설명절 전후에 튀어나온 딥시크 R1이 전세계를 흔들어 놓은지 불과 한,두주만에 이번에는 온갖 보안, 개인정보 이슈로 전세계가 딥시크를 차단하느라 시끄럽습니다. 짧은 LLM의 역사이지만 그동안 이렇게 큰 이슈가 되고 시끄러웠던 적이 있었던지, 어쩌면 챗GPT 등장보다도 더한 이슈가 되고 있지 않나 하는 생각이 듭니다.
하여, 길지 않은 지난 한, 두주 동안 글로벌 노이즈 메이커로 등극한 중국발 LLM DeepSeek 를 둘러싼 사건사고들을 정리해 볼까 합니다.
---
우선 2025년 1월은 딥시크 R1 의 출시로 기존 LLM 판에 충격이 가해진 것으로 시작됩니다.
2024 5월 7일 딥시크 V1 챗봇 출시
2024 12월 딥시크 V3 발표
2025 1월 20일 딥시크 R1 발표 (V3를 기반으로 추론 능력을 갖춘 LLM)
2025 1월 26일 마크 앤드리슨 "딥시크 스푸트니크 모먼" 발언
2025 1월말 딥시크앱 애플 앱스토어 무료 다운로드 1위
한편, 이와 시기가 겹쳐지면서 딥시크가 오픈소스이고 작동 구조가 속속들이 공개되어 직접 살펴볼 수 있고, 워낙 큰 화제가 되면서 해커들이나 보안기업 등의 관심 대상으로 부상하면서 문제점들도 속속 드러났습니다.
1월 중순 콘텐츠 검열 논란 불거짐
딥시크가 중국에서 개발된 서비스이다 보니, 일부 사용자들은 정치적으로 민감한 질문에 대한 챗봇의 응답이 중국 정부 입장을 대변하거나 아예 답변을 거부하는 현상을 발견함. 일본 사용자가 영유권 분쟁 지역인 센카쿠 열도에 대해 묻자 딥시크는 해당 섬들이 “항상 중국의 고유 영토였다”고 답변해 일본 내에서 파문. 일본 디지털상은 즉각 “딥시크 사용을 자제할 것”을 공무원들에게 권고하며 개인정보 보호위원회 차원의 검토를 시사함.
1월 25일 딥시크 모델 탈옥에 취약하다는 사실 공개
사이버 위협 인텔리전스 업체 Kela는 딥시크의 R1 모델이 기존 AI 챗봇에서 이미 막아둔 ‘탈옥’ 기법들에도 여전히 취약하다고 경고. 딥시크 R1은 ChatGPT 등에서 오래전에 패치된 안전장치 우회 공격이 통한다는 것이 확인됨. 보안 전문가들은 딥시크에게 이미 알려진 안전 취약점을 방치한 채 모델을 배포한 책임이 있다고 지적.
한국 Theori 연구팀도 “DeepSeek R1은 ‘탈옥’ 공격에 매우 취약하며, ChatGPT 등이 한참 전에 고쳐놓은 취약점들이 딥시크에서는 아직도 통한다”고 밝혔으며, 자금 세탁 방법이나 멀웨어 제작법 등 위험한 요청에도 딥시크가 상세한 답변을 내놓는 사례가 관찰되어, 콘텐츠 안전장치 부재 문제가 대두됨.
1월 20~30일 유럽 당국이 딥시크 측에 개인정보 질의
딥시크 이용자가 급증함에 따라, 유럽 규제당국은 이 서비스의 개인정보 처리 방식을 주목하기 시작. 먼저 이탈리아 개인정보보호국(Garante)은 1월 중순 딥시크에 공문을 보내 어떤 개인데이터를 수집하고 어디에 저장하는지, 이용자들에게 어떻게 고지하는지를 질의. 그러나, 딥시크 측은 이에 대해 “자사는 이탈리아에서 서비스를 운영하지 않으며 EU 법의 적용을 받지 않는다”는 취지로 답변해 당국을 더욱 불만스럽게 만들었음. 수일 뒤 아일랜드 데이터보호위원회도 유사한 문의를 딥시크에 보내 GDPR 준수 여부를 추궁하기 시작함.
