한국 내 DeepSeek 금지령의 법적 쟁점 분석 보고서

1. 요약

최근 한국에서 인공지능(AI) 앱 DeepSeek에 대한 금지령이 내려진 것은 주로 중국 기술 대기업인 ByteDance와의 연관성으로 인한 데이터 프라이버시 문제에 기인한다. 개인정보보호위원회(PIPC)는 DeepSeek 앱이 사용자 정보를 ByteDance에 부적절하게 공유한 사실을 확인하고, 국내 개인정보보호법을 위반했다고 판단하여 앱 스토어에서 삭제 조치를 취했다 ¹. DeepSeek은 한국 규제 당국의 우려에 대해 서비스 중단 및 규정 준수를 위한 플랫폼 개선을 약속했다 ¹. 이와 유사하게 이탈리아, 호주, 대만 등 다른 국가에서도 데이터 프라이버시 및 보안 문제로 DeepSeek에 대한 제재를 가한 바 있다 ¹.

DeepSeek은 뛰어난 성능의 챗봇을 저렴한 비용으로 제공하여 빠르게 인기를 얻었으나 ³, 이러한 급격한 성장은 데이터 처리 방식에 대한 규제 당국의 면밀한 조사를 촉발했다. DeepSeek의 빠른 시장 확산은 잠재적인 대규모 데이터 프라이버시 침해에 대한 우려를 증폭시켜 규제 기관의 긴급한 개입을 필요로 했을 가능성이 높다. 더불어, DeepSeek이 다양한 데이터 보호 기준을 가진 글로벌 환경에서 운영되는 중국 기업이라는 점은 국제 규제 당국과의 신뢰 구축 및 규정 준수 보장에 복잡성을 더한다.

2. 서론

DeepSeek의 AI 모델, 특히 R1 챗봇은 뛰어난 성능과 비용 효율성으로 AI 시장에 상당한 파장을 일으키며 주목을 받았다 ³. 그러나 DeepSeek이 등장한 직후부터 데이터 정책에 대한 우려가 빠르게 제기되었다 ⁵. 한국의 DeepSeek 금지 조치는 DeepSeek에 대한 국제적인 규제 감시가 강화되는 추세의 일부로 볼 수 있다 ¹.

DeepSeek의 기술적 진보와 즉각적인 규제 반발의 병치는 AI 혁신과 확립된 데이터 프라이버시 규범 간의 근본적인 긴장을 시사한다. 아무리 뛰어난 기술이라 할지라도, 사용자 데이터 처리 방식은 다양한 관할 지역에서의 수용 및 합법성을 결정하는 중요한 요소이다. 또한, 이러한 금지 조치가 전 세계적으로 나타나는 현상은 데이터 프라이버시가 중심이 되는 국제 AI 서비스 규제 방식의 잠재적인 변화를 나타낸다. 여러 국가에서 유사한 조치를 취하는 것은 공통된 우려를 반영하며, AI 데이터 처리에 대한 보다 표준화되거나 최소한 더 엄격한 국제 규정으로 나아갈 가능성을 시사한다.

3. 한국의 법적 체계

3.1. 개인정보보호법 (PIPA)

DeepSeek 금지령은 개인정보보호법(PIPA)에 따른 한국의 데이터 보호 요건을 DeepSeek이 준수하지 못했다는 점에 근거한다 ². PIPA는 앱이 사용자 메시지를 제3자와 공유할 때 이를 공개하도록 규정하고 있다 ¹. 또한, 제3자 데이터 공유에 대해서는 명시적인 사용자 동의를 요구하며, 어떤 데이터를 수집하고, 왜 수집하며, 얼마나 오랫동안 보관하는지에 대한 명확한 공개를 의무화한다 ⁷. PIPA는 과도한 개인정보 수집에 대해서도 규제하고 있다 ⁴.

PIPA는 데이터 수집, 동의, 제3자 공유 및 국외 이전과 관련된 핵심 원칙을 강조하며, 한국 시민의 개인정보 보호를 위한 중요한 법적 틀을 제공한다. PIPA의 제3자 데이터 공유에 대한 구체적인 공개 및 동의 요구 사항은 DeepSeek 금지령을 둘러싼 법적 문제의 핵심이며, 이는 DeepSeek이 적절히 해결하지 못한 주요 측면임을 시사한다. 나아가, AI에 대한 특별 조항을 포함하도록 PIPA 개정을 옹호하는 PIPC의 입장은 ⁹ 기존 데이터 보호법이 AI 기술이 제기하는 고유한 과제를 효과적으로 해결하기 위해 발전해야 할 필요성을 인식하고 있음을 나타낸다. 이러한 미래 지향적인 접근 방식은 한국이 AI 분야의 추가적인 발전을 예상하고 있으며, 법적 체계를 계속해서 강화하고자 함을 보여준다.

