안녕하세요. 이현섭 변호사입니다.

최근 중국 스타트업인 딥시크(Hangzhou DeepSeek Artificial Intelligence Co., Ltd. 및 Beijing DeepSeek Artificial Intelligence Co., Ltd.)에서 개발한 '딥시크(DeepSeek)' 서비스가 개인정보 보호 문제로 인해 한국에서 잠정 중단되었습니다. 

이번 연구자료에서는 딥시크 서비스 중단에 관한 법률적 쟁점에 대해 이야기해보겠습니다.

사건 배경

딥시크는 챗GPT와 유사한 생성형 AI 챗봇 서비스로, 저비용 고성능 AI 모델을 앞세워 출시 직후 국내에서 약 120만 명의 사용자를 확보할 정도로 큰 인기를 끌었습니다. 그러나 서비스의 급속한 확장과 함께 이용자의 개인정보 수집 및 처리 과정에서 보안 등과 관련한 여러가지 우려가 제기되었습니다.

이에 개인정보보호위원회는 딥시크 본사에 딥시크 서비스를 통한 개인정보 처리에 관한 공식 질의서를 보내고, 국내외 기관과 협력하여 그에 대한 기술적 분석 및 실태점검을 실시했습니다.

그 결과, 개인정보 보호법을 준수하지 못한 문제점들이 확인되어 딥시크 측에 신규 서비스 중단을 권고했고, 딥시크 측에서 권고안을 수용하여 2월 15일부터 국내 앱마켓에서 신규 다운로드가 중단되었습니다. 이후 딥시크 측은 개선 작업을 진행 중이며, 법적 요건을 충족한 이후 앱마켓 서비스 재개 여부가 결정될 예정입니다.

딥시크 서비스에서 나타난 주요 개인정보 보호 문제

딥시크 서비스에서 나타난 주요 개인정보 보호 문제는 크게 네 가지입니다.

첫째, 이용자의 데이터를 제3자와 무단 공유한 점입니다.

딥시크 앱이 이용자 동의 없이 바이트댄스(ByteDance) 등 제3자에게 개인정보를 전달한 사실이 확인되었습니다. 이는 이용자 개인정보를 제3자에게 제공하기 위하여는 정보주체(이용자 본인)의 별도 동의를 받도록 한 개인정보보호법 제17조에 위반한 것입니다.

둘째, 개인정보 처리방침 작성 및 공개가 미흡한 점입니다.

딥시크는 국내 이용자들에 대해 개인정보의 수집·이용 목적, 보관기간, 제3자 제공 여부 등에 대한 명확한 안내를 제대로 하지 않았습니다. 이는 이상의 내용을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등을 통해 공개하도록 의무화한 개인정보보호법 제30조에 위반한 것입니다.

셋째, 과도하게 개인정보를 수집하면서 그에 대한 이용자의 거부 수단을 마련하지 않은 점입니다.

딥시크 서비스는 이용자의 장치 정보, 키 입력 패턴 등 서비스 제공과 직접적 관련이 없는 불필요한 정보까지도 광범위하게 수집했으며, 이용자가 해당 정보 수집을 거부할 방법도 제공하지 않았습니다. 이는 개인정보 수집에 있어 그 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 이용자가 선택적으로 동의할 수 있는 사항에 대하여 동의하지 않았다는 사유로 그에 대한 서비스 제공을 거부하는 것을 금지한 개인정보보호법 제16조에 위반한 것입니다.

마지막으로, 개인정보 국외 이전 및 국내대리인 지정 미비입니다.

딥시크는 한국 이용자들의 데이터를 중국 내 서버에 저장, 보관하면서 개인정보 국외 이전에 필요한 동의 절차를 거치지 않았고, 서비스 초기에 국내대리인도 지정하지 않았습니다. 이는 국내 개인정보보호법상 해외 사업자에게 부과되는 개인정보 국외 이전 관련 의무(개인정보 보호법 제28조의) 및 국내 대리인 지정의무(개인정보 보호법 제31조의2) 등을 위반한 것입니다.

정리하면, 딥시크는 서비스 제공 과정에서 정보주체의 권리와 동의 절차를 소홀히 하고, 투명성 부족 및 국내법상 요구되는 개인정보 보호 조치를 충분히 마련하지 않은 점에서 개인정보보호법의 주요 조항들을 위반한 것으로 판단됩니다.

딥시크 사례를 통한 시사점

위 딥시크 사례를 통해서 IT 스타트업이 참고할 만한 시사점에는 무엇이 있을까요?

첫째, 신규 서비스를 출시함에 있어 사전에 개인정보 보호법 이슈를 미리 검토할 필요가 있습니다. 놓치기 쉬운 부분이나 개인정보 최소 수집 원칙을 준수하고, 명확하고 투명한 개인정보 처리방침을 마련하여야 합니다.

둘째, 본사가 해외에 있는 경우에는 개인정보 보호법이 규정한 해외 이슈(개인정보 국외이전 기타 해외사업자 관련 의무)를 추가적으로 검토할 필요가 있습니다. 이는 일반 국내 스타트업은 해당이 없는 사항이어서 역시 놓치기 쉬운 부분입니다.

셋째, AI 기타 신기술을 적용한 서비스를 개발, 운영하고자 한다면 서비스 설계 단계부터 개인정보 보호를 고려한 설계(Privacy by Design)를 적용하는 것이 바람직합니다.

그 밖에 가명화·암호화와 같은 안전조치를 충분히 적용한다면 개인정보 보호법 위반 리스크를 줄일 수 있을 것입니다.

결론

최근 출시되는 IT 서비스는 갈수록 많은 데이터를 필요로 하고 있습니다. 이러한 데이터의 분석, 처리가 더 나은 서비스를 만들어가는 자양분이 되기 때문입니다. 

그러나 이러한 데이터 또한 일반 물건들과 마찬가지로 그에 대한 권리를 가진 주인이 존재하며, 따라서 이를 직접 활용하든 아니면 AI 학습 등에 간접적으로 활용하든 그 주인으로부터 정보의 수집 및 이용에 대한 동의를 받아야 한다는 점에는 다름이 없습니다.

이번 글이 개인정보 활용에 있어 기술 스타트업들이 예상치 못한 난관을 만나지 않도록 하는데 도움이 되었으면 합니다. 감사합니다.

본 자료에 게재된 내용 및 의견은 일반적인 정보제공만을 목적으로 발행된 것이며, 법무법인 세움의 공식적인 견해나 어떤 구체적 사안에 대한 법률적 의견을 드리는 것이 아님을 알려 드립니다. Copyright ©2025 SEUM Law.