안녕하십니까? 개인정보보호위원회 조사조정국장입니다.

기자님들께서 질문이 많으셔서 저희가 개인정보보호위원회가 딥시크 관련해서 대응하고 있는 상황을 종합적으로 설명드리고 질의응답을 갖는 시간을 갖도록 하겠습니다.

딥시크 관련 개인정보보호위원회의 대응에 대해서 종합적으로 말씀드리도록 하겠습니다.

개인정보보호위원회는 최근 출시된 생성형 AI 딥시크와 관련하여 우리 국민들의 개인정보 보호에 한 치의 소홀함이 없도록 국내외 주요 기관과 긴밀히 협력하며 다양한 노력을 경주 중에 있습니다.

구체적으로 말씀드리겠습니다.

먼저, 딥시크 본사에 즉각 질의서를 송부한 바 있습니다. 딥시크 출시 직후 딥시크 본사에 해당 서비스의 개발 및 제공 과정에서 데이터의 수집·처리와 관련된 핵심적인 사항들을 온·오프라인을 포함한 다수 채널을 통하여 1월 31일 공식적으로 질의하였습니다.

주요 내용은 개인정보 처리 주체, 수집 항목, 수집 목적, 수집·이용 및 저장 방식, 공유 여부 등이며 통상 몇 차례의 질의응답 과정이 반복적으로 이루어지게 됩니다.

두 번째, 이와 함께 개인정보보호위원회 자체적으로 기술 분석을 진행 중에 있습니다. 해당 서비스와 관련된 주요 공식 문서인 개인정보 처리방침 이용약관 등에 대하여 타 AI 서비스와 면밀한 비교 분석을 실시 중에 있으며 실제 이용 환경을 구성하여 서비스 사용 시 구체적으로 전송되는 데이터나 트래픽 등에 대한 기술 분석을 전문기관 등과 함께 진행 중에 있습니다.

다음 세 번째로, 주요국 개인정보 규제·감독 기구와 협조체제를 구성하여 운영 중에 있습니다. 그동안 개인정보보호위원회가 협력 채널을 구축해 온 해외 주요국 개인정보 규제·감독 기구인 영국의 ICO, 프랑스의 CNIL, 아일랜드의 DPC 등과 협의를 시작하였고 현재 관련 상황을 공유 중으로 향후 공동 대응 방안도 논의 중에 있습니다.

네 번째로, 공식 외교 채널을 통한 협조도 구하고 있습니다. 북경 소재 한중 개인정보보호협력센터를 통해 중국 현지에서도 소통을 시도 중에 있으며 우리나라의 중국 공식 외교 채널을 통한 원활한 협조도 당부할 예정입니다.

끝으로, 결과 발표 전 신중한 이용을 당부드리며 개인정보 관점에서 생성형 AI 이용 안내를 위한 정책 자료도 제공을 추진 중에 있습니다.

이상 말씀드린 바와 같이 개인정보보호위원회는 다각적이고 종합적인 대책들을 통해 해당 서비스에 대한 조속한 검토를 거쳐 필요시 개인정보를 걱정 없이 안전하게 활용할 수 있는 방안을 제시할 예정이며 결과 발표 전까지 서비스 이용 과정에서 보안상 우려가 지속적으로 제기되고 있는 상황을 고려하여 신중한 이용을 당부드립니다.

참고로 안전한 개인정보를 위한 생성형 AI 사용법 이용수칙을 같이 붙임으로 송부드리고 개인정보보호위원회 차원에서도 적극적으로 홍보해 나갈 계획입니다.

이와 아울러서 그동안 개인정보보호위원회는 지난해부터 해서 주요 AI 서비스에 대한 사전 실태점검이라든지 PbD, 프라이버시 중심 설계를 지원하는 사전 적정성 검토라든지 그리고 다수의 개인정보 보호를 위한 AI 관련된 가이드라인 마련 등을 통하여 AI 관련된 전문 지식과 경험을 축적해 왔고 챗GPT 등을 비롯한 생성형 AI의 업무 활용 수요가 늘어날 것으로 전망되는 상황에서 일정 규모 이상의 공공·민간 조직이 개인정보 관점에서 주의해야 할 사항을 안내하는 정책 자료를 만들어 1분기 중 배포할 예정입니다.

이상으로 지금까지 개인정보보호위원회가 딥시크 관련해서 대응하고 있는 상황을 말씀드렸고, 기자님들 질문 있으시면 질문에 답변할 수 있도록 하겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하십니까? 지금 딥시크에 보낸 질의서 관련해서 그쪽에서 아직 회신은 없는 걸로 알고 있는데요. 추가로, 답이 오기 전까지 추가로 질의를 더, 조사 결과를 더해서 추가 질의를 하신다거나 아니면 조사 결과 내용을 일단 딥시크에서 답이 오기 전까지는 보낼 수 없는 상황이라든가, 진행 상황을 한번 알려주시기 바라고요.