3.2. 개인정보보호위원회 (PIPC)

PIPC는 한국의 개인정보보호 감독 기구로서 PIPA 집행을 담당한다 ¹. PIPC는 DeepSeek의 데이터 처리 방식에 대한 조사를 수행했으며 ¹, DeepSeek 앱을 앱 스토어에서 삭제하도록 명령했다 ¹. 또한, 사용자들에게 주의를 기울이고 앱에 개인정보를 입력하지 않도록 권고했으며 ⁴, DeepSeek의 규정 준수 조치를 검토한 후 앱 복귀를 허용할 예정이다 ².

PIPC는 한국 내 데이터 보호를 감독하는 역할과 권한을 가지며, PIPA를 위반하는 주체에 대해 조사하고 조치를 취할 의무가 있다. DeepSeek에 대한 PIPC의 적극적인 조사와 신속한 조치는 새로운 AI 기술에 직면하여 데이터 프라이버시 규정을 집행하고 사용자 데이터를 보호하려는 강력한 의지를 보여준다. DeepSeek이 시장에 진입한 직후 즉각적인 대응은 높은 수준의 경계심과 단호한 조치 의지를 시사한다. 더불어, 이미 앱을 다운로드한 사용자에 대해 주의를 당부하는 PIPC의 소통 방식은 완전한 금지가 기존 사용자에게 즉시 가능하거나 실용적이지 않을 수 있다는 점을 인지하고, 사용자에게 지침을 제공하는 책임감 있는 접근 방식을 보여준다.

