'AI 충격' 딥시크, 정보 유출 우려로 사용금지 속출

중국이 최근 선보인 생성형 인공지능(AI) '딥시크(deepseek)'가 저비용·고효율 모델로 전 세계적으로 주목을 받았지만 세계 각국에서 정보 유출 우려로 사용을 금지하는 등 논란이 이어지고 있다.

우리나라에선 정부 부처와 기관들이 외부 네트워크와 연결된 컴퓨터에서 딥시크 접속을 제한했고, 주요 기업들도 업무 용도로 사용하지 말라고 직원들에게 권고하고 있다.

호주, 일본, 대만 등도 비슷한 상황이다. 정부 소유 기기에서 딥시크 사용을 금지했다.

현재로선 딥시크를 통한 정보 유출은 그럴만한 정황이 있다는 정도로 구체적인 유출 사례가 밝혀진 적은 없다. 따라서 국내외의 이런 대응은 '딥시크 포비아'라고 할 수도 있다.

하지만 그동안 중국산 애플리케이션과 통신 기기, 전자 제품 등을 둘러싼 각종 정보 유출 논란이 적지 않았다는 점을 고려하면 이번 '딥시크 금지' 조치를 과민반응으로만 보기는 어렵다는 지적도 나온다.

◇ '미국서 인기몰이' 틱톡도 정보 유출 우려 제기돼

중국의 동영상 공유 플랫폼 '틱톡'은 미국에서 돌풍을 일으키기 시작한 시점부터 틱톡을 둘러싼 논란이 일었다. 이는 크게 '틱톡이 콘텐츠를 검열하고 있다'라거나 '틱톡의 사용자 정보가 중국 정부로 넘어간다'는 의혹으로 나뉜다.

틱톡의 모회사인 중국의 바이트댄스가 2017년 11월 소셜미디어 플랫폼 '뮤지컬리'를 인수한 후 이듬해 10월 이를 틱톡으로 통합한 뒤 미국 시장에서 본격적으로 인기를 끌었다.

틱톡의 북미 이용자 수는 2018년 1천200만명, 2019년 4천900만명으로 4배로 불어난 데 이어 2020년엔 8천200만명으로 급증했다.

이런 급성장 속에서 미국에서는 일찌감치 틱톡의 검열 우려가 제기됐다. 워싱턴포스트(WP)는 2019년 11월 5일자 뉴스에서 틱톡에서 근무했던 미국 직원들이 특정 비디오를 차단하지 말라고 요구했지만 번번히 거부당했다고 전했다.

또한 중국 정부가 검열한 내용이나 사회적·정치적 주제를 다룬 콘텐츠를 삭제하라는 내용의 틱톡 중국 본사의 규칙을 따를 것을 지시받았다는 주장도 제기됐다.

호주의 싱크탱크 호주전략정책연구소(ASPI)는 2020년 보고서 '틱톡과 위챗'에서 틱톡의 미국인 사용자 정보가 중국으로 넘어갈 가능성을 심도 있게 다뤘다.

보고서에 따르면 틱톡 운영 초기에 실제로 정보가 중국으로 전송돼 처리된 바 있고, 바이트댄스 측도 이를 인정했다.

틱톡은 이후 미국인 사용자 정보에 대한 중국 측 접근을 차단하겠다고 공언했지만, 보고서는 2017년 발효된 중국의 국가정보법을 근거로 틱톡이 현실적으로 이 약속을 지키기 어려울 것으로 봤다.

국가정보법 제7조에서 '모든 조직과 국민은 모두 법에 따라 국가정보업무를 지지·협조·호응해야 한다'고 규정하고 있기 때문이다.

이에 따라 중국 정부가 틱톡에 사용자 정보를 요구하면 틱톡은 이에 응할 수밖에 없고 또한 이런 정보 제공 사실을 대외적으로 알리는 것도 금지된다고 보고서는 설명했다.

보고서에서 언급되지 않았으나 중국의 사이버보안법에도 유사한 규정이 있다. 이 법의 제28조는 '네트워크 운영자는 공안기관과 국가안전기관이 국가 안보를 유지하고 범죄 수사를 수행하는 활동을 법에 따라 지원하고 협조해야 한다'고 명시했다.

중국의 정부 기관이 국가 안보 또는 범죄 수사를 명목으로 기업에 사용자 정보를 요구할 수 있는 근거가 된다고 볼 수 있다.

ASPI의 보고서는 부록에서 바이트댄스와 중국 공산당과 연계도 상세히 다뤘다.

