※ 본 기고는 당사와 법률자문·정보보호 서비스 상호협력 MOU를 체결한 법무법인(유) 화우에서 작성하였습니다.
※ 외부 필자의 기고 및 칼럼 등은 이글루코퍼레이션 콘텐츠의 편집방향과 일치하지 않을 수 있습니다.

AI를 둘러싼 국가들의 패권 경쟁은 나날이 그 열기를 더해가고 있다. 그 경쟁의 가장 앞선 선두주자는 단연 미국이다. 영국 언론기관인 토터스미디어가 발표한 ‘2024년 글로벌 AI인덱스’에 따르면, 미국은 AI 국가역량에서 1위를 차지하며, 2위인 중국과 그 점수 차이도 크다. 이러한 미국의 AI 역량은 막대한 투자가 뒷받침하고 있다. 2024년 6월 발간한 한국지능정보사회진흥원의 「글로벌 정부ㆍ민간 분야 AI 투자 동향 분석」에 따르면, 미국 정부의 AI 산업 투자는 2020 ~ 2023년 평균 24.1억 달러로 세계에서 가장 높은 점유율인 27%를 차지하고, 미국 민간에서의 투자는 1,108억 달러로 전 세계 민간 AI 투자의 62%를 차지하여 압도적으로 1위를 달리고 있다(2위인 EU는 8%, 3위인 중국은 7%에 그친다).

그런데 최근 중국에서 2023년부터 발표된 Deepseek(深度求索, 심도구색, 딥시크)는 AI 경쟁에서 절대 우위를 자랑하던 미국에 큰 충격을 안겨주었다. 미국의 AI 모델들에 비해 투자한 비용은 훨씬 적음에도 이와 경쟁할 수 있는 수준의 성능이라는 것이 드러났기 때문이다. 2024년 12월 발표된 Deepseek-V3 모델은 개발비용이 557만 달러(한화 약 80억 원)에 불과하다고 발표되었는데, 이는 1억 달러 (한화 약 1,440억 원) 이상이 투입된 것으로 알려져 있는 ChatGPT 4o 대비 약 5% 수준에 불과하다. 그리고 2025년 1월에 공개된 R1 모델은 높은 추론 능력으로 무장했음에도 무료로 이용이 가능하여 미국 앱스토어에서 앱 다운로드 1위를 차지하는 등 큰 인기를 끌었다(다만, Deepseek의 특이한 저비용 개발비는 과장이 크다는 주장도 제기되고 있다). 우리나라 사람들도 Deepseek를 이용하는 사람 수가 늘어, 앱 분석 서비스 모바일 인덱스에 따르면 Deepseek 앱의 우리나라 일일 이용자 수(DAU)는 앱스토어와 구글 플레이 합산하여 2025. 1. 28. 약 20만 명 정도로 나타났다.

그러나 이런 Deepseek는 과연 이용자의 데이터 안전이 확보되는가에 대한 우려를 불러일으켰다. 생성형 AI 서비스에 대한 데이터 보안 문제는 자주 거론되지만, Deepseek는 중국 기업의 서비스이고, 해당 AI 모델 이용 시 입력하는 각종 데이터는 중국에서 처리될 것인데, 중국은 미국ㆍEU 등 서구권보다는 정보보호 제도가 미흡하다는 것이 세간의 인식이기 때문이다.

이런 우려에 부채질하듯, 우리나라 정부 부처들과 각종 기관ㆍ기업들은 Deepseek에 대한 주의ㆍ차단 조치를 속속 발표하기 시작했다. 행정안전부는 2025. 2. 3. 모든 정부 부처와 지방자치단체에 생성형 AI 사용 시 민감정보를 입력하지 않도록 하라는 공문을 발송했는데, 비록 Deepseek를 직접 언급하지는 않았지만 시기상 Deepseek를 의미하는 것처럼 보인다. 또한, 산업통상자원부ㆍ국방부ㆍ외교부는 2025. 2. 5. 선제적으로 Deepseek 접속 차단 조치를 발표하였고, 공정거래위원회도 그다음 날인 2025. 2. 6. 개인정보와 민감정보의 처리와 관련된 약관이 명확히 확인될 때까지 Deepseek를 차단한다고 밝혔다. KB금융지주ㆍKB국민은행ㆍ수출입은행ㆍ토스뱅크도 모두 Deepseek를 접속차단한 상태이며, 서울대학교도 2025. 2. 13.부로 학내 유선 인터넷 프로토콜(IP) 이용자의 Deepseek 접속을 차단하였다.

이러한 우려는 특히 개인정보 분야에서 두드러지게 나타났다. Deepseek가 공개한 개인정보 정책에 따르면 Deepseek는 AI 모델 학습을 위해 기본 신상정보는 물론이고 IP 주소, 앱 활동 정보, 키보드 입력 패턴 등까지 모두 수집하여 중국에서 처리한다고 밝히고 있는데, 중국 정부에서 이렇게 처리되는 정보를 열람 가능하다는 주장이 제기되면서 Deepseek 이용자들의 개인정보가 제대로 보호될 수 있느냐 의문이 지속적으로 제기되었다.

