딥시크, 혁신의 탈을 쓴 감시자인가?

당신의 데이터가 중국으로 향하는 경로

어느 날 우리 앞에 나타난 인공지능(AI) ‘딥시크’는 축복처럼 보였습니다. 세계 최고 성능의 AI를 누구나 저렴하게, 마음껏 쓸 수 있다는 소식에 전 세계 개발자와 사용자는 열광했습니다. 하지만 그 달콤한 과실에 취해 있는 동안, 보이지 않는 곳에서는 우리의 가장 내밀한 정보가 국경을 넘어 거대한 감시 시스템의 일부가 되고 있었습니다.

이것은 단순한 개인정보 유출 사고가 아닙니다. 한 기업의 기술적 실수를 넘어, 국가 주도로 설계된 체계적인 데이터 수집 활동이자, 미중 기술 패권 전쟁의 새로운 전선이 열렸음을 알리는 신호탄입니다.

이 글은 딥시크라는 ‘디지털 트로이 목마’가 어떻게 우리의 일상에 침투했는지, 그 안에는 어떤 위험한 코드가 숨겨져 있었는지 기술적 증거를 통해 낱낱이 파헤칩니다. 당신이 무심코 입력한 그 한 줄의 질문이 어떻게 국가를 위협하는 무기가 될 수 있는지, 그 서늘한 진실을 마주할 시간입니다.

1. 두 개의 머리를 가진 괴물: 차이나모바일과 바이트댄스로 향하는 비밀 통로

딥시크 신화의 붕괴는 하나의 경로가 아닌, 두 개의 각기 다른 비밀 통로가 발견되면서 시작되었습니다. 이는 마치 두 개의 머리를 가진 괴물처럼, 서로 다른 방식으로 우리의 데이터를 노리고 있었습니다.

첫 번째 머리: 국가 안보와 직결된 ‘백도어’ (차이나모바일)

첫 번째 균열은 캐나다의 보안 기업 **‘페루트 시큐리티(Feroot Security)’**가 발견한 **‘의도적인 뒷문(Backdoor)’**이었습니다. 그들은 딥시크 로그인 페이지의 암호화된 코드 끝에서, 중국군과의 연계로 미국의 제재를 받는 국영 통신사 **‘차이나모바일’**로 연결되는 경로를 찾아냈습니다.

이는 사용자의 계정 정보가 국가 안보와 직결된 기관으로 직접 넘어갈 수 있도록 설계된, 명백한 스파이 행위의 증거였습니다. 단순한 버그가 아닌, 누군가 의도적으로 심어놓은 ‘비밀 통로’였던 셈입니다.

두 번째 머리: 일상에 파고든 ‘데이터 파이프라인’ (바이트댄스)

하지만 위협은 여기서 그치지 않았습니다. 대한민국 개인정보보호위원회(개인정보위)를 비롯한 여러 기관의 조사를 통해, 딥시크의 데이터가 향하는 또 다른 목적지가 드러났습니다. 바로 전 세계적인 앱 ‘틱톡(TikTok)‘의 모회사인 **‘바이트댄스’**였습니다.

이는 차이나모바일과는 성격이 다른, 더 교묘하고 광범위한 위협입니다.

• 어떻게 발견되었나?: 개인정보위는 딥시크 앱 실행 시 발생하는 데이터 통신 기록(패킷)을 분석했습니다. 그 결과, 사용자의 질문 내용(프롬프트)을 포함한 다양한 정보가 바이트댄스의 클라우드 서비스 계열사인 ‘볼케이노 엔진(Volcano Engine)’ 서버로 전송되는 사실을 확인했습니다.
• 무엇이 문제인가?: 딥시크는 이러한 제3자 정보 제공 사실을 사용자에게 명확히 알리지 않았고, 동의도 받지 않았습니다. 특히 바이트댄스는 틱톡을 통해 이미 전 세계 사용자 데이터를 수집하고 분석하는 데 엄청난 기술력을 가진 기업입니다. 딥시크를 통해 수집된 우리의 질문, 관심사, 아이디어 등 지적인 데이터가 틱톡의 행동 데이터와 결합될 경우, 특정 개인에 대한 훨씬 더 정교하고 입체적인 프로파일링이 가능해집니다.

  

결론적으로 딥시크는 ‘차이나모바일’이라는 스파이용 백도어를 통해 국가 안보 차원의 민감 정보를 빼돌리는 동시에, ‘바이트댄스’라는 거대한 데이터 파이프라인을 통해 우리의 일상적이고 지적인 활동까지 고스란히 수집하는 이중의 위협을 가하고 있었던 것입니다.

2. 총체적 붕괴: 열린 금고와 브레이크 없는 자동차

페루트의 발견이 ‘의도적으로 심어진 암살자’의 존재를 알렸다면, 연이어 터져 나온 다른 보안 기업들의 보고서는 딥시크라는 시스템 자체가 얼마나 허술하게 지어졌는지를 증명했습니다.