이에 따르면 바이트댄스는 2017년 4월 사내에 '중국 공산당 위원회'를 설치했다. 이는 '중국 공산당 당장(黨章)'에 따른 조치로 공산당 당헌에 해당하는 당장엔 민간 기업에도 당 하부 조직을 두게 돼 있다.

바이트댄스의 당 위원회는 당에 충성을 맹세하거나 당의 이념에 복무하겠다는 행사나 회의를 개최했다.

바이트댄스와 중국 공산당과 연계는 법 집행기관과의 협력으로도 이어졌다.

월스트리트저널(WSJ)은 2019년 6월 29일자 기사에서 사안에 정통한 소식통을 인용해 바이트댄스의 베이징 사무실에 중국 경찰 사이버보안팀이 상주하고 있다고 보도했다.

소식통에 따르면 바이트댄스가 플랫폼에서 테러와 같은 범죄 혐의가 있는 콘텐츠를 발견하면 사이버보안팀에 알리고 관련 사용자 정보도 제공하는 것으로 전해졌다.

◇ 미국 내 서버에 저장한다지만…중국 전송 의혹 여전

틱톡의 미국인 사용자 정보가 중국으로 전송된다는 의혹은 이후에도 이어졌다.

버즈피드뉴스는 2022년 6월 18일 기사에서 유출된 틱톡 내부 회의 녹음 자료를 토대로 이 문제를 심도 있게 보도했다.

미국 정부가 사업체 매각 등을 운운하며 압박하자 틱톡은 미국인 사용자 정보를 미국 기업인 오라클 서버에 저장하고 이런 정보에 대한 외부 접근을 통제하겠다고 약속했다.

이는 '프로젝트 텍사스'라고 불린다. 버즈피드뉴스는 이 프로젝트로 보호되는 미국인 사용자 정보는 일부에 불과하고, 중국 정부가 마음만 먹으면 이런 정보 대부분을 '데이터 브로커'들로부터 사들일 수 있다고 지적했다.

게다가 정보가 오라클 서버에 저장된다고 하더라도 중국에서 근무하는 바이트댄스 직원들이 해당 정보에 여전히 접근할 수 있다는 지적도 제기됐다.

1년 6개월 후인 2024년 1월 30일자 WSJ의 뉴스에 따르면 '프로젝트 텍사스'의 실효성에 대한 불신은 여전히 해소되지 못했다.

WSJ은 이 프로젝트에 참여한 전·현직 직원과 내부 문서를 인용해 틱톡이 미국인 사용자 정보를 바이트댄스와 공유하고 있다고 보도했다.

틱톡이라는 앱 자체엔 정보 유출 가능성이 없을까.

캐나다 토론토대의 사이버보안 연구소 시티즌랩의 2021년 보고서 '틱톡 대 더우인'에 따르면 틱톡과 더우인 모두 멀웨어(악성 소프트웨어)와 같이 명백히 악의적인 행동을 보이지 않는 것으로 나타났다. 더우인은 중국판 틱톡을 말한다.

시티즌랩이 분석한 결과, 두 앱 모두 사용자의 허락 없이 연락처를 수집하거나 사진, 오디오, 동영상, 지리 위치를 기록하거나 전송하는 행위는 관찰되지 않았다.

단, 바이트댄스가 공통 코드에 기반해 틱톡과 더우인을 개발했는데, 틱톡엔 더우인을 위해 작성된 일부 코드가 포함돼 있어 틱톡이 보안 및 검열 문제에서 완전히 벗어나 있지 않다고 보고서는 지적했다.

더우인은 서버 측 검열 등 국제적으로 '부적절하다'고 평가되는 기능을 탑재하고 있다.

◇ "중국 공산당이 광범위한 정보 조작" 주장도 일각서 제기

호주 싱크탱크 ASPI가 지난해 내놓은 보고서 '중국 특색의 진실과 현실'은 중국 공산당의 '정보 캠페인'이라는 큰 그림에서 정보 유출 우려를 다루고 있다.

정보 캠페인은 정보에 영향을 주거나 정보를 교란, 손상, 조작하고, 이런 정보를 의도적으로 대규모로 유포하기 위해 표적화되고 조직화한 정보운영 계획을 말한다.

보고서는 중국 공산당이 기존의 미디어뿐 아니라 전자상거래, 가상현실, 게임 등 신기술까지도 활용해 중국에 우호적인 가치관과 현실 인식을 만들어내려 한다고 지적했다.

