글로벌 AI 생태계에 ‘딥시크 쇼크’를 일으킨 중국 AI 스타트업 딥시크가 개인정보 보호와 국가안보를 위협한다는 우려를 받고 있다. 한국, 미국 등 주요국 정부와 기업은 이미 딥시크 접속을 차단했다. 보안업계는 딥시크가 수집하는 정보의 범위와 그 정보 처리방식이 위험하다고 봤다.
9일 미국 타임지와 PBS 등 외신에 따르면 딥시크는 이용자 데이터를 중국 서버에 저장한다.
문제는 딥시크가 서버에 저장하는 방식이다. 외신은 보안업계를 인용해 딥시크가 중국 기업에 광범위하게 수집한 이용자 데이터를 암호화하지 않고 전송하는 방식으로 설계됐다고 보도했다.
미국의 공영방송 PBS는 캐나다 보안기업 페루트 시큐리티(Feroot Security)와 AP통신을 인용해 딥시크 내 중국의 국영 통신사 차이나 모바일에 이용자 로그인 정보를 전송하는 코드의 존재를 지적했다. 딥시크 웹페이지에 암호화되지 않은 컴퓨터 스크립트가 있는데 이를 해독하면 차이나 모바일의 컴퓨팅 인프라로 연결된다는 내용이 나온다는 것이다. 차이나 모바일은 중국군과 긴밀한 관계를 가지고 있다는 이유로 미국 내 영업이 금지된 기업이다.
이반 차리니 페루트 시큐리티 CEO는 “우리도 모르는 사이에 중국이 미국인을 감시하도록 내버려 두면서 아무런 조치를 취하지 않는다는 것이 놀랍다”며 “우연의 결과로 보기 어렵다. 연기 나는 곳에 불 난다(Where there’s smoke, there’s fire)라는 속담처럼 연기가 자욱한 상태다”라고 말했다.
미국의 보안기업 나우시큐어(NowSecure)는 아이폰 iOS용 딥시크 앱이 바이트댄스가 제어하는 서버로 이용자 데이터를 암호화하지 않고 전송한다고 지적했다. 앤드류 후그 나우시큐어 설립자는 크렙스온시큐리티와 인터뷰에서 딥시크가 디바이스 식별 기술 ‘핑거프린팅’에 가까운 작업을 수행한다고 봤다.
딥시크는 이용자의 IP 주소, 키보드 입력 패턴을 비롯해 텍스트, 오디오, 장비 정보 등을 서버에 저장한다. 나우시큐어는 이런 정보를 이용자의 인터넷 주소와 모바일 광고업체가 수집한 쿠키 등의 데이터와 결합하면 이용자를 특정할 수 있다고 봤다. 나우시큐어는 특히 딥시크 iOS 앱이 이런 데이터를 암호화하지 않고 틱톡 개발사 바이트댄스가 만든 클라우드 플랫폼으로 전송한다고 지적했다.
나우시큐어는 보고서를 통해 “딥시크 iOS 앱은 민감한 데이터가 암호화되지 않은 채널을 통해 전송되는 것을 방지하는 iOS의 보호 기능 ‘앱 전송 보안(App Transport Security, ATS)’을 세계적으로 비활성화한다”며 “딥시크가 이 보호 기능을 비활성화해 인터넷으로 암호화되지 않은 데이터를 전송할 수 있으며 실제로 그렇게 하고 있다”고 밝혔다.
미 인터넷매체 악시오스에 따르면 미국 하원 최고행정책임자(CAO)는 의회 내부 공지를 통해 보안 위협세력(Threat actors)이 이미 악성 소프트웨어 배포 및 기기 감염에 딥시크를 이용하고 있다고 밝혔다. 미국 의회에서 딥시크 사용을 금지한 배경이다.
타임지는 딥시크의 안보 위협 우려로 인해 미국이 중국 기술기업에 더 강한 제재를 가하거나 딥시크 자체를 금지할 가능성이 있다고 봤다.
변인호 기자
jubar@chosunbiz.com