과도한 개인정보 수집 논란을 빚어온 중국 인공지능(AI) 딥시크(Deepseek)를 정부 기관과 주요 기업이 줄줄이 차단하고 나선 가운데 국민의힘 나경원 의원은 7일 중앙행정기관과 지방자치단체 등에서의 사용을 제한하는 정보통신망법·개인정보보호법 개정안을 대표발의한다고 밝혔다.
개정안은 안전성이 검증되지 않은 해외 AI 서비스를 중앙행정기관, 지자체, 공공기관에서 사용할 수 없도록 정부에 사용을 제한·금지할 수 있는 권한을 부여하는 내용을 담았다.
과학기술정보통신부 장관과 국가정보원장에게 안보상 위험이 우려되는 해외 AI 서비스에 대한 사용중지 명령 및 접속차단 조치 권한을 부여하고 해외 AI 서비스 안전성 사전 검증제 도입, 주요 데이터의 해외 이전 시 정부 심사 의무화 등 내용도 포함됐다.
나 의원은 "딥시크가 무료 서비스로 121만명의 국내 이용자를 확보했지만, 중국 서버에서 처리되는 정보가 어떻게 활용될지 모른다는 것이 큰 문제"라며 "최근 사태로 드러난 정보 유출 위험에 대한 선제 대응 조치"라고 밝혔다.
다만 "이번 법안은 정부의 관리하에 어느 정도 안전성이 검증 가능한 AI 서비스와는 무관하다"며 "개인정보 보호정책이 불투명하고 데이터 처리 과정을 공개하지 않는 일부 해외 AI에 대한 제한적 조치"라고 설명했다.
한편, 개인정보보호위원회의 선제적인 조치를 요구하는 목소리가 커지자 외교부, 국방부, 산업통상자원부, 대검찰청 등 여러 중앙행정기관과 지자체는 최근 딥시크의 접속을 차단했다.
앞서 행정안전부와 국가정보원이 '딥시크 등 생성형 AI 사용에 유의해달라'는 공문을 보낸 것을 기점으로 공공기관뿐만 아니라 카카오 등 주요 기업도 차단 조치에 나서고 있다.
대검은 "생성형 인공지능 서비스 관련 업무 보안 문제를 검토했다"며 "정보보안과 개인정보보호 등 안전성이 확인될 때까지 잠정적으로 인터넷망에서 딥시크에 접속할 수 없도록 차단 조치했다"고 했다.
딥시크는 출시 이래 줄곧 AI 학습 과정에서 이용자 정보를 과도하게 수집한다는 지적을 받아왔다.
딥시크의 '개인정보 보호정책'을 보면 AI 모델 학습 등을 위해 사용자의 생년월일과 이름, 이메일 주소, 전화번호, 비밀번호 등을 수집한다고 고시됐다.
또 이용자들이 입력한 키보드 패턴, 오디오, 파일, 채팅 기록과 다른 콘텐츠를 수집하고, 회사 재량에 따라 해당 정보를 법 집행기관 및 공공 기관과 공유할 수 있다고 명시했다.
이렇게 수집한 정보는 중국에 있는 서버에 저장된다. 이에 호주와 일본, 대만 등 여러 나라에서는 딥시크의 위험성을 경계하며 속속 차단에 나서고 있다.
개인정보위도 지난달 31일 중국 딥시크 본사에 개인정보 수집 항목과 절차, 처리 및 보관 방법 등의 확인을 요청하는 질의서를 발송했으나 아직 답변받지 못했다.
개인정보위 관계자는 "딥시크의 개인정보 처리 방침에 대해 검토하고 있지만, 판단을 내릴 정도는 아니다"라며 "앞서 보낸 질의서에 대한 회신이 온 뒤 종합적으로 검토할 것"이라고 밝혔다.
이처럼 딥시크의 회신이 언제 올지 모르는 상황에서, 세계적으로 제재가 잇따르는 서비스가 별다른 안전장치 없이 국내에서 운영되는 점을 두고 걱정스럽다는 반응이 나온다.
김승주 고려대 정보보호대학원 교수는 "딥시크가 개인정보를 과도하게 수집하는 경향이 있으며, 특히 이용자의 키보드 입력패턴의 경우 민감정보에 해당할 수 있다"며 "중국에 보관된 이용자의 정보를 중국 정부가 원할 때 언제든 접근할 수 있다는 것도 문제"라고 지적했다.
김 교수는 "개인정보위가 선제적으로 대응했어야 했는데, 해외에 비해 한박자 늦었다"며 "민간에서 쟁점이 되고, 많은 이용자가 몰리고 나서야 정부가 움직인 것"이라고 꼬집었다.
한석현 서울YMCA 시민중계실 실장도 "해외에서 잇달아 개인정보 문제가 불거진 딥시크가 국내 애플리케이션 마켓에 등록되기 전이나 직후에 정부 차원에서 주의 깊게 들여다봐야 했다"며 "정부의 직무 유기에 가깝다"고 비판했다.
딥시크의 답변을 신속하게 받기 힘들뿐더러, 제대로 된 답변을 한 번에 내주지 않을 거란 관측도 있다.
한 개인정보위 위원은 "그간 사례를 미뤄 봤을 때 딥시크 회신은 빨라야 석 달이고 적어도 6개월은 걸릴 것"이라며 "과거 미국 오픈AI에 유사한 질의를 보낸 뒤 회신을 받기까지 6개월 이상 걸렸다"고 전했다.
한석현 실장도 "딥시크 측에서 회신을 주지 않더라도 딱히 제재할 방법이 없고, 부실하게 왔다면 재답변을 요구하는 수밖에 없다"며 "개인정보 침해가 심각하게 우려된다면 회신 전이라도 '국외 이전 중지 명령 제도' 등 대안을 강구해야 한다"고 강조했다.
'국외 이전 중지 명령 제도'는 해외로 넘어간 정보를 두고 정보 주체에게 피해가 발생했거나 국외 이전을 중지하는 것이 정보 주체에게 이익이 될 경우 정보의 국외 이전을 중단하는 제도다.
재작년 개인정보보호법이 개정되면서 마련됐으나, 현재까지 발동된 적은 없다.
다만 중국 기업이 중국 서버에 직접 개인정보를 수집하는 딥시크는 '국외 이전 중지 명령 제도' 대상에 해당하지 않아, 개인정보위가 다른 방안을 강구해야 할 것이라는 의견도 나온다.