그리고 딥시크 쪽에서 회신이 오게 됐는데 그 결과에 따라서 취할 수 있는 조치가 어떤 게 있는지 설명해 주시면 감사하겠습니다.

<답변> 일단 말씀드린 대로 저희가 질의서는 1월 31일 송부한 상황이고요. 통상적으로 저희가 워킹 데이로 한 2주 정도 답변 시한을 부여하는 관계로 아직까지 답변 기한이 도래하지는 않은 상황입니다. 아직까지 답변은 오지 않은 상황이고요.

그래서 말씀드린 대로로 이거하고는 별개로 저희가 자체적인 기술 분석이라든지 그리고 해외 개인정보보호위원회와 유사한 기능을 수행하는 주요국 감독 기구들과 협조체제를 지금 구축하고 있다는 말씀을 드린 상황이고요.

저희가 아직 안전성이나 위험성이 구체적으로 확인된 것은 아니라서 저희가 공식적인 조사 단계는 아니고, 지금 기자님 말씀 주신 것처럼 그 결과에 따라서 어떤 상황은 취할 수는 있겠지만 좀 가정적인 상황이기 때문에 저희가 어떤, 어떤 대책을 취할 수 있다고 구체적으로 지금 상황에서 말씀드리기에는 조금 어려운 점이 있는 점을 양해 부탁드리겠습니다.

<질문> ***

<답변> 기자님, 그거는 저희가 통상적인 양식, 유사한 양식이 있습니다. 그래서 말씀드린 대로 통상 저희가 한 2주 정도 기한을 주고 상대측의 요청이 있을 때는, 그 연장 요청이나 이런 게 있을 때는 합리적인 기간 안에서 연장하는 이런 형태로 운영이 되고 있습니다. 그래서 이 건 관련해서 다른 건과 특별히 다른 것은 아니었다는 점을 말씀드립니다.

<질문> ***

<답변> 그래서 말씀드린 대로 저희가 그 질의서와 별개로 해서 저희 자체적으로 분석도 실시하고 있고, 말씀드린 대로 해외 주요국의 개인정보 관련된 규제 기구와 공동 대응 체제도 마련하고 있다는 말씀을 드린 거고요.

저희가 2월 8일을 못 박은 건 아니고, 말씀드린 대로 통상적으로 워킹 데이로 한 2주 정도의 답변 기한을 주고 있다, 그 말씀을 드린 거고, 통상의 예에 따라서 그렇게 추진을 했고 그 상황에 따라서 그거는 유동적인...

<질문> ***

<답변> 그거는 말씀드린 대로 이 건에 특정한 게 아니고요. 저희가 통상 그런 형태로 보내고 있습니다. 그래서 이번에도 그렇게 되어 있다는 말씀드리겠습니다.

<질문> ***

<답변> 아니요. 그게 표준적인 양식이고 이번에도 그 양식에 따라서 보냈기 때문에.

<질문> ***

<답변> 그건 있습니다.

<질문> ***

<답변> 그렇습니다.

<질문> ***

<답변> 그건 아니고요. 워킹 데이로 2주 정도이기 때문에.

<질문> ***

<답변> 네.

<질문> ***

<답변> 언제까지 마무리하겠다, 이렇게 딱 잘라서 말씀드리기는 조금 곤란한 측면이 있고요. 저희 그쪽을 지원해 주는 전문기관과 그리고 외부 전문가들과 같이 검토하고 있다, 그리고 기자님 잘 아시겠지만 다른 보안 관련된 부처나 기관들에서도 그 분석을 진행 중인 걸로 알고 있어서 그런 부처나 기관들과도 협조해서 최대한 신속하게 진행할 계획입니다.

<질문> 추가로 조금 더 질문을 드리면 그러면 이 조사는 혹시, 이 분석은 혹시 언제부터 시작을 하게 된 건지, 했는지 여쭙고 싶습니다, 기술 분석이요. 기술 분석을 언제부터 시작했는지 ***

<답변> 이거는 기자님 더 잘 아시겠지만 딥시크 출시된 게 1월 말이지 않습니까? 1월 말 여러 우려되는 보도들이 있고 해서 저희가 질의서도 만들면서 그 과정부터 바로 자체 분석도 실시한 상황으로 봐 주시면 될 것 같습니다.

<질문> ***

<답변> 일단 언론 보도도 많이 됐고 그 부분에 관해서는 저희도 개인정보 과다 수집, 소지라든지 그리고 정보 주체의 권리 관련해서 이런 것들을 종합적으로 보고 있고요. 언론 보도된 내용들 중심으로 해서 저희가 보고 있고 기타 추가적으로 분석하면서 해외에서도 그런 우려가 있기 때문에 각국 개인정보 보호 관련된 기구도 저희가 유사한 질의라든지 이러한 소통 채널을 만들려고 하는 걸로 알고 있어서 그쪽 기구들하고도 같이 협력을 하고 있는 상황입니다.