1월 25~28일 대규모 이버 공격 및 가입 일시 중단
1월 말, 딥시크 서버가 정체불명의 대규모 사이버 공격에 직면하여 서비스 안정에 문제 발생. 중국 보안업체 X랩(XLab)에 따르면 Mirai 봇넷 계열의 분산서비스거부(DDoS) 공격이 지속적으로 발생했고, 이에 딥시크는 신규 사용자 등록을 일시 중단 조치. 딥시크 운영진은 공식 채널을 통해 “악의적인 공격으로 인해 일시적으로 가입을 제한한다”고 밝힘. 며칠 후 공격은 진정되었지만, 이 사건으로 딥시크의 서비스 복원력과 공격 대응 능력에 의문 부호가 붙음.
1월 30일경 무방비 상태의 딥시크 데이터베이스 정보 유출 사고
클라우드 보안업체 Wiz 연구원들이 딥시크의 시스템에서 인증 없이도 접근 가능한 내부 데이터베이스를 발견. Wiz 팀은 딥시크의 공개 도메인과 포트를 조사하던 중, 비정상적으로 열려있는 ClickHouse 데이터베이스 포트를 포착.
비밀번호나 인증 절차 없이 누구나 질의가 가능했던 이 DB에는 약 100만 건 이상의 로그 데이터가 쌓여 있었고, 그 안에는 사용자 채팅 내용, API 키, 내부 시스템 정보, 운영 메타데이터 등 민감한 정보가 다수 포함되어 있었음. 실제 쿼리 결과 사용자들의 대화 내역과 평문 API 키가 노출되어 있었고, 심지어 특정 명령을 실행하면 서버의 로컬 파일이나 비밀번호 등까지 열람 또는 탈취할 수 있는 위험한 상태였음.
다행히 Wiz의 책임 있는 제보로 딥시크는 해당 취약점을 신속히 패치했다고 알려졌지만 이미 유출된 데이터가 제3자의 손에 들어갔을 가능성은 남아 있음.
1월 31일 이탈리아의 딥시크 차단 조치
이탈리아 개인정보보호국 Garante은 딥시크 측의 불충분한 답변과 잇따른 보안 논란을 고려해 1월 31일부로 이탈리아 내 딥시크 애플리케이션 접속을 차단한다고 발표. 딥시크가 이용자 데이터 수집에 대해 적절한 고지와 동의를 받지 않았다고 판단하고, 해당 서비스의 이탈리아 내 일시적 금지 및 본사 조사에 착수. 이는 2023년 ChatGPT에 대한 일시적 차단 조치 이후, 유럽에서 AI 챗봇에 취해진 가장 강경한 개인정보 보호 조치로 평가됨.
그리고 이제 약 일주일이 지난 2월에 들어서면서부터는 한 단계 나아가 각국 정부들이 딥시크 접속을 보다 본격적으로 제재하고 있습니다.
1월 말 ~ 2월 1일 미국 정부 기관의 사용 제한
먼저 미국 해군은 내부 보안 공지를 통해 “딥시크 서비스는 기원의 불투명성과 잠재적 보안 위험 때문에 어떠한 용도로도 사용이 승인되지 않았다”며 장병들에게 사용 금지를 지시. 또한 미국 항공우주국(NASA)도 비슷한 시기 직원들에게 딥시크 사용 금지령을 내리고, 그 이유로 “딥시크의 서버가 미국 외부(중국)에 있어 국가 안보 및 프라이버시 우려가 있다”고 설명. 이와 함께 미 하원 기술관리국은 의회 직원들에게 딥시크 사용이 “공식 하원 업무에 승인되지 않은 소프트웨어”라고 통보하여 의회망에서 차단 조치.
