내외 정부기관 및 기업들이 앞다퉈 중국 인공지능(AI) 딥시크 사용 제한 조치에 돌입한 가운데, 딥시크의 무분별한 정보 수집 방식을 비판하는 목소리가 국내에서도 흘러나오고 있다.

일례로 딥시크가 이용약관에 '장치 모델, 운영 체제, 키 입력 패턴 또는 리듬' 등을 수집한다고 명시한 것을 두고, 보안 업계는 개인을 특정할 수 있는 가능성이 존재함을 시사한다고 설명했다.

뿐만 아니라 딥시크가 해킹에 활용될 수 있는 보안 취약점까지 별다른 제약 없이 술술 답변하고 있다는 정황도 포착되고 있다.

이와 관련해 보안 전문가들은 개인정보 대규모 수집으로 인한 침해 위험 뿐만 아니라 개인 식별 가능성과 윤리적 통제의 한계를 지적하며, 딥시크의 사용에 신중한 접근이 필요하다고 경고했다. 우리 정부도 '신중한 이용'을 당부하면서 기술 분석에 착수, 딥시크가 이용자의 개인정보를 과도하게 수집하거나 보안상 취약점을 갖고 있는지 면밀히 검토할 방침이다.

업계에선 딥시크가 생성형 AI 가성비 혁신에는 지대한 역할을 한 것은 분명하지만, 소버린 AI(Sovereign AI)의 중요성을 다시금 부각시키는 계기가 될 것이라는 분석도 나온다. 소버린 AI는 특정 플랫폼이 아닌 국가 또는 특정 조직이 데이터와 인공지능(AI) 기술의 주권을 직접 통제하는 개념이다.

개인식별 가능성에 윤리적 모호성까지…딥시크, 버릇없는 실력꾼?

딥시크는 중국 스타트업이 개발한 생성형 AI 모델이다. 저렴한 개발비용으로도 고성능을 구현한다고 해서 화제가 됐지만, 광범위한 사용자 개인정보를 수집하며 개인정보 침해 논란에 직면한 상태다.

게다가 보안 업계선 딥시크를 두고 '개인을 특정할 수 있는 가능성이 존재한다'고 설명했다. AI모델을 통한 개인식별은 치명적인 프라이버시 침해 문제까지 불거질 수 있다.

실제 딥시크의 개인정보보호 정책 중 '자동으로 수집된 정보' 부분을 살펴보면, '서비스에 액세스할 때 특정 장치 및 네트워크 연결 정보를 수집한다, 이 정보에는 장치 모델, 운영 체제, 키 입력 패턴 또는 리듬, IP 주소 및 시스템 언어가 포함된다'고 명시하고 있다.

보안 전문가들은 '키보드 입력 패턴이나 리듬'을 수집하면 개인을 식별할 수 있는 가능성이 있다고 보고 있다. 키보드 패턴 정보를 통해 개인을 특정할 수 있는 이유는 사람이 타이핑할 때마다 나타나는 고유한 입력 습관 때문이다. 이같은 정보가 수집될 경우 추후 마음만 먹으면 수집된 입력 패턴을 분석해 특정 명령어로 사용자를 추적할 수 있다는 지적이다.

이성권 엔키화이트햇 대표는 "키보드 스트로크(입력 패턴)와 같은 세부적인 데이터의 경우, 개인을 식별하거나 특정할 수 있는 가능성이 있다"며 "굳이 수집해야 할 명분이 없는데 이같은 특정 데이터를 왜 수집하는지 의문"이라고 꼬집었다.

우리 정부도 딥시크의 무단 정보 수집 논란이 제기되자 딥시크 개인정보 처리방침과 이용약관 등에 대해 비교분석을 진행하고 아울러 전문기관과 함께 서비스 사용시 구체적으로 전송되는 데이터·트래픽에 대한 기술분석에 착수했다.

딥시크 서비스의 윤리적 기준도 모호하다는 지적도 나온다.

박찬암 스틸리언 대표에 따르면 공개된 브라우저 해킹 취약점 입력하고 설명해달라고 했을 때 챗GPT는 이를 거부했으나, 딥시크 모델은 대답을 그대로 해줬다. 이는 서비스 알고리즘 정책에 기인한다.

챗GPT는 민감한 정보들을 스스로 차단한 반면, 딥시크는 범죄에 악용될 소지가 있는 데이터에 대한 판단 기준이 명확하지 않다는 점을 드러냈다. 해킹 취약점 같은 민감한 정보가 AI를 통해 쉽게 취득할 경우, 전문가가 아니더라도 손쉽게 디지털 범죄 도구로 악용할 수 있다.

박찬암 대표는 "해당 답변에 딥시크가 대답을 하는 것을 보고, 딥시크가 GPT모델 보다는 윤리적 기준이나 정책이 다소 약하게 반영됐을 수 있다고 판단했다"고 설명했다.

소버린AI 재차 강조…기술 의존도 줄이고 국가안보 측면에서 중요

이에 따라 보안 전문가는 딥시크 AI 서비스 사용에 신중을 기해야 한다고 조언했다.

윤두식 이로운앤컴퍼니 대표는 "딥시크의 안정성이 검증되기 전까지는 보수적으로 사용하는 것이 필요해 보인다"면서 "만약 사용이 필요하다면, 사내에 설치하는 프라이빗 클라우드 등 '로컬'에 설치하는 방법들을 고려해야 할 것으로 보인다"고 말했다.

이성권 엔키화이트햇 대표는 "망 제도 개선 등 AI서비스를 금융기관 공공기관이 도입을 시작하는 시점에, 공격자 관점의 사전 점검은 필수로 해야 할 것"이라고 지적했다.

딥시크 무단 정보 수집 논란을 계기로 '소버린AI' 구축 필요성을 강조하는 목소리도 나오고 있다. 소버린AI는 AI 기술 개발, 데이터 보호, 인프라 운영 등을 외부에 의존하지 않고 자국 또는 조직 내부에서 자율적으로 운영하고 통제하는 개념이다.

데이터가 외국 기업에 넘어가지 않도록 자국 내 저장과 처리하고, 외부 기술이 아닌 자체 개발한 AI 모델 사용한다. 아울러 국가별 보안 정책과 규제에 맞춘 엄격한 데이터 관리와 보호하도록 한다.

소버린AI는 민감한 데이터가 외부로 유출되지 않도록 하는 국가안보, 글로벌 빅테크 기업에 의존도를 줄이는 경제 독립성, 기술 자립, 기술 다양성 확보 측면에서 중요하다는 게 관련 업계의 설명이다.

☞공감언론 뉴시스 chewoo@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개