문이 열려 있던 데이터 금고 (위즈 리서치)

보안 기업 **‘위즈 리서치(Wiz Research)’**는 딥시크의 내부 데이터베이스가 아무런 암호나 인증 절차 없이 인터넷에 그대로 노출되어 있음을 발견했습니다. 비유하자면, 은행의 중앙 금고 문을 활짝 열어둔 채 길거리 한복판에 방치한 것과 같습니다. 이 데이터베이스에는 100만 건이 넘는 사용자의 채팅 기록, API 키 등 민감한 정보가 암호화되지 않은 날것 그대로 담겨 있었습니다.

이는 중국 정부뿐만 아니라, 마음만 먹으면 전 세계 모든 해커가 우리 정보를 들여다보고 훔쳐 갈 수 있었다는 끔찍한 진실을 의미합니다.

브레이크 없는 AI (시스코 레드팀)

글로벌 IT 기업 **시스코(Cisco)**는 더 근본적인 문제를 제기했습니다. AI 모델 자체에 최소한의 안전장치가 있는지를 시험한 것입니다. 연구팀이 딥시크에게 사이버 범죄 방법, 가짜뉴스 생성 등 유해한 질문을 던진 결과는 놀라웠습니다. 실패율 100%.

딥시크는 단 하나의 유해한 요청도 거르지 않고 모두 수행했습니다. 이는 마치 브레이크가 없는 자동차와 같았습니다. OpenAI의 GPT-4나 구글의 제미나이가 대부분의 유해 요청을 차단하는 것과 극명한 대조를 이루며, 딥시크가 윤리나 안전에 대한 고려 없이 오직 성능 구현에만 급급했음을 보여주었습니다.

3. 보이지 않는 손: 법률이라는 이름의 명령

“왜 딥시크는 이렇게 위험천만하게 만들어졌을까?”

이 질문에 대한 답은 기업의 윤리 강령이 아닌, 중국의 법전에서 찾아야 합니다. 딥시크의 모든 행동 뒤에는 중국의 **‘국가정보법’**이라는 강력한 법률이 그림자처럼 드리워져 있습니다.

중국 국가정보법 제7조: “모든 조직과 공민은 법에 따라 국가 정보 활동에 협력해야 할 의무가 있다.”

이 조항은 단순한 권고가 아닌, 거부할 수 없는 ‘명령’입니다. 중국 땅에 있는 모든 기업은 국가 정보기관이 데이터를 요구할 경우, 무조건 제출해야 합니다. 저항할 권리도, 사법부의 통제도 사실상 존재하지 않습니다.

이런 관점에서 보면, 딥시크의 백도어와 데이터 파이프라인은 버그나 실수가 아니라, 국가의 명령을 효율적으로 수행하기 위해 설계된 **‘기능(feature)’**일 가능성이 높습니다.

4. 새로운 시대, 당신의 ‘디지털 주권’을 지키는 법

딥시크 사태는 우리에게 AI 시대를 살아가는 근본적인 관점의 전환을 요구합니다. 이제 성능과 편의성만으로 기술을 평가하던 시대는 끝났습니다. “누가, 어떤 법의 지배를 받으며 이 기술을 만들었는가?” 라는 질문이 생존을 위한 필수 조건이 되었습니다.

개인을 위한 행동 강령: ‘제로 트러스트’를 내면화하라

• 데이터 최소화: 검증되지 않은 AI에 절대 민감 정보를 입력하지 마십시오. 당신의 모든 질문은 공개된 게시판에 쓰는 글과 같다고 생각해야 합니다.
• 감시를 가정하라: 모든 활동은 기록되고 분석된다는 가정하에 서비스를 이용하십시오.
• 기술적 방어: 가상사설망(VPN)으로 IP 주소를 가리고, 민감한 작업 시에는 별도의 브라우저나 가상 머신(VM)을 사용하는 습관을 들이는 것이 좋습니다.

기업을 위한 생존 전략: ‘지정학적 리스크’를 분석하라

• AI에 대한 제로 트러스트(Zero-Trust) 원칙: “절대 믿지 말고, 항상 검증하라.” 딥시크와 같은 고위험 AI는 기업 네트워크에서 원천적으로 차단해야 합니다.
• 공급망 실사 강화: AI 솔루션 도입 시, 개발사의 국적과 해당 국가의 법률 체계까지 분석하는 ‘지정학적 실사’를 의무화해야 합니다.

딥시크가 보여준 저비용 혁신은 사실상 환상이었습니다. 그 비용은 사용자인 우리 모두의 ‘개인정보’와 ‘안보’를 담보로 한 것이었습니다. 기술은 더 이상 중립적이지 않습니다. 눈앞의 편리함에 빠져 우리의 데이터를 기꺼이 감시자에게 넘겨줄 것인가? 아니면 조금 불편하더라도 우리의 자유와 주권을 지키는 길을 택할 것인가?

그 값비싼 청구서가 날아오기 전에, 이제는 우리 모두가 답해야 할 시간입니다.