2월 2일 대만 공공부문 사용 금지
대만 디지털발전부(MoDA)는 2월 2일 성명을 통해 중앙·지방 정부기관, 공기업, 공립학교, 국가중요기반시설 종사자 등 공공 부문에서 딥시크 사용을 전면 금지한다고 발표. MoDA는 딥시크를 “중국산 AI 서비스”로 지칭하면서, 해당 서비스를 쓰면 국가정보 안보를 위태롭게 할 수 있다고 경고. 또한 “Cross-border 정보 전송으로 정보 유출 우려가 있다”고 명시하여, 중국 업체인 딥시크를 통한 데이터 유출을 경고. 대만 입법위원들도 민간 기업과 일반 국민들에게 딥시크 사용을 자제할 것을 당부하며, 사실상 사회 전반의 퇴출 권고를 내놓았음.
2월 5일 중국 국유 통신사와의 연계 코드 발견
AP통신은 보안업체 Feroot의 분석을 인용하여, 딥시크 웹사이트의 로그인 페이지에 중국 국유 통신사인 차이나모바일과 연결된 난독화 코드가 숨겨져 있었다고 보도. 해당 스크립트를 해독한 결과, 딥시크의 계정 생성 및 로그인 과정 일부가 차이나모바일이 소유한 서버와 통신하도록 되어 있었는데, 이 통신사는 중국 정부 및 군부와의 연계 의혹을 받아온 기업.
2월 6일 미 연방의회 차원의 퇴출 법안 발의
딥시크 관련 리스크가 불거진지 불과 며칠이 지나지 않아 딥시크에 대한 우려가 초당적 공감대를 얻으면서, 마침내 2월 6일 미국 연방 하원에서는 정부 기기에서 딥시크 사용 금지 법안(No DeepSeek on Government Devices Act)이 발의. 민주당의 조시 고타이머 하원의원과 공화당의 대린 라후드 하원의원이 공동 발의한 이 법안은, 연방 기관 직원들이 공용 기기에서 딥시크 앱을 설치하거나 사용하는 것을 금지.
이는 2022~2023년에 논의된 틱톡(TikTok) 정부기기 금지 조치와 유사한 맥락. 고타이머 의원은 성명에서 “중국 공산당은 우리 국가안보를 약화하고 미국인 정보를 수집하기 위해 모든 도구를 악용할 것임을 명확히 보여줬다”며 딥시크의 위험성을 강조.
2월 초 현재 - 기타 국가 및 지역의 조치
딥시크에 대한 경계는 미국과 대만 외에도 여러 나라로 확산. 한국 개인정보보호위원회는 2월 초 딥시크 본사에 공식 질의서를 보내 “개인정보 수집·저장·이용 및 국외이전에 대한 절차를 확인하겠다”고 밝히고 필요 시 국내 이용자 대상 실태조사나 조사 착수도 검토 중이라고 덧붙임.
실제로 한국 외교부와 산업통상자원부 등 일부 정부 부처는 선제적으로 내부망에서 딥시크 접속을 차단했고, 국내 주요 IT기업들도 직원들의 딥시크 사용을 금지하기 시작.
호주 정부 역시 국가안보 위험 평가를 거쳐 공무원들의 딥시크 사용 금지를 추진. 네덜란드와 인도 등의 정부 기관들도 딥시크를 업무망에서 차단하거나 경고를 내린 것으로 전해짐.
2월 6일 딥시크 측 대응
각국의 제재가 확산되는 가운데, 딥시크 회사는 공식 입장문을 내놓았으나, 구체적인 보안 대책 언급 없이 “최근 딥시크 관련한 가짜 계정과 근거 없는 정보가 대중을 혼란스럽게 하고 있다”며, 확인되지 않은 소문에 현혹되지 말라는 취지의 내용만을 언급. 딥시크는 자사 웨이보/웨이신 공식 계정 외의 정보는 신뢰하지 말라면서, 정작 글로벌 규제 당국들이 지적하는 데이터 유출이나 검열, 중국 정부 연계 의혹에 대해서는 직접적인 해명을 하지 않았음.
