IT · 개인정보 · AI 규제
딥시크 개인정보 제재 전말:
지금도 내 데이터 중국에 있다
딥시크 개인정보 제재가 처음 불거진 건 2025년 1월, 한국 상륙 직후였습니다. 프롬프트에 입력한 내용이 중국·미국 4개 해외 업체로 무단 이전된 사실이 드러났고, 개인정보보호위원회는 국내 앱마켓 신규 다운로드를 차단했습니다. 2026년 3월 현재, 서비스는 재개됐지만 핵심 제재 이행 여부는 아직도 진행 중입니다.
📋 개인정보위 시정권고 발동
🔄 2025.04 서비스 재개
⚠️ 2026 AI 규제 강화 진행 중
1. 딥시크가 뭔데 이렇게 시끄러울까?
OpenAI를 80억 원으로 따라잡은 중국 AI의 등장
딥시크(DeepSeek)는 중국 항저우 소재 AI 기업 Hangzhou DeepSeek Artificial Intelligence Co., Ltd.가 개발한 생성형 AI 서비스입니다. 2024년 말 공개된 DeepSeek-V3는 고작 약 80억 원(550만 달러) 수준의 학습 비용으로 ChatGPT·Claude 수준의 성능을 구현했다고 주장해 전 세계를 충격에 빠뜨렸습니다. 2025년 1월에는 추론 모델 R1을 무료 공개하며 미국 앱스토어 1위를 달성했고, 한국에서도 출시 직후 폭발적인 관심을 받았습니다.
왜 유독 개인정보 문제가 터졌을까?
다른 AI 서비스와 달리 딥시크는 ①사용자의 키 입력 패턴·리듬까지 수집 가능하다고 처리방침에 명시하고, ②사용자가 프롬프트에 입력한 내용의 AI 학습 활용을 거부할 수 있는 옵트아웃 기능이 없었으며, ③개인정보 처리방침을 한국어로 제공하지 않는 등 국내 개인정보보호법상 의무를 다수 누락한 상태로 서비스를 시작했습니다. 중국 기업이 수집한 데이터가 중국 당국에 넘어갈 수 있다는 구조적 불안도 우려를 키웠습니다.
2. 개인정보위가 확인한 4가지 충격 사실
2025년 4월 23일, 개인정보보호위원회는 제9회 전체회의에서 딥시크에 대한 사전 실태점검 결과를 발표했습니다. 단순한 가이드라인 미준수가 아니라, 실제로 이용자 데이터가 무단 이전된 사실이 공식 확인됐습니다.
① 처리방침에 한국어 없음 + 핵심 항목 누락
딥시크는 2025년 1월 15일 국내 앱마켓에 출시하면서 처리방침을 중국어·영어로만 공개했습니다. 파기 절차 및 방법, 안전조치, 개인정보 보호책임자 연락처 등 개인정보보호법이 요구하는 필수 항목이 빠져 있었습니다.
② 개인정보를 중국·미국 4개 업체로 무단 이전
딥시크는 서비스 기간(2025년 1월 15일~2월 15일) 동안 이용자 동의나 처리방침 공개 없이 중국 3개사, 미국 1개사 등 총 4개 해외 기업에 개인정보를 이전했습니다. 국외 이전 사실 자체를 이용자에게 알리지도 않은 것입니다.
③ 프롬프트 입력 내용까지 틱톡 계열사로 전송
가장 충격적인 사실은 이용자가 AI에게 질문하기 위해 입력창에 쓴 내용, 즉 프롬프트 텍스트 전체가 베이징 볼케이노 엔진 테크놀로지(Beijing Volcano Engine Technology)로 전송됐다는 점입니다. 이 업체는 틱톡 운영사 바이트댄스의 계열사입니다. 딥시크는 “서비스 개선·UX 향상 목적의 클라우드 서비스를 이용한 것”이라고 해명했지만, 개인정보위는 “프롬프트 입력 내용의 이전은 불필요하다”고 지적했습니다.
