중국 인공지능(AI) 스타트업 딥시크 AI(DeepSeek AI)가 보안 설정이 되지 않은 데이터베이스를 인터넷에 노출하면서 100만 건 이상의 민감한 데이터가 외부에 공개되는 사고가 발생했다. 이 데이터에는 사용자 채팅 기록, 비밀 키, 백엔드 시스템 정보, API 인증 키 등이 포함된 것으로 드러났다.
보안 업체 위즈(Wiz)에 따르면, 해당 데이터베이스는 인증 없이 누구나 접근할 수 있는 상태였으며, 데이터베이스 운영을 완전히 통제할 수 있는 권한을 부여하는 구조였다. 연구원들은 이 노출이 악의적인 해커들에게 데이터 유출뿐만 아니라 시스템 내 권한 상승 공격을 가능하게 할 위험이 있었다고 분석했다.
◆인증 없이 접근 가능했던 딥시크 AI 데이터베이스
딥시크 AI의 데이터베이스는 클라우드 상에서 공개된 상태였으며, HTTP 인터페이스를 통해 웹 브라우저에서 직접 SQL 쿼리를 실행할 수 있도록 설정되어 있었다. 이를 통해 해커들은 내부 데이터에 접근할 수 있었을 뿐만 아니라, 데이터베이스 자체를 조작할 수도 있었다.
위즈 연구원은 "AI 서비스의 급속한 확산이 보안 대비 없이 이루어질 경우 심각한 위험을 초래할 수 있다"며 "AI 보안이 주로 미래의 위협에 초점을 맞추고 있지만, 실제 위험은 데이터베이스의 우발적인 외부 노출과 같은 기본적인 보안 문제에서 발생하는 경우가 많다"고 지적했다.
위즈 측의 경고를 받은 후, 딥시크 AI는 문제를 해결했다고 밝혔다.
이번 보안 사고는 딥시크 AI가 최근 겪고 있는 개인정보보호 논란과 맞물려 더욱 큰 파장을 낳고 있다.
딥시크 AI의 서비스는 사용자 채팅 데이터를 수집하고 있으며, 해당 데이터가 중국 내 서버에 저장되고 있다는 의혹이 제기되면서 개인정보보호 문제에 대한 우려가 커지고 있다. 이에 따라 이탈리아 개인정보보호 당국은 딥시크 AI에 대해 사용자 데이터 수집 방식, 출처, 목적, 법적 근거 및 데이터 저장 위치 등을 포함한 정보 제출을 요구했다. 당국은 딥시크 AI에 20일 이내에 답변할 것을 지시했다.
미국에서도 딥시크 AI의 개인정보보호 방식이 국가 안보 문제로 떠오르고 있다. 미국 당국과 전문가들은 이 앱이 미국 사용자들의 데이터를 중국 정부가 접근할 가능성이 있다는 점과, 검열을 강화하는 도구로 활용될 수 있다는 점에 대해 우려를 나타내고 있다.
이번 사고는 AI 서비스가 빠르게 확산되는 가운데 보안 대책이 미흡할 경우 심각한 문제를 초래할 수 있다는 점을 보여준다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[人사이트] 전다형 심투리얼 대표 “합성데이터가 우주·항공 AI 경쟁력 원천”](https://img.etnews.com/news/article/2025/01/30/news-p.v1.20250130.3aa3a16404584bd8a73b967662063318_P1.jpg)