<질문> ***

<답변> 역시 같은 질의 말씀이라서, 아까도 제가 다른 기자님께 말씀드렸지만 저희가 가정적인 상황에 대해서 말씀드리는 거는 조금 적절치 않고요. 그리고 이쪽 기구들하고도 논의해서 결정된 사항이기 때문에 저희 단독으로 그걸 결정하기에는 어려운 측면이 있어서, 일단 실무진 차원에서 지금 3개 기구 정도 말씀을 드렸고 일부 기구하고는 현재 상황을 공유하고 향후에 필요시 공동 대응도 논의해 보자, 라는 이런 정도까지는 와 있다고 보시면 될 것 같습니다.

<질문> 다시 한번 하면 아까 만약에 2주에 안 오면 어떻게 하겠다는 플랜 A·B가 아까 그냥 국제협력을 뭉뚱그려 얘기하신 것 같은데 안 왔을 때 플랜 A·B가 있으신지, 그 A·B는 뭔지, 그냥, 그러면 딥시크한테 얘기할 수, 물론 여러 가지 제한적인 게 있겠지만 더 요구할 수 없는 그런 것 같은데 이 플랜, 안 왔을 때 플랜 A·B, 그다음에 있으면 그 내용은 뭔지하고요.

그리고 앞으로 중국에 이런 딥시크 같은 게 4,000개 있다고 그러는데 계속 쏟아져 나올 텐데 그때마다 다 개인 기업한테 보낼 수 없을 거 아니에요? 해서, 그런, 앞으로 이런 생성형 AI들 계속 쏟아져 나올 텐데 전체적인 어떻게 얘기하고 대책 같은 게 궁금합니다.

<답변> 기자님께서 굉장히 좋은 질문해 주셨고요. 그래서, 일단 말씀드리면 저희는, 제가 봤을 때 그간의 저희 경험이라든지 한국이나 한국 개인정보보호위원회의 위상을 봤을 때 답변이 올 것으로 예상하고 있고요. 그리고 그것과 병행해서 그 자체적인 기술 분석이라든지 그 구체화 분석하고 있고,

<질문> 제 질문은 플랜 A·B가 있느냐는 겁니다. ***

<답변> 말씀드린 게 저희 자체적인 분석이라든지 외교적인 노력, 협력 채널 구축 이런 거에 대해서 다양한 대책을 마련해서 종합적으로 대응 중이라는 걸 말씀드린 거고요.

그리고 기자님, 좋은 말씀인데 '이렇게 매번 똑같이 대응할 거냐?' 그거 관련해서 저희가 우선은 급하게 이용수칙을 오늘 어느 정도 제공해 드리고, 그동안에 저희가 주요 AI 서비스 관련해서 다양한 지침이라든지 정책을 마련하고 점검도 실시를 했습니다. 작년에 주요 AI 서비스에 대한 사전 실태점검도 했고, 사전 적정성 검토 그리고 가이드라인도 다수를 발표했기 때문에 그것들을 종합적으로 해서 기자님이 말씀 주신 것처럼 공통적인, 핵심적인 사항들을 토대로 국내 정보 주체의 개인정보가 보호될 수 있는 그런 정책 자료라든지 가이드라인을 최대한 신속하게 제공하겠다, 라는 그 말씀을 저희 보도 설명자료에도 맨 뒤에 참고로 넣어놨습니다.

<질문> 위원회는 지금 직원들이 딥시크 사용하는 걸 차단하고 있는지, 그게 없어서 발표가 없어서 궁금하고요. 그리고 딥시크을 상대로 해킹 공격도 있었고 개인정보 유출도 있었는데 국내 이용자들 이용, 개인정보 유출됐는지 그거 파악은 어떻게 하실 계획이신가 궁금합니다.

<답변> 먼저, 첫 번째 관련해서는 공공기관 총괄하는 행정안전부 차원에서 각 부처에 업무 목적으로 딥시크 사용 주의라든지 이런 공문서가 와서 저희도 내부적으로 다 공유하고 저희 게시판 등이나 이런 걸 통해서 직원들한테도 주지하고 교육시킨 상황입니다.

그리고 두 번째 관련해서 개인정보, 딥시크에서 개인정보 유출 관련된 상황도 일부 해외 언론에서 보도가 되어서 저희가 그 부분도 같이 살펴보고 있다고 말씀드리겠습니다.

<질문> 최근에 중앙기관, 지자체, 일반 기업들까지 해서 개인정보 유출 이후로 딥시크 접속 차단 조치 나서고 있잖아요. 이런 게 개인정보위가 봤을 때 과잉대응이라고 보시는지 아니면 적절한 조치라고 생각을 하시는지, 그리고 방금 전 질문에서 개인정보위 딥시크 차단 조치 내리셨는지는 답 안 해 주신 것 같은데.