④ 아동 개인정보 수집 확인 절차 없음
딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다고 명시했으나, 실제 서비스 가입 시 연령 확인 절차가 전혀 없었습니다. 즉, 미성년자가 아무런 제한 없이 가입하고 데이터를 남길 수 있는 구조였습니다.
| 위반 항목 | 내용 | 이후 조치 |
|---|---|---|
| 처리방침 미비 | 한국어 처리방침 미제공, 필수항목 누락 | 한국어 처리방침 및 관할조항 제출(3.28.) |
| 국외 이전 무단 | 중국·미국 4개사로 동의 없이 이전 | 한국어 처리방침에 법정사항 포함 |
| 프롬프트 전송 | 바이트댄스 계열사로 입력 텍스트 전송 | 신규 이전 차단(4.10.), 기존 데이터 파기 권고 |
| 옵트아웃 미제공 | AI 학습 활용 거부 기능 없음 | 옵트아웃 기능 마련(3.17.) |
| 아동 확인 미흡 | 연령 확인 절차 없이 가입 가능 | 연령 확인 절차 마련 |
3. 국내 차단·제재 타임라인 완전 정리
딥시크 개인정보 제재는 빠르게 움직였습니다. 출시 후 불과 2주 만에 차단 조치가 내려졌고, 3개월간의 실태점검 끝에 시정권고가 확정됐습니다. 타임라인을 한눈에 정리하면 다음과 같습니다.
-
2025.01.15
딥시크, 국내 앱마켓(구글 플레이·애플 앱스토어) 정식 출시. 출시 직후 개인정보 수집 방식에 대한 국내외 우려 확산. -
2025.01.31
개인정보보호위원회, 딥시크 본사에 개인정보 수집·처리 방식 관련 공식 질의서 발송. 동시에 KISA와 함께 기술 분석 착수. -
2025.02.07
정부 부처 전방위 딥시크 접속 차단. 국방부·행안부·교육부 등 주요 기관이 잇따라 사용 금지 조치 발동. -
2025.02.10
딥시크, 국내 대리인 지정. 개인정보보호법 준수 미흡 인정 및 적극 협력 의사 표명. -
2025.02.15
딥시크, 국내 앱마켓 신규 다운로드 잠정 중단. 기존 설치 이용자 및 웹 서비스는 계속 이용 가능(단, 개인정보 입력 자제 권고). -
2025.03.17
딥시크, 프롬프트 입력 내용의 AI 학습 활용 거부 기능(옵트아웃) 마련 완료 후 개인정보위에 통보. -
2025.03.28
딥시크, 한국어 개인정보 처리방침 및 대한민국 관할조항 제출(서비스 재개 시점에 공개 예정). -
2025.04.10
딥시크, 볼케이노(바이트댄스 계열사)로의 프롬프트 입력 내용 신규 이전 차단 완료. -
2025.04.23
개인정보위 제9회 전체회의에서 딥시크 실태점검 결과 심의·의결. 시정권고(기이전 데이터 즉각 파기, 합법근거 구비 등) + 개선권고(강화된 보호조치 준수 등) 4개 항목 발동. -
2025.04.28
딥시크, 시정권고 수용 후 국내 앱마켓 신규 다운로드 재개. 한국어 처리방침 공개. -
2026.01
개인정보위, ‘2026년 개인정보 조사업무 추진 방향’ 확정. AI 자동화·해외사업자·해킹 대응 등 6대 분야 집중 점검 체계로 전환. 딥시크 이행 여부 최소 2회 이상 점검 지속.
4. 서비스 재개됐는데, 내 데이터는 안전한가?
재개 조건과 실제 이행 현황
2025년 4월 28일 딥시크가 국내 서비스를 재개한 건 사실입니다. 그러나 이는 개인정보위의 시정권고를 수락했다는 의미이지, 모든 위반 사항이 완전히 시정됐다는 뜻이 아닙니다. 개인정보보호법 제63조의2에 따르면, 시정권고를 수락하면 시정명령을 받은 것으로 간주되며 60일 이내에 이행 결과를 개인정보위에 보고해야 합니다. 개인정보위는 이행 여부를 최소 2회 이상 사후 점검하겠다고 밝혔습니다.
기존 이용자, 지금 삭제해야 할까?
2025년 1월 15일부터 2월 15일 사이에 딥시크를 사용하면서 프롬프트에 개인 정보(이름, 전화번호, 직장명 등)나 민감한 내용을 입력했다면, 그 데이터는 볼케이노(바이트댄스 계열사)를 포함한 해외 서버로 이전됐을 가능성이 높습니다. 개인정보위는 해당 데이터의 즉각 파기를 권고했지만, 중국 서버에 저장된 데이터의 실제 파기 여부를 제3자가 독립적으로 검증하기는 쉽지 않은 상황입니다.
그래도 딥시크를 쓰고 싶다면?
개인정보위의 권고에 따라 딥시크는 현재 ①한국어 처리방침 공개, ②프롬프트 내용 볼케이노 전송 차단, ③AI 학습 활용 옵트아웃 기능 제공, ④연령 확인 절차 마련을 완료했습니다. 개인적인 일상 질문·학습용 검색 등의 목적으로 사용할 경우, 개인 식별 정보나 민감 정보는 절대 입력하지 않는 것이 최소한의 안전 수칙입니다.