제기된 여러가지 문제점들 중에 크게 두가지만 꼽자면 무엇보다 제대로된 정보 보호 장치가 없다는 점, 그리고 중국으로 흘러간 정보에 대한 중국 정부의 임의적인 사용을 통제할 수 없다는 점입니다. (폭탄 제조법을 알려준다거나 무방비로 노출된 서버 데이터베이스는 문제이기는 하나, 이보다는 딥시크를 통해 중국으로 흘러들어가는 각국의 온갖 정보들 중에는 안보에 영향을 줄 수 있는 치명적인 것도 섞여 있을 수 있으니 차원이 다른 문제라고 생각됩니다. 거의 부재하다시피한 중국 정부의 개인정보 보호 장치도 심각하구요.)
첫째로, 모바일 앱의 데이터 보호 취약
보안 업체 NowSecure가 딥시크 iOS 앱을 리버스엔지니어링한 결과, 앱이 iOS의 기본 보안(ATS)을 비활성화하여 네트워크 통신을 평문으로 보내고 있었다고 합니다. 앱 내부에서도 취약한 3DES 알고리즘을 사용하고 동일한 키와 초기화 벡터(IV)를 하드코딩하는 등 암호화 구현상 허점이 발견되었습니다. 더욱이 데이터는 중국 기업 바이트댄스(ByteDance)의 클라우드 플랫폼(Volcano Engine)을 통해 전송되고 있었는데, 이러한 구조에서 전송 구간 암호화까지 꺼버렸으므로 이용자 기기 정보와 대화 내용 등이 암호화되지 않은 채 중국 서버로 전송될 수 있었습니다. 요약하면 딥시크 앱은 전반적인 데이터 보호 설계가 미흡하여 이용자 기밀성이 보장되지 않았습니다.
둘째로, 개인정보 저장 및 (중국 정부에 의한) 무단 사용 리스크
딥시크는 과도한 개인정보 수집 및 장기 보관을 하고 있다는 비판을 받습니다. 이용자의 이름, 생년월일, 연락처, 대화 기록, 업로드 파일, IP, 기기정보 등 거의 모든 정보를 수집하여 중국 서버에 저장하는 것으로 명시되어 있습니다. 더구나 계정이 존재하는 동안은 물론이고 “사업상 필요”에 따라 계정 삭제 후에도 데이터를 보관한다고 밝히고 있어, 데이터 보관기간 제한이 사실상 없다는 지적입니다. 다른 글로벌 AI 서비스들이 일부 대화 기록에 대해 일정 기간 후 삭제 또는 익명화 조치를 취하는 것과 대비되는 부분입니다.
딥시크 개인정보처리방침에는 “데이터를 중국 법률에 따라 처리한다”는 문구가 포함되어 있어, 중국 사이버보안법 및 국가정보법 등에 따라 중국 정부 기관이 필요 시 데이터를 요구할 수 있습니다. 중국은 2021년 발효된 개인정보보호법을 통해 국가안보와 공공이익을 위해 필요한 경우 개인정보 처리(=사실상 강탈)를 허용하고 있으며, 이 경우 정보주체의 동의 없이도 개인정보를 수집하고 활용할 수 있습니다. 또한 공공안전, 공중보건, 중대한 공공이익 보호를 위해 필요한 경우 개인정보 처리를 허용합니다. 데이터 보안법(Data Security Law)에서도 국가안보와 이익을 위해 정부가 데이터에 대한 통제권을 행사할 수 있다고 규정하고 있습니다.
그러나, 이 모든 사태의 와중에도 중국 본토에서는 딥시크를 자국 기업의 성공 사례로 홍보하면서도, 정작 해외에서 보안 논란이 커지자 관영 언론은 이를 “외국의 근거 없는 공격”이나 “과장된 허위정보”라고 일축하는 분위기입니다. 중국 정부는 공식적으로 딥시크 관련 언급을 삼가고 있으나, 자국 법률에 따라 필요 시 해당 기업의 데이터를 제공받을 수 있는 막강한 권한을 가지고 있기 때문에, 해외에서의 우려를 불식시키기엔 역부족인 상황입니다.