<답변> 제가 알기로 저희 위원회 차원에서 별도로 차단이나 이런 거는 없고요. 말씀드렸듯이 행안부 지침에 충실히 따라서 업무 목적으로 딥시크를 이용하는 경우 자제라든지 주의를 당부했고 교육했고, 그런 내용들을 공문서뿐만이 아니고 저희 자체 게시판을 통해서 공지를 하고 있는 상황입니다.

<질문> ***

<답변> (관계자) 대변인입니다. 기관별로 사정이 있기 때문에 사정에 따라서 차단 조치를 할 것인지, 그렇지 않으면 지금 공공기관의 보안을 담당하고 있는 행정안전부나 국정원의 지침의 수준에서 이를 건지는 기관 자율적인 사항이기 때문에 저희 조치 자체가 내지는 다른 기관의 조치가 타당하다, 라고 저희가 섣불리 이야기하는 건 적절하지 않은 것 같고요.

저희는 개인정보를 총괄하는 기관 입장에서는 일단 딥시크와 함께 이 전체적인 사실관계를 규명하고, 그다음에 추가적인 대책을 해야 되는 입장에서는 지금 정도의 조치가 적절한 수준이라고 저희는 판단하고 있습니다.

<질문> 딥시크의 경우에는 우리나라 국내에 사업장이 없는 사업장인데 방금 전에 나왔던 국내 이용자 개인정보 유출이라든지 이런 것들에 대해서는, 가정적인 상황입니다만 있는 경우에는 조사 과정을 통해서 아마 처분이 이루어질 것으로 예상이 됩니다. 그런데 국내 사업장이 없는 사업자에 대해서 이런 개인정보위가 처분을 한 전례가 있는지 궁금한데요.

<답변> 국내 사업장이 없더라도 국내 정보 주체에게 서비스를 제공하는 경우에는 당연히 저희 보호법상 개인정보 처리자에 해당하고 그런 경우에 유출이라든지 침해라든지 이런 보호법 위반 사항이 있는 경우에는 저희가 그동안 다수 처분을 해 온 사례가 있습니다.

혹시 기자님 기억하시는지 모르겠지만 작년에 챗GPT 관련해서 유출이 있었을 때도 저희가 유출 통지 신고 의무 위반으로 해서 과태료를 부과했던 적이 있습니다.

<질문> 일단 딥시크와 관련해서 선제적인 조치, 금지 등의 요구하는 목소리가 커지고 있는데 다른 각 부처마다 개별적으로 하고 있잖아요. 전문가들 사이에서는 대통령 지시가 있어야만 제한이 가능할 텐데 이걸 다른 부처에도 물어보니까 좀 돌리더라고요. 개인정보위도 자기 권한이 없다, 방통위도 없다, 행안부도 없다, 그럼 누가 전체적으로 했을 때 그런 조치는 어떻게 진행될 건지, 차후에는 대통령 지시가 있어야만 가능한 건지 그것 좀 여쭈고 싶습니다.

<답변> 부처 간의 협력이나 정보 공유는 지금도 충분히 이루어지고 있고요. 전체적인 차원에서 논의가 이루어진 걸로 알고 있고 그 부분은 제가 말씀드리기에는 적절치 않은 것 같습니다.

다만, 부처 간 회의라든지 이런 거는 있는 상황이고요. 그 부분은 아마 다른 경로나 이런 걸 통해서 공식적으로 전달이 이루어질 것으로 알고 있습니다.

<질문> 딥시크와 개인정보 처리 약관이 있고 다른 LLM 모델들이 있는데 이 약관 같은 경우는 금방 파악을 할 수 있었을 거라고 생각을 하는데 약관이 다른 것하고 과도한 측면이 있는지, 거기에 대해서 의견이 어떠신지 개인정보보호위 차원에서 어떤지, 그게 좀 일단 여쭤보고 싶고요.

또 하나는 개인정보보호법이 2023년인가 개정이 돼서 행태 정보 관련해서도 개인정보로 분류할 수 있는지, 없는지 이런 가이드라인 같은 게 나오고 있는데 LLM에서 입력하는 것들에 대해서 만약에 개인정보성으로 볼 수 있는 그런 정보들이 있으면 거기에 대해서 어떤 조치를 취할 계획이 있는지.

<답변> 기자님 말씀하신 대로 현재 단계에서는 사실관계 확인이 제일 우선이라고 생각을 하고요. 기자님 말씀하신 것처럼 처리방침이나 이용약관을 다른 것하고 비교하는 것은 시간이 오래 걸리지 않습니다.

다만, 저희가 말씀드린 대로 이 이용약관이나 처리방침대로 되고 있는지, 실제 그 이용하는 환경에서 어떤 데이터가 가고, 트래픽이 어떻게 되는지 이걸 같이 봐줘서 그 정합성을 따져줘야 되기 때문에 저희가 그런 처리방침이나 이용약관 분석하고 이런 기술적인 분석을 같이 진행하고 있다는 말씀을 드린 겁니다. 그리고 그 결과에 따라서 당연히 위법성이 발견된다고 하면 그 보호법에 따른 조치를 취하게 될 거고요.