5. 2026년 개인정보위, AI 제재 어디까지 강화됐나
딥시크 사태는 국내 AI 개인정보 규제 체계 전반을 바꾸는 계기가 됐습니다. 2026년 1월 개인정보위는 조사업무 추진 방향을 ‘사후 제재 중심’에서 ‘위험 기반(Risk-based) 사전 점검’으로 전환한다고 선언했습니다. 2025년 한 해 동안 총 227건을 처분하고 과징금 1,677억 원을 부과했을 만큼, 제재 강도도 실질적으로 강화됐습니다.
2026년 집중 점검 6대 분야
대규모 개인정보처리자 — 통신·금융·유통 등 주요 업종의 해킹 대응 내부통제 체계 집중 점검
고위험 개인정보 — IP카메라·생체인식(얼굴·음성) 서비스의 수집~파기 전 과정 적법성 확인
다크패턴·과잉수집 — 필수 동의 위장, 과도한 권한 요구 등 불합리한 수집 관행 정조준
AI 자동화 결정·프로파일링 — 자동화 기반 개인정보 처리 흐름 전반의 위험 통제 점검
블록체인·가상자산 — 분산신원인증(DID), 가상자산 서비스의 국외 이전 적법성 및 책임 분담 구조 점검
기업결합·M&A — 인수합병·파산·회생 과정에서의 대규모 개인정보 이전·파기 적법성 확인
조사 강제력도 대폭 강화 예고
개인정보위는 자료 제출 미이행 시 이행강제금 도입, 증거보전명령 신설, 정기적 사전 실태점검을 위한 법적 근거 마련을 추진 과제로 제시했습니다. 또한 지난해 구축한 포렌식센터를 본격 가동하고 기술분석센터를 새로 구축해, 해외 AI 서비스의 데이터 흐름을 정밀 분석할 수 있는 역량을 확충하고 있습니다. 딥시크와 같은 상황이 반복되면 이제는 시정권고를 넘어 징벌적 과징금까지 부과될 수 있게 됩니다.
6. 딥시크를 지금 써도 되는 사람 vs 피해야 할 사람
2026년 3월 현재, 딥시크 국내 서비스는 재개되어 있고 한국어 처리방침도 공개된 상태입니다. 그렇다고 모든 상황에서 안전하다고 볼 수 없습니다. 용도와 직업군에 따라 리스크가 크게 달라집니다.
| 구분 | 딥시크 활용 판단 | 이유 |
|---|---|---|
| 일반 사용자 (일상 검색·학습) | ✅ 조건부 사용 가능 | 개인정보 미입력 조건 준수 시 비교적 안전 |
| 직장인·프리랜서 (업무 활용) | ⚠️ 신중히 판단 필요 | 회사 내부 자료·고객 정보 입력 금지 필수 |
| 공무원·공공기관 종사자 | ❌ 사용 금지 | 2025년 2월 이후 정부 부처 전면 차단 유지 중 |
| 의료·법률 전문직 | ❌ 강력 비권장 | 환자·의뢰인 민감 정보 해외 유출 시 법적 책임 발생 가능 |
| 금융·IT 기업 임직원 | ⚠️ 사전 보안 검토 필수 | 영업비밀·금융정보 입력 시 기업정보 유출 위험 |
지금 당장 해야 할 3가지
딥시크 계정 설정 확인 — 딥시크 웹사이트 로그인 후 ‘데이터 설정’ 메뉴에서 AI 학습 활용 옵트아웃(거부) 설정이 켜져 있는지 확인하세요.
과거 대화 기록 삭제 — 딥시크 앱 또는 웹사이트에서 대화 내역 전체 삭제 기능을 통해 기존 입력 내용을 지울 수 있습니다. 서버 측 완전 삭제 보장은 없지만 최선의 조치입니다.
민감 정보 입력 즉시 중단 — 이름·연락처·주민등록번호·금융 정보·업무 관련 기밀 등은 어떤 AI 서비스에도 입력하지 않는 습관이 필요합니다.
7. Q&A — 딥시크 개인정보, 독자가 가장 궁금한 것들
Q1. 딥시크가 재개됐으면 이제 안전한 거 아닌가요?
