中 국영 통신사 데이터 전송 정황
정부·공공기관 ‘사용금지’ 줄 이어
중국 공산당, 민감 정보 접근 용이

중국의 인공지능(AI) 스타트업 딥시크(DeepSeek)가 선보인 생성형 AI를 둘러싼 각국의 견제가 갈수록 그 수위를 높이고 있다. 출시 초기부터 제기된 보안 우려에 주요국들은 잇따라 사용 금지를 선언했으며, 전문 보안 업체들도 사용자 정보 유출 위험을 이유로 설치 및 사용 자제를 권장하고 나섰다. 과거 틱톡의 사례처럼 사이버 보안 논란이 IT 업계 전반으로 확산하는 모습이다.

“의도적으로 숨겨진 프로그래밍 발견”

9일(현지시각) 타임, ABC뉴스 등 외신에 따르면 미국의 모바일 보안업체 나우시큐어(NowSecure)는 최근 발간한 보고서에서 “딥시크의 iOS 앱은 민감한 데이터가 암호화되지 않은 채널을 통해 전송되는 것을 방지하는 iOS 플랫폼 보호 기능(ATS)을 비활성화한다”고 분석했다. 앤드루 후그 나우시큐어 설립자는 “딥시크 iOS 앱은 사용자 기기에 대한 엄청난 양의 데이터를 수집한다”면서 “앱 설치를 자제해야 하며, 이미 설치했다면 즉시 삭제해야 한다”고 강조했다.

캐나다에 본사를 둔 사이버 보안업체 페루트 시큐리티(Feroot Security) 또한 딥시크 챗봇의 웹 로그인 페이지에 매우 난독화된 컴퓨터 스크립트가 포함된 것을 확인했다고 밝혔다. 이반 차리니 페루트 시큐리티 최고경영자(CEO)는 “딥시크 코드 일부를 해독해 의도적으로 숨겨진 프로그래밍으로 보이는 것을 발견했다”며 “이 프로그래밍은 사용자 데이터를 중국 통신사 차이나모바일의 온라인 등록소(CMPassport)로 보낼 수 있는 기능을 가지고 있다”고 설명했다.

차이나모바일은 중국 정부가 운영하는 국영 통신사다. 앞서 미국은 2019년 차이나모바일이 소비자 데이터에 대한 무단 접근으로 국가 안보에 피해를 입힐 수 있다는 점을 들어 자국 내 운영을 금지했다. 이후 차이나모바일은 2021년 뉴욕 증권거래소에서 상장 폐지됐고, 2022년에는 미국의 ‘국가 안보 위협 목록’에 등재됐다.

딥시크가 차이나모바일에 전송하는 데이터의 종류와 범위는 구체적으로 확인이 필요한 상황이다. 차리니 CEO는 “딥시크의 웹 도구는 고유 사용자에 대한 디지털 지문을 생성하는데, 이를 통해 사용자가 딥시크 웹사이트를 사용하는 동안의 활동은 물론 이후의 모든 웹 활동 또한 추적할 수 있다”며 사용에 주의를 당부했다.

정보 수집 범위 과도하다는 반응 대부분

딥시크는 공식 홈페이지를 통해 “AI 모델 학습을 위해 사용자 이름, 생년월일 등 가입 시 기재하는 신상정보를 비롯해 인터넷 IP 주소, 고유 장치 식별자, 키 입력 패턴 등을 수집한다”고 명시하고 있다. 이와 함께 “광고주와 협력사들로부터 딥시크 외부의 웹사이트와 앱, 앱 마켓에서의 활동 정보도 공유받는다”고 설명했다.

업계 안팎에서는 딥시크의 이용자 정보 수집 범위가 오픈AI, 구글 등 경쟁사에 비해 과도하다는 반응이 주를 이룬다. 이 때문에 세계 각국 정부는 딥시크 사용을 금지하는 등 적극적으로 대처하고 있다. 국내에서는 외교부와 국방부, 산업통상자원부 등 주요 정부 부처 대부분이 정부망에서 딥시크 접속을 차단했다. 또 경찰, 고위공직자범죄수사처 등 주요 기관과 지방자치단체, 시중은행 등도 딥시크 사용 금지에 동참했다.

이탈리아는 아예 앱 스토어에서 딥시크 앱을 차단해 다운로드를 원천 봉쇄했으며, 영국과 프랑스 등은 딥시크에 개인정보 유출 등을 우려하는 질의서를 보내거나 내부적으로 규제 필요성 검토에 돌입했다. 일본과 대만, 호주 등도 정부 소유 기기에서 딥시크 접속 및 설치·사용을 금지하고 나섰다.

미국에서는 딥시크 사용 금지를 법제화하려는 움직임까지 포착된다. 미 연방 하원 정보위원회 소속 대런 라후드 의원과 조시 고트하이머 의원은 딥시크의 AI 챗봇 앱을 정부 기관 기기에서 사용하지 못하도록 하는 내용의 법안 발의를 앞두고 있다. 해당 법안이 통과하면 연방정부 기관은 딥시크는 물론 딥시크의 모회사 하이플라이어가 개발한 모든 앱을 정부 기기에서 제거해야 한다. 현재 미국에서는 해군과 항공우주국(NASA) 등 일부 연방 기관이 딥시크 접속을 차단했으며, 텍사스주에서도 딥시크 접근을 막고 있다.

틱톡→딥시크, 중국발(發) 보안 이슈 현재진행형

각국 주요 빅테크들이 일제히 생성형 AI를 선보이는 가운데 유독 딥시크에 대한 경계의 목소리가 높은 것은 해당 서비스의 기술적인 부분과 관련이 있다. 일례로 지난 1월 28일 딥시크 앱에는 대규모 사이버 공격이 발생해 서비스를 일시적으로 중단하는 사태가 벌어졌다. 이 과정에서 딥시크가 자사 데이터 관리용 오픈소스 데이터베이스 관리 시스템(DBMS)의 보안을 소홀히 하고, 인증 절차 없이 누구나 접근 가능한 상태로 방치했다는 사실이 드러났다.

업계는 해당 사이버 공격으로 100만 건 이상의 채팅 기록과 API 키, 서버 내부 파일 등이 유출됐을 것으로 추정했다. 뉴욕 기반 사이버 보안업체 위즈(Wiz) 연구팀은 “포트 8123/9000을 통해 SQL 쿼리로 딥시크 내 민감 정보 추출이 가능했다”고 밝혔다. 그러면서 “(딥시크는) 급격한 성장은 이뤘을지 몰라도, 보안 인프라 투자에는 주의를 기울이지 않았다”고 비판했다.

중국의 통신보안 법체계 또한 보안에 대한 우려를 키우는 요소다. 중국의 데이터보안법은 “핵심 정보 기반 시설 운영자가 수집하거나 생성한 중요 데이터는 반드시 국내(중국)에 저장해야 한다”고 명시하고 있다. 중국 당국이 국가안보를 이유로 해당 데이터를 요구할 경우, 기업은 이를 거부할 수 없는 구조다. 딥시크가 과거 틱톡의 사례처럼 중국의 국가 이익에 유리한 방식으로 영향력을 행사하거나, 미국을 비롯한 해외 주요국의 광범위한 데이터 수집을 위한 ‘트로이 목마’일 수 있다는 의혹이 제기되는 배경이다.