<질문> 두 번째 질문은 행태정보가 만약에 LLM에 들어간다면 그것도 금지 대상이 될 수 있는지 여쭤보겠습니다.

<답변> 일단 합법 처리 근거를 갖추었는지를 봐야 되기 때문에, 그래서 가장 중요한 거는 실제로 어떤 개인정보를 수집하고 있고 그거를 수집해서 어떻게 처리하고 있고 이걸 그 개인정보 처리방침이나 이용약관에는 어떻게 이걸 얘기하고 있는지를 다 같이 봐줘야 저희가 위법성을 판단할 수 있는 부분이 있습니다.

그래서 단정적으로 LLM 모델에 행태정보가 들어가서는 된다, 안 된다, 이렇게 말씀드리기에는 어려운 점이 있는 점을 양해해 주시기 바랍니다. 나중에 저희가 검토 결과를 종합적으로 말씀드릴 때 그런 구체적인 사항에 대해서 소상히 설명드리도록 하겠습니다.

<질문> 지금 방금 질문 나왔었던 다른 LLM들과의 얼마큼의 차이가 있는지에 대해서는 명확하게 답을 안 주신 것 같은데요. 그리고 보도자료도 보면 챗GPT나 다른, 약간 뭉뚱그려 설명하신 게 있고 딥시크가 특별히 과도하게 문제가 있다, 라는 느낌은 여기서 안 주고 계시는데 보시기에는 약간, 오늘 브리핑도 별도로 여실 정도니까 한번 좀 개인정보위가 판단하고 계시는, 딥시크가 특별히 더 위험한지 그런, 아니면 그냥 언론 보도가 있으니까 지금 주의를 기울이라는 수준인 건지, 다른 상대적인 측면으로 봐서 어느 정도 위험성이 있다고 보시는지 한번 설명해 주시면 좋을 것 같습니다.

<답변> 기자님 말씀 주신 것처럼 일부 언론이 아니고 국내외 주요 언론과 해외 각국에서 문제의 소지가 있다고 얘기들을 해 주시고 계셔서 그러한 부분들을 중심으로 해서 개인정보보호위원회도 선제적으로 대응하고 있고 다른 나라 개인정보 규제 기구와 공동으로 대응하고 있다는 말씀으로 우선은 갈음하도록 하겠습니다.

저희가 지금 구체적으로 보고 있는 단계기 때문에 어떻게 보면 그 결과에 대해서 저희가 예단적으로 지금 말씀드리기에는 조금 어려운 점이 있습니다.

<질문> 질문 기회 주셔서 감사합니다. 사실 갑자기 여신 브리핑치곤 내용이 없다는 생각을 지울 수가 없는데 그러면 조사 기간이 어느 정도 될 것이라고 예상하시고 결과 발표는 언제쯤 이루어질 수 있을 거라고 보시는지요?

<답변> 이 브리핑을 열게 된 이유는 제가 모두에도 말씀드렸듯이 여러 기자님들이 개별적으로 질의를 해 주시는 경우가 많아서 저희가 위원회 차원에서 하고 있는 내용들을 종합적으로 설명을 드리고 질의응답 하는 시간을 갖기 위해서 마련하게 된 거고요.

저희가 이 건뿐만이 아니고 모든 건에 대해서 조사라든지 검토라든지 이걸 할 때 저희가 기한을 정해 놓고 하고 있지는 않습니다. 다만, 이 건 관련해서 국민들을 포함해서 언론들의 관심이 굉장히 많은 상황이기 때문에 저희가 말씀드린 대로 국내외에 개인정보보호위원회가 동원할 수 있는 그 모든 자원을 총동원해서 다양한 대책을 강구 중이고 최대한 조속한 시간 내에 검토 결과에 대해서 말씀드리고 관련된 가이드라인이라든지 정책 자료도 제공해 드리겠다는 그런 말씀을 드리기 위해서 이 자리를 마련하게 됐습니다.

그리고 추가적으로 저희가 중간, 중간에 새로운 이벤트들이라든지 상황이 발생하게 되는 경우에는 바로바로 기자님들께 알려드릴 수 있도록 그렇게 하겠습니다.

<질문> 일단 네이버와 카카오가 대표적인데요. AI 기업들과 협력을 하고 있는데 네이버와 카카오와 혹시 따로 이야기를 하고 있는지, 그리고 차후에 협력을 맺었을 때 그 기업에 대한 모니터링이나 그걸 진행하고 있는지 그것 좀 여쭈고 싶습니다.

<답변> 딥시크 관련해서 말씀하신 건가요?

<질문> AI 관련해서요, 딥시크 말고요.

