국내 서비스 일시 중단된 딥시크…보안업계가 본 위험한 이유는?

실시간
뉴스

국내 서비스 일시 중단된 딥시크…보안업계가 본 위험한 이유는?

디지털데일리 발행일 2025-02-17 14:04:21

이상일 기자

URL복사

개인정보보호위원회 남석 조사조정국장이 7일 서울 종로구 정부서울청사에서 딥시크 관련 추진상황 및 향후 대응방향 브리핑을 하고 있다. 2025.2.7 [ⓒ 연합뉴스]

[디지털데일리 이상일기자] 중국 인공지능(AI) 스타트업 ‘딥시크(DeepSeek)’ 앱의 국내 서비스가 지난 15일 오후 6시부터 잠정 중단됐다. 딥시크 서비스는 국내 개인정보보호법에 따른 개선·보완이 이루어진 후 재개될 예정이다.

딥시크에 대한 보안 위험성은 이전부터 지적돼온 바다. 보안 전문가들은 딥시크가 심각한 보안 취약점을 가지고 있으며, 이는 사용자 데이터 보호 및 AI 모델의 안전성 측면에서 심각한 위협이 될 수 있다고 경고하고 있다.

우선 딥시크는 AI 모델에 설정된 가드레일을 우회하는 탈옥(Jailbreaking) 공격에 극도로 취약한 것으로 밝혀졌다. 팔로알토 네트웍스(Palo Alto Networks)의 사이버보안 연구 기관인 유닛42(Unit42)의 조사에 따르면, "딥시크의 탈옥 성공률은 63%에 달하며, 역할극(Role-playing) 기반 공격에서는 그 수치가 83%까지 상승한다. 이는 단순한 프롬프트 조작만으로도 AI가 악성 코드 작성, 사이버 범죄 기법 제공, 불법적인 해킹 툴 개발 등을 수행할 수 있다는 것을 의미한다.

이러한 취약성은 특히 보안 시스템에 딥시크를 도입하려는 기업과 기관에 치명적인 위험 요소로 작용한다. 이미 미국과 유럽에서는 기업들의 AI 도입 시 엄격한 보안 가이드라인을 요구하고 있으며, AI 모델이 악용될 가능성을 사전에 차단하기 위한 보안 조치가 필수적이다.

딥시크의 데이터 처리 방식도 심각한 문제로 지적되고 있다. 연구에 따르면, 딥시크 앱은 사용자 데이터를 암호화 없이 전송하며, 중간자 공격(Man-in-the-Middle Attack)에 쉽게 노출될 수 있다. 또한, 최근 보고된 데이터베이스 노출 사고에서는 API 키와 사용자 정보가 외부에 유출된 사례도 확인되었다. 이는 기업 및 개인 사용자의 데이터가 보호되지 않은 채 중국 서버에 저장될 가능성을 시사한다.

이로운앤컴퍼니의 AI 보안 연구팀은 "딥시크의 허위 정보 생성 위험도는 89%에 달하며, 특히 한국어 기반 공격에서 영어보다 18% 더 높은 취약성을 나타냈다. 이는 한국어 데이터 학습 부족과 다국어 대응 미흡으로 인해 발생하는 문제로, 한국어 사용자가 딥시크를 사용할 경우 더 높은 위험에 노출될 가능성이 크다"는 연구조사를 발표한 바 있다.

특히, 딥시크의 개인정보 보호정책에 따르면 모든 사용자 데이터는 중국의 서버에 저장되며, 중국 정부의 법률에 따라 관리될 수 있다. 중국의 사이버보안법과 국가정보법에 따르면 정부가 필요하다고 판단할 경우 기업이 보유한 데이터를 제공해야 한다. 이러한 법적 환경은 사용자의 개인정보 보호와 관련해 큰 우려를 낳고 있다.

한편 AI 모델이 악용될 경우 유해 콘텐츠를 생성할 가능성이 높아진다. 딥시크는 다른 AI 모델보다 편향적이거나 유해한 콘텐츠를 생성할 확률이 높으며, 기존의 AI 보안 필터를 쉽게 우회할 수 있다. 티오리 AIOS 연구팀에 따르면 "혐오 발언, 범죄 실행 방법, 사이버 공격 기법 등을 생성하는 데 있어 딥시크는 41.7%의 높은 취약성을 보였다"는 분석이다.

딥시크가 중국의 AI 스타트업에서 개발된 만큼, 중국 정부와의 연관성도 보안 업계에서 큰 우려를 낳고 있다. 딥시크의 모델은 공식적으로 오픈소스 모델로 배포되고 있으나, 실제 학습 데이터와 알고리즘의 상세 내용은 공개되지 않았다. 이는 모델이 중국 정부의 검열 시스템과 연결될 가능성이 있음을 시사한다.

폴라리스 오피스 관계자는 "비용이나 기술적 다양성과 함께 보안, 데이터 신뢰성을 모두 고려해 AI 모델을 선정하고 있다. 서비스를 운영하는 입장에서는 사용자의 정보가 보호되는 환경을 유지하는 것뿐만 아니라, 생성된 데이터의 신뢰성과 일관성을 유지하는 것도 중요한 요소이기에 이러한 부분은 장애요인이라고 보고 있다"고 전했다.

또한, 여러 사용자들이 딥시크의 챗봇이 중국 정부를 비판하는 내용에 대해 답변을 거부하거나 검열하는 사례도 발견되고 있다. 이는 중국의 AI 검열 정책이 딥시크에도 적용되고 있음을 보여주며, 해당 모델을 이용하는 사용자는 정치적 민감성이 있는 주제에 대해 제한된 정보를 제공받을 가능성이 크다.

보안업계는 딥시크의 보안 취약점에 대한 경고를 강화하고 있으며, 일부 기관과 기업들은 딥시크의 사용을 제한하는 조치를 취하고 있다. 미 해군과 미 하원은 내부 네트워크에서 딥시크의 접속을 차단했으며, 이탈리아는 우리나라와 같이 딥시크 앱에 대한 다운로드 제한에 나선 상황이다. 유럽 일부 국가에서도 데이터 보호 문제를 이유로 딥시크 사용을 제한하는 방안을 검토 중이다.