딥시크 위험성과 사이버 안보 중요성[포럼]

이경호 고려대 정보보호대학원 교수

정부 부처와 금융권이 중국 인공지능(AI) 딥시크 접속을 차단하기 시작했다. 해외에서는 호주와 이탈리아, 미국 해군 등에서 딥시크의 이용을 막았다. 국가정보원은 생성형AI 활용 시 보안 주의사항이 담긴 지침을 각 부처에 전달했으며, 이를 사용할 때 내부 정보와 개인정보를 입력하지 말라고 명시했다. 딥시크 약관에 따르면, 서버는 중국에 있고 사용자의 프로필은 물론 키보드 입력 패턴까지 추가로 수집한다.

게다가 ‘동북공정’ ‘김치’ ‘단오절’에 대한 질문을 하면 언어별로 다른 답변을 한다고 한다. 김치의 원산지를 묻는 중국어 질문에는 ‘원산지는 한국이 아닌 중국’이라고 한국어 답변과는 다른 답을 내놨다. 챗GPT와 같은 생성형AI 서비스가 출시됐을 때 이미 개인정보와 기업의 영업비밀 수집 가능성 때문에 한바탕 소란을 겪었는데, 이번엔 중국 변수와 자국 중심의 지식에 따른 답변 등이 새로운 우려를 낳고 있다.

2017년 중국은 국가정보법과 사이버보안법을 시행하면서 기업에 대해 정부 수사 등에 협력해야 하는 의무를 부과했다. 2021년 시행된 데이터보안법과 개인정보보호법 역시 중국 내에서 운영되는 기업이 정부가 요청하는 경우 데이터를 제공하도록 하고 있다. 딥시크는 현재 연구용으로 서비스되며 소스코드를 공개했다. 아직 상용화 계획이 없어 소비자용 기술에 대한 중국 정부 통제를 준수하도록 요구하는 AI 규정의 가장 엄격한 조항은 적용되지 않는다. 그러나 중국의 재외국민과 외국 단체에 모두 적용되는 검열 정책과 데이터 수집 관행에 따른 관리 범위 안에 있다.

일반적으로 생성형AI 서비스에 대한 신뢰를 구축하기 위해 구축 및 운영에 대한 절차적 투명성, 이용자의 기대에 따른 품질 지속성, 개인정보 보호와 정보보안에 대한 신뢰성, 언제라도 다른 서비스로 이전 가능한 종속되지 않을 권리보장, 이용 시 경제성 등을 보장하기 위해 최선을 다해야 한다. 그러나 딥시크의 이용 환경과 중국 당국의 규제는 우려와 의심이 가득하다. 또한, 생성형AI는 학습하는 데이터에 종속된 답변을 하게 돼 있는데, 중국어 버전에는 논란이 되는 자국 중심의 결과를 내도록 학습한 상황이며 자국의 정책과 자원에 대한 독립적인 통제권을 적용한 소버린AI의 사례로 볼 수 있다.

딥시크가 기존 생성형AI 서비스에 대비해 저비용·경량화 가능성을 입증했고, 국내 AI 업계에 새로운 기회를 만들어 준 것은 긍정적이다. 손쉽게 모바일 환경에서 이용 가능하며 누구라도 편리하게 극적으로 향상된 생산성을 맛볼 수 있다. 그러나 순식간에 대량의 정보가 업로드되는 환경에서 악용 여지를 배제할 수 없다. 과거 수많은 유출 사고의 경험이 있기에 불안하기 짝이 없는 것이다. 민간의 AI 활성화에 대비해 민감한 정보의 통제는 함께 이뤄져야 한다.

이와 함께 정부와 공공 영역에서의 이용은 더욱 주의가 필요하다. 사이버안보기본법이 정비돼 거대 AI 시대의 거침 없는 확장과 치열한 AI 패권 경쟁에서 우리의 사이버 공간을 안전하고 신뢰할 수 있도록 방향을 잡아 주는 것이 절실하다. 이는 우리만의 소버린AI 등 국가 AI 전략도 가시화하고 그동안 축적한 데이터에 대한 보호가 함께 이뤄지는 지혜로운 길의 토대가 될 것이다.