<답변> AI 관련된 정책 전반에 대해서는 저희 정책국에서 추진을 하고 있고, 저희는 조사조정국이기 때문에 조사라든지 실태점검 관련된 부분만 하고 있습니다. 그래서 저희가 딥시크 관련된 실태점검 관련해서 네이버나 카카오하고 협력하고 있는 사항은 없습니다.

<질문> *** 지금 카카오는 오픈AI 하고 있잖아요. 오픈AI의 모니터링을 하고 있는지, 그리고 차후에 네이버와 카카오와 맺는 업체에 대해서도 똑같이 딥시크처럼 이런 식으로 조사를 할 것인지 그거 여쭈는 겁니다.

<답변> 저희가 조사나 점검을 하는 경우는 기자님 그냥 보시면 크게 두 가지 종류가 있다고 보시면 되고요. 첫 번째는 사고가 일어났을 경우에, 유출 사고나 침해 사고가 일어났을 경우에는 저희가 기본적으로 조사에 착수하게 되고, 현재 상황처럼 개인정보에 대한 침해 우려가 사회적으로 많이 문제가 되는 경우에는 저희가 기초적인 사실관계 확인을 통해서 추후에 조사라든지 점검이라든지 이런 걸 착수하게 되는 이런 과정에 돼 있습니다.

그래서 저희가 모든 서비스나 새로운 신규 서비스, 신규 사업에 대해서 조사나 점검을 하는 거는 아니라는 말씀드리고요. 경우에 따라서 그런 서비스에서도 사전에 저희 쪽에 검토를 받는 방법도 있고, 개인정보에 문제가 있는지, 없는지. 그렇게 되면 저희가 사전적정성 검토라든지 이런 걸 통해서 문제가 있다, 없다, 아니면 프라이버시 관점에서 기본 디자인을 어떻게 했으면 좋겠다, 이런 걸 컨설팅해 줄 수가 있고 사후에라도 해당 서비스에서 사고가 일어나게 되는 경우에는 저희가 기본적으로 조사에 착수하게 됩니다. 그런 형태로 진행된다는 말씀드리겠습니다.

<질문> 개보위 자체 분석 범위 내에 딥시크 LLM 모델 안에 국내 이용자의 개인정보가 학습되어 있는지도 혹시 포함돼 있나요?

<답변> 지금 말씀하신 거는 일단 학습 과정을 말씀하시는 것 같고, 그런데 지금 현재 가장 기본적인 거는 저희가 실제 가상의 이용 환경을 마련해 놓고 그 과정에서 어떤 개인정보가 수집되는지, 그리고 이걸 어떻게 처리하고 하는지 지금 그 이용 단계를 분석하고 있는 과정에 중점이 맞춰져 있는데, 그 앞의 학습 단계와 이게 완전히 분리된 것은 아니기 때문에 저희가 그 부분도 보조적으로 같이 보고 있고, 그런 부분들에 대해서도 말씀하신, 특히 데이터를 어떻게 학습했는지 이런 부분들에 관해서 중점적으로 공식적인 질의를 보내놓은 상황입니다.

<질문> 현재 협력 중인 개인정보보호당국 해외 국가는 어디, 어디인지가 궁금하고요.

그리고 비슷한 질문 계속 나왔는데 챗GPT나 다른 생성형 AI 모델 관련해서는 그렇게 문제가 생기진 않았는데 뭐랄까, 소란스럽게 조사하는 경우는 없었던 것 같거든요. 근데 유난히 이번 경우에 문제 제기가 이루어지고 조사까지 들어가는 거는 중국에서 만들어져서라고 보면 되는지 궁금합니다.

<답변> 일단 저희가 협력하고 있는 해외 주요국 기구·기관은 저희가 보도 설명자료에 말씀드린 대로 영국의 ICO 그리고 프랑스의 CNIL 그리고 아일랜드 DPC고요. 기자님도 잘 아시겠지만 해당 국가의 개인정보보호위원회와 유사한 기관이라고 보시면 될 것 같고요.

저희가 몇 년 전부터 해서 이쪽 기관들과는 MOU를 체결해 와서 상시적인 연락 채널이 있었고요. 이번 사태를 계기로 해서 그 연락 채널을 통해서 상황을 공유하고 있는 상태이고 일부, 그중의 일부 기관들하고는 향후에 공동 대응도 할 수 있다, 라는 이런 논의까지 하고 있는 상황입니다.

그리고 하나 주신 말씀은 중국 때문에 상황을 좀 더 심각하게 보고 있는 것 아니냐는 말씀 주셨는데 그건 언론... 기자님들이 더 잘 아시다시피 일단 언론에서 지적되고 있는 것처럼 개인정보를 타 서비스에 비해서 과다 수집하고 있는 소지가 일부 있다, 라고 보도가 되고 있고, 또 하나는 개인정보의 국외 이전 자체가 문제 된다, 라기보다는 이 국외 이전이 합법 처리 근거를 갖췄는지와 그리고 중국 국내법하고의 관계에서 중국 정부의 개입 가능성이나 이런 점에 우려가 있으시기 때문에 일부 언론도 그렇고 해외 각국도 그렇고 우려가 좀 더 있다, 라고 생각하고 있습니다.

