24일 개인정보보호위원회가 발표한 ‘딥시크 사전 실태점검 결과'에 따르면 딥시크는 서비스를 시작한 올해 1월15일부터 서비스를 중단한 2월15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국 내 회사 1곳 등 총 4개사에 이전했다. 이전 과정에서 이용자로부터 국외 이전에 대한 동의를 얻는 과정은 없었다. 개인정보처리방침에도 관련 내용은 공개되지 않았다.
중국어와 영어로 된 처리방침에는 개인정보 파기 및 절차 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다.
딥시크는 이용자의 기기정보, 네트워크 정보, 앱 정보 외에도 이용자가 프롬프트에 입력한 입력어도 중국 회사 중 1곳인 ‘볼케이노’에 전송하고 있던 것으로 드러났다. 이 업체는 중국 SNS ‘틱톡’의 모회사인 ‘바이트댄스’의 계열사다.
딥시크는 이용자 동의 없이 볼케이노에 이용자의 정보를 이전한 사실을 인정했다. 다만 보안 취약점과 이용자 인터페이스(UI)·경험(UX) 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 설명했다. 딥시크는 점검 과정에서 빠뜨렸던 국외이전 관련 법령 사항을 새롭게 마련한 한국어 처리방침에 포함해 개인정보위에 제출했다.
개인정보위는 또 볼케이노로 이전한 이용자의 입력어 내용을 즉각 파기할 것을 시정권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다.
딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이 경우 시정 및 개선 권고에 대한 이행 결과는 60일 이내에 개인정보위에 보고해야 한다.
앞서 딥시크는 지난 1월15일 국내 시장에 출시됐으나 과도한 개인정보 수집 논란에 휩싸이며 개인정보위 실태점검이 시작되자 한국의 개인정보보호법 준수에 소홀했다는 점을 인정하고 점검에 협력하겠다고 밝혔다. 또 국내 앱 마켓에서 신규 다운로드 서비스를 잠정 중단했다.
개인정보위는 딥시크의 국내 서비스 재개 시점은 밝히지 않았다. 다만 딥시크 측이 개인정보위의 지적사항을 대부분 개선했다고 밝힌 만큼 곧 국내 서비스를 다시 시작할 것으로 전망된다.
권민지 기자 10000g@kmib.co.kr