브래드 스미스(Brad Smith) 마이크로소프트 부회장 겸 사장이 8일(현지시간) 열린 미국 의회 상원 청문회에 출석해 증언하고 있다. [ⓒ 연합뉴스]

[디지털데일리 이안나 기자] 생성형 인공지능(AI)을 둘러싼 글로벌 경쟁에서 성능보다 ‘신뢰’가 더 중요한 판단 기준으로 부상하고 있다. 단순히 얼마나 잘 작동하는지를 넘어 어디서 만들어졌고 어떤 기준에 따라 운영되는지가 기업 채택 여부를 좌우하는 흐름이다. 마이크로소프트(MS)의 딥시크 금지 조치는 이 같은 기준 변화를 상징적으로 보여준다.

8일(현지시간) 테크크런치 등 외신에 따르면 MS는 중국 AI 스타트업 딥시크 챗봇 애플리케이션을 사내에서 전면 차단했다. MS 브래드 스미스 부회장 겸 사장은 미국 상원 청문회에서 “직원들이 딥시크 앱을 사용하지 못하도록 조치했다”며 앱스토어에서도 해당 앱을 제거했다고 밝혔다.

MS가 문제 삼은 건 기술적 성능이 아닌 데이터 거버넌스 구조다. 딥시크는 사용자 데이터를 중국 내 서버에 저장하고, 중국 정부 기준에 따라 민감한 주제를 필터링하는 시스템을 내장하고 있다. MS는 이 같은 데이터 흐름과 정보 검열 방식이 자사 보안·신뢰 기준에 부합하지 않는다고 판단했다. 스미스 부회장은 “딥시크 모델 내부를 점검해 해로운 부작용을 제거했다”고 밝혔으나 구체적인 기술 조치 내용은 공개하지 않았다.

딥시크는 오픈소스 모델(R1)을 공개하고 최근엔 수학 특화 AI 모델인 ‘딥시크 프로버’를 오픈소스 커뮤니티 허깅페이스에 출시하는 등 개방성을 내세우고 있지만 MS는 오픈소스 여부만으로는 충분하지 않다는 입장이다. 과거 애저(Azure)에 R1 모델을 한시적으로 탑재할 당시에도 “엄격한 보안 점검을 거쳤다”는 단서를 붙였다.

국내에선 같은 딥시크를 두고 다른 대응이 이뤄지고 있다. 딥시크는 과도한 개인정보 수집과 고지 미흡 논란으로 지난 2월 국내 앱스토어에서 신규 다운로드 서비스를 중단한 바 있다. 개인정보보호위원회는 4월 실태점검을 통해 딥시크가 이용자 기기·네트워크·입력 프롬프트 정보 등을 중국 및 미국 업체 4곳에 무단으로 이전하고, AI 학습에 활용하면서도 동의를 받지 않았다는 사실을 확인했다.

해외 전송된 정보엔 사용자가 딥시크 대화창에 입력한 문장도 포함돼 있었고, 해당 데이터는 틱톡 모회사 바이트댄스 계열 클라우드 플랫폼 ‘볼케이노’로 전송됐다. 국내법이 요구하는 개인정보 파기 절차나 고지도 처리방침에서 누락된 상태였다. 당시 딥시크는 한국어 처리방침조차 제공하지 않았으며 아동 대상 정보 수집 차단 조치도 미흡한 것으로 드러났다.

이에 따라 개인정보위는 ▲프롬프트 입력 정보의 국외 이전 차단 및 이미 이전된 데이터의 즉각 파기 ▲한국어 처리방침 공개 ▲아동 개인정보 보호 조치 강화 ▲국내대리인 지정 등 시정·개선 권고했다.

논란 발생 후 딥시크는 한국어 처리방침을 공개하고 국내법 준수 조항과 함께 ‘이용자가 개인정보 이전을 거부할 수 있다’는 옵트아웃(opt-out) 조항도 도입했다. 해당 기능은 사용자가 입력한 프롬프트 정보를 AI 학습에서 제외하고 삭제할 수 있도록 설계됐다. 아울러 딥시크는 '14세 미만의 아동을 대상으로 서비스를 제공하지 않으며 아동에게 적극적으로 정보를 수집하지 않는다'는 내용을 알렸다.

시정 조치 이후 딥시크는 구글 플레이와 애플 앱스토어에서 신규 다운로드도 재개했다. 약 두 달 간 중단됐던 국내 서비스가 사실상 정상화된 것이다. 개인정보위는 딥시크 측이 문제 해결에 협조했으며 재발 방지를 위한 기술적 조치를 진행 중이라고 밝혔다.

그러나 일각에선 여전히 딥시크 신뢰 구조에 대한 검증이 미흡하다는 지적도 제기된다. 특히 딥시크 개인정보가 여전히 중국 서버에 저장되고 있으며 옵트아웃 기능 실질적 작동 여부도 명확히 입증되지 않았다.

국내 대응이 법률적 절차 이행에 집중된 반면, MS는 데이터 저장 위치, 콘텐츠 필터링 체계, 운영 투명성 등 기술·정책 전반을 아우르는 기준을 적용해 금지 결정을 내렸다는 점에서 차이가 있다. 딥시크가 국내법상 고지 의무나 동의 절차 등 형식 요건을 충족하면 문제가 없다고 보는 것과 달리, MS는 구조적으로 신뢰할 수 있는 서비스인지 여부를 더 중시한 것이다.

이는 ‘법을 지켰는가’보다 ‘이 기술을 믿을 수 있는가’가 판단 기준이 되는 전환의 흐름을 보여준다. 국내서도 단기적 조치를 넘어 보다 근본적인 기술 신뢰 평가 체계를 마련해야 한다는 목소리가 나온다.