<질문> (온라인 질의 대독) 문자로 들어온 질문이 있습니다. 제가 대독하겠습니다. 전자신문 기자의 질문인데요. 딥시크와 타 생성형 AI의 개인정보 수집 동의약관 비교 분석이 위원회의 통상적인 업무 범위인지 아니면 논란이 최근에 일고 있기 때문에 이를 인지하고 분석하고 있는 건지 궁금합니다, 라는 질문이 있었습니다.

<답변> 개인정보 처리방침은 저희 위원회가 가장 중심적으로 하고 있는 업무의 일종이고요. 그리고 기본적으로 개인정보 유출이나 침해 사고가 있게 되면 개인정보 처리방침부터 저희가 살펴보고 있는 상황이고요.

어떻게 하면 개인정보 처리방침을 정보 주체들이 알기 쉽게 그리고 이해하기 쉽게 그리고 보호법을 준수하는 방향에서 마련해야 되는지 저희가 분석을 한다든지, 평가를 한다든지, 우수사례에 대한 공지를 한다든지 이런 부분들은 계속적으로 진행하고 있고, 개인정보 처리방침에 대한 분석이나 평가는 저희 위원회의 핵심적인 업무 중의 하나라고 보시면 될 것 같습니다.

<질문> (온라인 질의 대독) 다음은 동아일보 기자의 질문인데요. 세 가지입니다. 첫 번째는 딥시크의 개인정보보호 정책의 경우에 주요 AI 서비스들과 달리 대화정보 수집 동의를 선택할 수 있는 옵트아웃이 없는 것으로 보입니다. 이것이 정보 과도 수집 등의 위법 소지는 없는지 궁금합니다, 라는 것이 첫 번째 질문입니다.

<답변> 질문이 3개라고 하셨는데 3개 다 말씀해 주시면 일괄해서 답변드리겠습니다.

<질문> (온라인 질의 대독) 두 번째는 일각에서는 국외이전 중지명령 제도를 해야 한다는 지적이 나오는데 이와 관련한 검토는 진행 중인지 궁금하다는 질의이고요.

마지막입니다. 중국 법으로 인해서 개인정보를 중국 당국으로 넘어갈 수 있다는 우려에 대해서는 어떻게 판단하고 계시는지 궁금합니다, 라는 질문이 있었습니다.

<답변> 세 가지 다 저희가 중점적으로 보고 있다, 라는 말씀드리겠고요. 저희가 개인정보 처리방침이나 이용약관을 볼 때 정보 주체의 통제권 부분도 같이 보고 있기 때문에 지금 기자님 말씀 주신 것처럼 옵트아웃이라든지 이런 동의 철회라든지 이런 게 잘 구현되어 있는지도 함께 살펴보고 있고, 중국 당국으로 넘어갈 우려라든지, 그러한 우려가 있고 위험성이 크다고 하면 국외이전 중지명령까지 할 건지 이건 사후의 상황인데 중국 정부하고의 공유 여부라든지 이런 부분에 대해서는 같이 살펴보고 있습니다. 그래서 그런 내용 포함해서 저희가 질의를 보냈다고 보도 참고자료에도 보시면 나와 있습니다.

<답변> (사회자) 시간이 많이 지체가 되었는데요. 이제 시간관계상 마지막 질문을 받고자 합니다.

<질문> 왜 시간을 제약을 두시는 거죠? 다 궁금해하는 건데 질문을 충분히 받으세요, 오프라인에서도. 이게 시간을 꼭 제한을 둬야 됩니까?

<답변> (사회자) 알겠습니다. 질의해 주세요.

<질문> 충분히 질문을 받아야지, 지금, 왜.

저 질문하겠습니다. 아까 앞에서 두 번째 자체 기술 분석 진행하겠다고 했는데 지금 보면 저희들 질의서를 보냈으니까 답변이 왔나 하고 왔는데 너무 그냥 '우리 이 일 개보위, 개인정보위 열심히 일하고 있다.' 그것밖에 없고 알맹이는 없어요, 이거는 당연히 이런 일 하고 있을 거라고 다 생각하는 거일 텐데.

두 번째 질문드릴게요. 그래서 기술 분석을 하고 있으면 언제, 누구한테 하고 있는지, 그다음에 아까 언제 결과 나오냐에 대해서 지금 그렇게 크게 오래 걸릴 사안이 아니거든요. 지금 답변을 기다려서 그거와 온라인 하려고 안 하시는지, 아니면 최소한 10일 후라든가, 이게 그렇게 오래 시간이, 분석이 걸릴 게 아니잖아요, 지금 이렇게 기술적인 건데. 그걸 조금 더 알려주시고 언제까지, 10일이라든가. 그다음에 사실 누구한테 맡겼느냐도 궁금한데 그런 것까지 오픈 못 하시더라도 최소한 결과를 언제까지는 하겠다는 걸 알려주셔야 될 것 같고요.