서비스 재개는 개인정보위의 시정권고를 수락했다는 의미이지, 모든 문제가 해결됐다는 의미가 아닙니다. 이행 결과는 60일 이내 보고 의무가 있고 최소 2회 사후 점검이 예정되어 있습니다. 특히 기이전된 데이터의 실제 파기 여부는 중국 서버에서 이뤄지는 일이라 독립적 검증이 어렵습니다. 개인 식별 정보 입력은 여전히 자제하는 것이 맞습니다.
Q2. 과거에 입력한 내용이 지금도 중국 서버에 있을까요?
2025년 1월 15일~2월 15일 사이에 프롬프트에 입력한 내용은 볼케이노(바이트댄스 계열사)로 전송됐을 가능성이 높습니다. 개인정보위는 해당 데이터의 즉각 파기를 권고했고 딥시크는 수락했지만, 실제 파기 여부를 이용자가 확인할 방법은 없습니다. 사후 점검 결과가 공개되면 그때 확인이 가능할 것으로 보입니다.
Q3. 정부 기관에서 딥시크가 아직도 차단된 상태인가요?
네. 국방부, 행정안전부, 교육부 등 주요 정부 부처는 2025년 2월에 딥시크 접속을 차단한 이후 2026년 3월 현재까지 해당 조치를 유지하고 있습니다. 공공기관 재직자라면 개인 기기에서도 업무 관련 내용 입력은 금물입니다.
Q4. ChatGPT, 제미나이 등 다른 AI는 안전한가요?
어떤 AI 서비스도 100% 안전하다고 단언할 수 없습니다. 개인정보위는 2024년 ChatGPT, 구글, MS 등 6개 주요 AI 서비스에 대해서도 사전 실태점검을 진행했고, 각 사업자에게 강화된 보호조치를 권고했습니다. 다만 딥시크와 달리 해당 사업자들은 처음부터 한국어 처리방침 제공, 국외 이전 고지, 옵트아웃 기능 등을 갖추고 있었습니다. 상대적으로는 안전하지만, 민감 정보 입력 자제 원칙은 동일하게 적용됩니다.
Q5. 딥시크 로컬 모델(오프라인 사용)은 안전한가요?
딥시크의 V3, R1 모델은 오픈소스로 공개되어 있어 개인 PC나 서버에 로컬 설치 후 오프라인으로 사용하는 것이 가능합니다. 이 경우 인터넷 통신이 발생하지 않아 개인정보 해외 이전 문제는 원천적으로 차단됩니다. 다만 학습 데이터 자체에 포함된 편향·검열 문제와, 로컬 모델 특성상 최신 정보 반영이 안 된다는 한계는 있습니다.
마치며 — 딥시크 사태가 우리에게 남긴 진짜 교훈
딥시크 개인정보 제재 사태를 돌아보면, 기술의 빠름이 법과 윤리의 준비 속도를 압도했을 때 어떤 결과가 나오는지를 적나라하게 보여줍니다. 딥시크는 출시 2주 만에 차단됐고, 3개월간의 점검 끝에 겨우 서비스를 재개했습니다. 그 과정에서 수십만 명의 한국 이용자 데이터가 이미 해외 서버로 넘어갔습니다.
2026년 현재 개인정보위는 AI 시대에 맞는 규제 체계로 전환하고 있지만, 법 개정과 집행 역량 강화는 시간이 필요합니다. 그 사이 이용자 스스로가 지킬 수밖에 없습니다. AI 서비스에 입력하는 모든 텍스트가 ‘어딘가에 저장될 수 있다’는 전제를 항상 기억하는 것, 그것이 딥시크 사태가 우리에게 남긴 가장 실용적인 교훈입니다.
딥시크 자체의 기술력은 인정할 부분이 있습니다. 오픈소스로 모델을 공개하는 방향성, 저비용 고성능이라는 혁신도 분명 존재합니다. 하지만 기술의 우수성과 개인정보 보호 의무는 별개의 문제입니다. 앞으로 어떤 AI 서비스를 선택하든, ‘이 서비스는 내 데이터를 어디에, 얼마나, 왜 저장하는가’를 먼저 확인하는 습관이 필요한 시대입니다.
※ 본 포스팅은 개인정보보호위원회 공식 발표자료(2025.02.17, 2025.04.24), 연합뉴스, 매일경제 등 공개된 자료를 바탕으로 작성된 정보 제공 목적의 콘텐츠입니다. 특정 서비스 사용 여부에 대한 법적 책임은 본 포스팅에 있지 않으며, 최신 현황은 개인정보보호위원회 공식 채널을 통해 직접 확인하시기 바랍니다. 작성 기준일: 2026년 3월 4일.
댓글 남기기