딥시크 개인정보 개선 유도…개인정보위, AI 규제모델 부각

생성형 인공지능이 일상에 깊숙이 파고들면서 개인정보 침해 우려가 커지는 가운데, 한국 개인정보보호위원회가 해외 AI 서비스 사업자를 상대로 선제적인 시정과 서비스 잠정 중단까지 이끌어내며 새로운 규제 모델을 제시하고 있다. 중국 기반 생성형 AI 서비스 딥시크를 대상으로 한 이번 조치는 글로벌 플랫폼을 국내 개인정보 보호 규범 안으로 끌어들인 첫 사례로 평가되며, 인공지능 시대 데이터 거버넌스 방향성에 대한 산업계 관심이 커지고 있다. 동시에 위원회는 보이스피싱 탐지 인공지능 개발을 위한 실증 특례를 통해 규제와 혁신의 병행이라는 정책 기조도 드러냈다.

개인정보보호위원회는 정부세종청사에서 열린 2025 적극행정 우수사례 경진대회 본선에서 딥시크 개인정보 처리 실태를 신속히 시정·개선하도록 유도한 성과를 인정받아 최우수상을 수상했다. 딥시크가 출시된 직후인 올해 1월, 전 세계적으로 AI 기반 개인정보 침해 우려가 급격히 커진 상황에서 개인정보위는 딥시크 본사의 직통 연락처를 단기간에 확보하고, 국내 이용자 영향 여부를 중심으로 서비스 구조와 개인정보 처리 행태를 자체 분석했다.

위원회는 분석 과정에서 딥시크의 개인정보 처리 관련 미흡 사항을 확인하고, 문제 해소 시점까지 서비스를 잠정 중단할 것을 권고했다. 글로벌 빅테크에 대한 규제 당국 조치가 주로 사후 제재 위주로 이뤄져 온 것과 달리, 서비스 확산 초기에 개선을 전제로 한 잠정 중단을 요구한 점에서 한층 강도 높은 사전 규제 성격의 조치로 해석된다. 딥시크는 개인정보위의 권고를 수용해 전 세계에서 서비스를 일시 중단한 뒤, 국내법 기준에 맞춰 개선·보완을 마친 후 재개했다.

이번 조치는 특정 국가의 규제 요구가 해당 국가 이용자만이 아니라 전 세계 사용자 보호 조치로 확산된 사례라는 점에서 의미가 크다. 국내 개인정보 보호 규범이 국제 기준 수준 이상으로 평가받는 가운데, 해외 AI 서비스가 초기 단계부터 한국 법령을 준수할 것을 명시적으로 약속한 첫 사례로 기록됐다. 특히 위원회가 서비스 구조를 직접 분석해 개선 과제를 제시하고, 그 이행을 전제로 서비스 재개를 허용한 방식은 향후 다른 글로벌 AI 플랫폼에도 하나의 레퍼런스로 작용할 수 있다는 관측이 나온다.

기술적으로 보면 생성형 AI 서비스는 대규모 언어모델과 이미지·음성 모델이 이용자의 입력 데이터를 기반으로 학습 및 응답을 생성하는 구조를 갖는다. 이 과정에서 대화 내용, 업로드 파일, 음성 기록 등 민감한 정보가 수집되거나 2차 활용될 소지가 상존한다. 특히 국경을 넘는 클라우드 인프라와 혼합 데이터셋 활용 특성 때문에 어느 국가의 어떤 법을 기준으로 보호할지 불명확한 영역이 많다는 점이 규제 사각지대를 키워왔다. 이번 조치는 AI 모델의 성능이나 알고리즘 내부 로직보다, 데이터 수집·보관·이용·제3자 제공 과정에 대한 명시적 설명과 동의 절차 강화, 데이터 최소 수집 및 파기 기준 정립 등 데이터 라이프사이클 전반을 규제의 핵심 축으로 삼았다는 점에서 주목된다.

시장과 산업 측면에서 보면, 글로벌 AI 사업자는 한국과 같이 개인정보 보호 규제가 강한 국가를 기준점으로 내부 정책을 조정할 유인이 커지고 있다. 여러 국가의 요구를 각각 충족시키는 별도 버전을 운영하기보다, 가장 엄격한 규범을 상한선으로 삼아 일괄 조정하는 편이 비용·리스크 측면에서 유리하기 때문이다. 딥시크 사례처럼 특정 규제 당국의 조치가 결과적으로 전 세계 이용자 보호 수준을 끌어올리는 효과를 낳을 수 있다는 분석이 나오는 배경이다.

개인정보위는 적극행정 기조를 인공지능 규제 분야뿐 아니라 디지털 금융 보안 영역에도 확장하고 있다. 2024 적극행정 우수사례 경진대회에서는 인공지능을 활용한 보이스피싱 예방 사업으로 행정안전부장관상을 받았고, 같은 사례가 국무조정실이 주관한 국민이 칭찬한 적극행정 우수사례 국민투표에서도 1위를 기록했다. 보이스피싱 탐지 인공지능 개발을 위해, 실제 범죄에 사용된 목소리라는 민감정보를 탐지 모델 학습 목적으로 활용할 수 있도록 규제 샌드박스 방식의 실증 특례를 허용한 것이 핵심이다.

보이스피싱 탐지 AI는 통화 음성을 실시간 분석해 패턴, 억양, 대화 구조 등에서 범죄 특유의 특성을 찾아내는 기술이다. 금융사기 문장 패턴과 음성 특징을 함께 학습시키면 기존 통신사·금융사의 키워드 필터링 방식보다 탐지 정확도를 크게 높일 수 있다는 평가가 나온다. 다만 이 과정에서 실제 피해자의 음성 데이터 같은 민감정보를 학습 데이터로 사용하는 것이 개인정보 보호 원칙과 충돌할 수 있다는 점이 걸림돌이었다. 개인정보위는 강력한 보안 조치, 데이터 비식별화, 목적 외 이용 금지와 같은 조건을 전제로 특정 기간과 범위 안에서 데이터를 활용하도록 허용해 통신사업자가 보이스피싱 탐지 서비스를 상용화할 수 있도록 지원했다.

국제적으로도 미국, 유럽연합 등에서 AI 규제 체계 정비가 속도를 내고 있다. 유럽연합 AI 법안은 고위험 AI 시스템에 대한 엄격한 데이터 관리와 투명성 의무를 부과하고 있으며, 미국에서는 연방기관 차원에서 AI 시스템의 안전성과 개인정보 보호 기준 마련을 요구하는 행정명령이 잇따르고 있다. 이런 흐름 속에서 한국 개인정보위의 사례는 글로벌 규제 논의에서 데이터 보호와 산업 혁신 간 균형을 모색하는 참고 모델로 작용할 여지가 있다.

개인정보위는 앞으로도 생성형 AI와 같은 신산업 영역에서 적극행정을 통해 규제 사각지대를 줄이고, 동시에 산업 혁신을 저해하지 않는 정책 설계를 이어갈 계획이다. 이정렬 개인정보위 부위원장은 위원회의 적극적인 행정이 국민이 체감할 수 있는 성과로 이어지며 2년 연속 수상으로 이어졌다고 평가하면서, 국민 불편을 선제적으로 해결하는 한편 인공지능 등 신산업 혁신을 지원하는 노력을 지속하겠다고 밝혔다. 산업계는 이번 딥시크 사례를 계기로 인공지능 서비스가 실제 시장에 안착하는 과정에서 개인정보 보호를 둘러싼 규제와 책임의 기준이 어떻게 정교화될지 주시하고 있다.