그다음에 자꾸 국제협력하고 그러는데 정책 같은 경우 다 그 나라마다 고유의 문화를 반영해서 법도 만들고 그랬을 텐데 걔네들이 만든 거 그렇다고 우리가 할 수 있는 것도 아니잖아요. 기술 같은 건 사실 국제적으로 협력을 할 수 있다고 치지만 정책은 제가 보기에는 선진국 이렇게 비교하고 이렇게 해서 할, 우리가 선진적으로 만든, 법도 만든 나라인데 자꾸 국제협력을 하고 있다고 이렇게, 그런 식으로 하는 게 이해가 잘 안되고요.

혹시 기술 이런 분석에서도 혹시 다른 국제와 같이하고 있는지, 지금 세 가지입니다. 저기 첫 번째 다시 하면 언제까지 결과가 나오시는지, 그다음에 이 기술 분석에서 국제기관이 들어가 있는지, 세 번째, 자꾸 국제협력 얘기하시는데 이런 국제협력하고 그 양반들에게 나온 의견들하고 그렇다고 우리가 적용할 것도 아닌데 그게 큰 의미가 있나요? 세 가지입니다.

<답변> 기자님, 거꾸로, 순서를 거꾸로 해서 답변드릴게요. 저희가 국제협력을 강조한다는 거는 통상적인 국제협력을 말씀드리는 게 아니고 이거는 저희, 말씀드린 대로 딥시크 관련해서 저희와 유사 기능을 수행하는 기구들끼리 공동으로 딥시크사에 대응을 하고 있다는 차원에서 봐 주시면 될 것 같고요. 그래서 상대 쪽 기구들도 유사한 질의 내용을 보낸 것으로 알고 있고, 아직까지 저희가 파악하기로는 그쪽도 답변을 못 받은 거로 알고 있어서,

<질문> 몇 개국 나라한테 이렇게 보냈습니까? 딥시크한테 이거 달라고.

<답변> 몇 개국 나라라고 제가 말씀드리기에는 쉽지 않고요. 저희가 말씀드리는 건 세 개의 기구와 지금 이야기를 하고 있고 저희가 그동안에 협력을 해 오고 있던 세 개의 기구와 그동안의 협력 채널을 통해서 얘기를 하고 있고 그 관련해서 딥시크 쪽에 같이 보조를 맞춰서 요구를 하자.

아무래도 하나의 국가에서 요구하는 거보다는 여러 국가가 공동으로 요구를 할 때 상대 쪽에서 받아들이는 부담이나 압력도 조금 더 클 거기 때문에 그런 차원에서 저희가 국제협력 하고 있고 필요하면 추가적인 공동 대응이라든지 이런 것도 조금 더 검토를 하고 있다는 그 말씀을 드린 거고요.

그리고 기술 분석하고, 저희가 보도 설명자료에도 잠깐 넣어놓았지만 질의서를 저희가 보낸 목적은 크게 두 가지가 있는데요. 이게 실제적인 상황을 확인하는 게 하나가 있고, 또 하나는 말씀드린 대로 최대한 빨리 신속한 다이렉트 소통 채널을 마련하는 측면이 있습니다.

그래서 질의는 한 번으로 끝나는 게 아니고 통상 몇 차례의 질의 과정이 반복되게 되고 이 기술 분석하고 같이 해 줘야 되는 이유가 이 기술 분석 결과를 바탕으로 추가적인 질의나 그쪽의 문제점에 대한, 저희가 답변해 온 내용과 저희가 기술 분석한 결과와 대조해 봤을 때 차이점이 있다면 당연히 추가적인 질의를 해서 그 부분에 대한 문제점을 파악해야 되는 노력이 필요하기 때문에 이 질의하고 기술 분석은 같이 돌아가는 거다, 이 말씀 다시 하나 드리겠고요.

정말 죄송한 말씀이기는 한데 저희가 기한을 못 박는 거는 정말 쉽지 않고요. 기자님들이나 여러 국민들의 우려가 있는 것으로 알고 있기 때문에 최대한 신속하게 저희가 검토해서 그 결과에 대해서는 일부 기자님들께서는 부족하다고 말씀 주시지만 저희가 중간, 중간이라도 계속적으로 수시로 피드백해 드릴 수 있도록 하겠습니다.

<답변> (사회자) 그러면 더 이상의 질문은 없는 것으로 알고 금일 브리핑을 마치도록 하겠습니다. 오늘 참석해 주신 기자분들께 대단히 감사의 말씀을 드리겠습니다.

<끝>

이전다음기사

다음기사국방부 일일 정례 브리핑