유해 콘텐츠 차단 실패율이 100%
딥시크 정보보안은 '낙제점' 평가
"AI 기본법 시행령에 보안 고려를"
"영향력 과대평가하면 기술 퇴보"
중국 스타트업 기업 딥시크가 지난달 공개한 인공지능(AI) 모델을 통한 개인정보 유출 우려가 커지고 있다. 로이터 연합뉴스
아무리 복잡한 알파벳·숫자·특수기호 조합이라도 익숙한 비밀번호는 자신만의 리듬으로 빠르게 입력한다. 이렇게 사용자가 인터페이스에 입력하는 동작에서 나타나는 특성을 '키스트로크 패턴'이라고 부른다. 이를 분석하면 개인을 식별할 수 있기에 극히 민감한 정보로 분류된다. 인공지능(AI) 산업 생태계에 파장을 일으키고 있는 '딥시크'는 키스트로크 패턴을 자동으로 중국 서버에 저장한다. 데이터를 보안화했다지만, 언제 어떻게 활용될지 알기 어렵다.
5일 업계에 따르면 딥시크의 정보보호 취약성에 대한 우려가 커지고 있다. 미국과 유럽 주요 정부 기관에선 딥시크 접속을 막았고, 대만, 호주, 이탈리아에선 전면 차단했다. 국내에서도 일부 부처와 공공기관이 딥시크 접속을 제한했고, 카카오와 LG유플러스 등 기업들 역시 딥시크 사용을 금지하기 시작했다.
그래픽=송정근 기자
딥시크는 높은 가성비와 파급력에 비해 보안 성능이 저조하다는 평가가 나온다. 글로벌 보안기업 시스코가 미국 펜실베이니아대 연구진과 테스트한 결과, 딥시크는 50가지 안전성 검사를 단 하나도 막아내지 못했다. 딥시크로 유해 콘텐츠나 범죄 프로그램을 만들고 데이터 유출을 유도해도 차단할 수 있는 기능이 없는 것이다. 차단 실패율은 딥시크가 100%, 라마 96%, 챗GPT 86%, 제미나이 64%, 클로이드 36%, o1 26% 순으로 분석됐다. 이미 딥시크는 지난달 글로벌 보안 스타트업 위즈로부터 100만 건 이상의 데이터가 유출됐다는 지적을 받아 수정한 바 있다.
AI 발전에 맞춰 데이터 가이드라인이 뒤따라야 한다는 목소리가 그래서 나온다. 앞서 과학기술정보통신부는 지난달 15일 AI발전과 신뢰 기반 조성 등에 관한 AI 기본법 하위법령 정비단을 출범하고 제정에 속도를 내기로 했다. 최민석 AI안전연구소 실장은 "딥시크가 광범위하게 수집한 데이터를 쉽게 중국으로 가져가고 중국 법을 적용한다는 건 우려할 만하다"고 말했다.
김진욱 법무법인 주원 변호사(개인정보보호위원회 위원)는 "현재는 정보 유출에 따른 실제 금전적 피해가 확인돼야 강제 실태점검 같은 사후 조치가 가능하다"며 "딥시크를 통해 수집된 개인정보 또한 보이스 피싱, 로맨스 스캠 등에 활용될 수 있다는 의혹이 있는 만큼, 정보보호 수준이 높지 않은 국가에는 현지 사무소를 개설하는 등 정부 차원의 대응이 필요하다"고 강조했다.
그래픽=송정근 기자
하지만 섣부른 규제가 AI 산업의 자율적 발전을 저해할 것이란 시각도 많다. 오히려 딥시크의 영향력을 과대평가하는 게 산업계의 발목을 잡을 수 있다는 우려다. 유회준 한국과학기술원(KAIST·카이스트) 전자전산학과 교수는 "산업 진흥이 아닌 보안을 위한 시행령은 오히려 기술 퇴보를 가져올 수 있다"고 진단했다.
딥시크를 계기로 AI에서 보안의 중요성은 한층 커질 전망이다. 보안 성능이 사용자의 신뢰를 높여 양질의 데이터 축적으로 이어질 것이란 뜻이다. 김승주 고려대 정보보호대학원 교수는 "사용자는 보안 규정을 꼼꼼히 따지고, 오픈소스를 활용하는 개발사엔 보안 책임이 따르고, AI 개발 인력엔 보안 전문가 비중이 늘게 될 것"이라고 예상했다.
관련 이슈태그
기사 URL이 복사되었습니다.
댓글0