이에 우리나라 개인정보 관련 규제 기관인 개인정보보호위원회(이하 ‘개인정보위’)는 2025. 2. 7. 보도자료를 내고 즉각 대응에 나섰는데, Deepseek 개발 기업 본사에 개인정보 처리 절차에 대한 질의서를 공식 송부하는가 하면, 해당 AI 모델의 개인정보 처리 방침 등을 검토하고 유관 부처와 기술분석을 실시한다고 밝혔다. 그뿐만 아니라, Deepseek의 서비스 범위는 전 세계인만큼, 해외 규제 기관인 ICO(영국), CNIL(프랑스), DPC(아일랜드) 등과 공동 대응방안을 협의하고 있다고 발표하였다. 특히, 보다 장기적인 관점에서 생성형 AI의 이용이 늘어가는 추세에 따라 개인정보 보호 관점에서 생성형 AI 이용을 안내하는 정책자료 제작을 추진할 계획이다.

이처럼, 생성형 AI의 국내 이용자 수가 폭증하면서 관련 서비스 이용 시 개인정보가 제대로 보호되는가에 대한 관심ㆍ우려도 점차 증가하고 있다. 방송통신위원회의 「2023년 지능정보사회 이용자 패널조사」에 따르면, 우리나라 국민의 12.3%가 생성형 AI를 이용해 본 경험이 있는데, 이는 2년 전인 2023년 조사 결과라는 점에 비추어 볼 때 생성형 AI 국내 이용자가 상당히 많다는 점을 알 수 있다. 또한, 생성형 AI를 이용하지 않는 이유로는 57.3%가 ‘개인정보가 유출될 것 같아서’라고 답하여 생성형 AI와 개인정보 보호 문제는 떼려야 뗄 수 없는 이슈로 볼 수 있다.

개인정보위는 이미 대표적인 생성형 AI인 ChatGPT를 서비스하는 OpenAI사에 대해 2023. 7. 26. 개인정보 안전조치 미흡에 대해 개선권고를 내리고, 유출통지ㆍ신고 지연에 대해 과태료를 부과한 바 있다(개인정보위 의결 제2023-013-157호). 이에 개인정보위는 OpenAI사에 대해 국내 「개인정보 보호법」 준수 및 이행 여부를 지속적으로 점검ㆍ확인하기로 하였다. 또한, 개인정보위는 대규모 언어모델인 LLM을 개발ㆍ배포하거나 이를 기반으로 AI 서비스를 제공하는 구글, MS, 메타 등 6개 사업자에 대해서도 사전 실태점검을 실시하여 2024. 3. 27. 개인정보 보호 취약점을 보완하도록 개선 권고를 의결한 바 있다.

이러한 개인정보위의 선제적 움직임은 생성형 AI 이용의 국내 확산과 개인정보 보호 우려에 대한 균형점을 찾기 위한 노력으로 평가되지만, Deepseek에 대해서도 효과적인 조사ㆍ감독을 진행할 수 있을지는 아직 넘어야 할 난관이 많다.

많은 어려움이 있겠지만, 가장 큰 난관은 개인정보 보호에 대한 법제 차이일 것이다. EU 기관인 EU 개인정보보호이사회(European Data Protection Board, EDPB)가 2021년 11월 공개한 ‘Government access to data in third countries’ 보고서에 따르면, 중국의 프라이버시 법제는 공동체의 안정이 개인의 필요에 우선한다는 점을 전제하고 있다고 명시한 바 있고, 국정원의 발표에 따르면 중국 정부는 Deepseek에 저장된 데이터는 중국 법률에 따라 요청이 있을 시 중국 정부로의 데이터 제공이 이루어지도록 하고 있다. 이렇듯, 개인의 정보보호를 최우선으로 하고, 예외적인 경우에만 정부가 데이터를 입수하도록 허용하는 우리나라 개인정보 법제와 중국의 개인정보 법제는 크게 다르므로 중국의 기업과 우리나라 개인정보위의 인식 간극을 메우기는 어려울 것이다. 그리고 그런 간극이 있는 이상 조사ㆍ감독에 대한 협조를 끌어내기도 쉽지 않을 것으로 보인다.

개인정보위가 지금까지 생성형 AI의 개인정보 보호 우려를 잠재우기 위해 많은 노력을 해왔고, 이러한 발걸음에 맞추어 Deepseek에 대한 대응도 신속하게 진행하여 왔지만, 이번 감독 업무는 어떻게 진행될지 그 귀추가 주목된다. 한편, 개인정보위가 개별 이용자들을 위해 정책자료를 마련하겠다고 밝혔는데, 이는 분명 도움이 될 것으로 보인다. 개별 이용자들이 생성형 AI를 이용하는 것 자체를 막을 수는 없지만, 개인정보를 보다 더 신경 쓰며 안전하게 이용할 방법을 이용자들에게 알릴 수 있다면, 무엇인가 거창한 정책 추진 없이도 아주 효과적으로 이용자들의 개인정보를 보호할 수 있을 것이기 때문이다.