이런 정보 캠페인을 주도하는 구체적인 조직도까지 제시했다. 이에 따르면 중국 공산당의 '중앙 선전사상문화공작 영도소조'가 당의 선전 업무를 총괄하는 최고기구이고, '중국 공산당 중앙위원회 선전부'가 중국의 미디어와 출판 산업을 감독하며, '국가인터넷정보판공실'이 사이버 콘텐츠를 관리한다.

보고서는 특히 중국계 온라인 쇼핑 플랫폼 테무와 중국 인민일보 계열의 데이터 관리회사인 인민데이터베이스(인민DB)와 연계를 사례연구로 제시했다.

이에 따르면 인민DB는 파트너 기관들의 데이터를 한데 모아 데이터 활용방식을 개선하는 것을 목표로 삼고 있다.

인민DB의 파트너 기관엔 국방부, 교육부, 교통운수부 등 정부 부처뿐 아니라 국영·민간기업도 포함된다. 그중엔 테무를 자회사로 둔 핀둬둬가 있다.

보고서에 따르면 핀둬둬와 인민DB와 공유하는 데이터가 어떤 유형인지는 확인되지 않지만 테무에서 생성된 데이터가 포함됐을 가능성이 있다. 이는 테무의 개인정보 보호정책에서 사용자 정보가 모회사, 자회사 및 계열사와 법 집행기관, 정부 당국 등과 공유될 수 있음을 명시하고 있기 때문이다.

테무가 소비자 선호도를 보여주는 여러 데이터를 저장하고 있어 이런 테무의 데이터가 특정 국가, 특정 언어 사용자 집단, 특정 지역에 초점을 맞춘 맞춤형 선전에 활용될 수 있다고 보고서는 우려했다.

보고서는 결론에서 "세계 각국이 틱톡발 위험을 관리하는 데 지나치게 집중하고 있다"며 이런 대응으로는 "중국의 선전 시스템과 핵심 기반 기술에 대한 대규모 투자가 야기하는 근본적인 문제에 대처하지 못한다"고 지적했다.

◇ 중국산 통신·전자제품에서도 정보보안 문제 제기돼

하드웨어 영역으로 시선을 넓히면 중국산 제품에 대한 '포비아'는 더 오래된 역사가 있다.

대표적인 사례가 중국 화웨이의 통신장비에 대한 보안 우려다. 이는 2012년 10월 미국 하원 정보위원회의 보고서가 발단이 됐다.

보고서는 "화웨이와 ZTE가 미국의 핵심 인프라에 장비를 제공하면 미국의 안보 이익을 침해받을 수 있다"고 결론을 내렸다.

화웨이와 또 다른 중국 통신장비 업체인 ZTE가 자사 장비를 이용해 첩보 활동을 벌이거나 전산망을 통해 미국의 핵심 정보 체계를 위협할 수 있다고 지적했다.

단, 이들 회사의 장비가 실제로 스파이 행위에 사용됐다는 구체적 증거를 제시하지는 않았다.

하지만 중국이 2017년 국가정보법을 제정하면서 중국산 제품에 대한 보안 우려는 더욱 커졌다. 이 법의 제17조에서 국가정보업무 수행자가 기관, 조직, 개인의 통신수단에 정보업무 관련 설비와 시설을 설치할 수 있다고 규정하고 있기 때문이다. 이는 중국 정부가 유사시 화웨이 장비에 도청·감시장치를 설치할 수 있다는 뜻으로 해석됐다.

미국은 2018년 동맹국들에 화웨이 장비의 사용 금지를 요청했고 상당수 동맹국이 이에 동참하면서 '반화웨이 정서'가 확산했다.

미국은 2020년에 우리나라에도 5세대(5G) 이동통신 등 첨단기술 분야에서 화웨이 등 중국 제품을 사용하지 말아 달라고 요청했다. 당시 LG유플러스가 화웨이 장비를 사용하고 있었다.

최근엔 중국산 사물인터넷(IoT) 제품으로까지 정보 보안 우려가 퍼지고 있다.

외신에 따르면 지난해 8월 세계 최대 해킹대회 '데프콘'에서 중국 유명 로봇 제조사인 에코백스의 로봇청소기와 잔디깎이 제품이 스마트폰만으로 해킹될 수 있음이 입증됐다.

당시 보안연구원들이 스마트폰을 이용해 약 130ｍ 떨어진 곳에서 블루투스로 로봇청소기에 접속한 뒤 이 제품에 장착된 마이크와 카메라를 임의로 켜고 끄는 데 성공했다고 발표했다.

산업팀 press@jeonpa.co.kr