4. DeepSeek 금지 근거

4.1. DeepSeek의 PIPA 위반 혐의

• 제3자 데이터 공유 (특히 ByteDance와의 공유)에 대한 투명성 부족 PIPC는 사용자 정보가 ByteDance에 의해 접근되었음을 확인했다 ¹. DeepSeek은 사용자 메시지를 제3자와 공유하는 것을 공개하지 않아 한국 법률을 위반했다 ¹. PIPC는 DeepSeek이 적절한 공개 없이 ByteDance에 사용자 데이터를 전송했음을 확인했다 ⁷. Security Scorecard는 DeepSeek이 ByteDance의 분석 및 성능 모니터링 인프라와 깊이 통합되어 있어 데이터 공유가 이루어지고 있음을 시사하는 보고서를 발표했다 ²⁵. 프록시 서버 통신 분석 결과, 사용자가 DeepSeek에 접근할 때 ByteDance에도 데이터가 전송되는 것으로 나타났다 ¹⁶. PIPA는 제3자와의 데이터 공유에 대한 투명한 공개를 법적으로 요구하며, DeepSeek은 특히 ByteDance와의 관계에서 이 요구 사항을 충족하지 못한 혐의를 받고 있다. 자체 데이터 프라이버시 문제로 논란이 있었던 ByteDance와의 연관성은 ¹ PIPC의 우려를 증폭시키고 더욱 강력한 대응을 이끌었을 가능성이 높다. TikTok을 소유한 ByteDance의 과거 데이터 관련 논란은 규제 당국이 ByteDance와의 모든 데이터 공유에 대해 더욱 신중하게 접근하도록 만들었을 것이다. ByteDance로의 데이터 전송 범위와 목적에 대한 명확성이 부족하다는 점은 ¹ 법적 평가를 더욱 복잡하게 만들고 PIPC의 철저한 조사를 필요로 한다. 정확히 어떤 데이터가 공유되었고 그 이유는 무엇인지 알 수 없는 상황에서는 위반의 전체 범위와 사용자에게 발생할 수 있는 잠재적 위험을 판단하기 어렵다.
• 데이터 전송에 대한 명시적 사용자 동의 실패 한국 법률은 제3자 데이터 공유에 대해 명시적인 동의를 요구하지만, DeepSeek은 이를 얻지 못했다 ⁷. DeepSeek의 개인정보처리방침 및 서비스 약관은 제3자 데이터 공유에 대한 사용자 동의를 얻기 위한 기준을 충족하지 못했다 ¹⁶. PIPA에서 “명시적 동의”를 강조하는 것은 개인 정보에 대한 높은 수준의 사용자 통제를 의미하며, DeepSeek이 이를 얻지 못한 것은 심각한 법적 문제이다. 이는 한국 개인정보보호법에서 명확하고 충분한 정보에 기반한 동의가 얼마나 중요한지를 보여주는 핵심적인 부분이다.
• 과도한 개인정보 수집 가능성 국가정보원(NIS)은 DeepSeek이 시스템 훈련에 활용하기 위해 과도한 개인정보를 수집했다고 주장했다 ²⁴. NIS는 앱의 “과도한” 개인정보 수집을 비판했다 ⁶. DeepSeek은 광범위한 사용자 데이터를 수집하여 중국 서버에 저장하는 것으로 알려졌다 ⁵. DeepSeek은 키보드 입력 패턴을 포함한 식별 가능한 사용자 정보를 수집한다 ¹⁰. PIPA의 데이터 최소화 원칙은 기업이 특정 목적에 필요한 최소한의 개인정보만을 수집하도록 요구한다. DeepSeek이 필요 이상으로 많은 데이터를 수집했을 가능성에 대한 우려가 제기되었다. 키보드 입력 패턴 수집은 ¹⁰ 챗봇 상호 작용의 즉각적인 맥락을 넘어 민감한 정보를 포착할 수 있으므로 특히 프라이버시 측면에서 우려스럽다. 이러한 유형의 데이터 수집은 매우 개인적인 세부 정보와 습관을 드러낼 가능성 때문에 심각한 문제를 야기한다. 수집된 사용자 데이터를 AI 모델 훈련에 사용하는 것은 ⁶ 동의 범위 및 개인정보 재활용 가능성에 대한 추가적인 법적 및 윤리적 문제를 제기한다. 사용자는 챗봇 사용에는 동의할 수 있지만, 데이터가 AI 모델 훈련에 사용되는 것에 대해서는 명시적으로 동의하지 않았을 수 있으며, 특히 이러한 내용이 명확하게 공개되지 않은 경우에는 더욱 그렇다.
• 중국 서버 데이터 저장 및 중국 정부 접근 가능성 우려 DeepSeek은 사용자 데이터를 중국 서버에 저장한다 ⁵. 이는 중국 법률에 따라 정부가 접근할 수 있다는 우려를 야기한다 ¹⁰. 한국 사용자 데이터를 외국 관할 지역, 특히 데이터 보호법과 잠재적인 정부 접근 요구 사항이 다른 국가에 저장하는 것은 법적 문제를 야기한다. 중국에 데이터 저장 위치는 데이터 주권 및 외국 정부 접근 가능성에 대한 우려와 함께 데이터 프라이버시 논쟁에 지정학적 및 국가 안보적 고려 사항을 도입한다.
• 보안 취약점 및 미흡한 암호화 관행 일부 보안 회사들은 미흡한 암호화 관행으로 인해 DeepSeek 사용 금지를 권고했다 ². 보안 연구원들은 DeepSeek의 암호화에서 취약점을 발견하여 민감한 데이터가 위험에 처할 수 있다고 지적했다 ⁶. 모바일 보안 회사 NowSecure는 암호화되지 않은 정보가 TikTok 소유자인 ByteDance가 관리하는 중국 서버로 전송되고 있다고 보고했다 ²². DeepSeek의 iOS 및 Android 앱에서 보안 결함이 발견되었다는 보고도 있었다 ²⁴. PIPA 하에서 개인정보 보호를 위해서는 암호화를 포함한 강력한 보안 조치가 중요하다. DeepSeek의 보안 취약점에 대한 우려가 제기되었다. 잠재적으로 보안이 취약한 서버로의 데이터 전송과 강력한 암호화 부족의 조합은 데이터 유출 및 무단 접근의 심각한 위험을 초래한다. 미흡한 보안 관행은 국외 데이터 전송과 관련된 위험을 악화시킨다.
• 보안 우려로 인한 정부 기기 사용 제한 산업통상자원부는 보안 우려로 인해 정부 기기에서 앱 사용을 일시적으로 제한했다 ². 여러 주요 한국 정부 기관에서 공식 기기에 대한 DeepSeek 접근을 차단했다 ¹¹. 외교부, 국방부, 산업통상자원부 등에서 DeepSeek 사용을 금지했다 ¹⁸. 민감 정보 유출에 대한 우려가 이러한 정부 차원의 금지 조치를 촉발했다 ¹⁸. 국가 안보 우려가 데이터 프라이버시와 교차하여 특정 애플리케이션의 정부 기기 사용 제한으로 이어질 수 있다. 광범위한 앱 스토어 삭제에 앞서 정부의 내부적인 금지 조치는 특히 민감한 정부 정보와 관련된 DeepSeek의 보안 위험에 대한 조기적이고 심각한 평가를 나타낸다. 이는 정부가 자체 네트워크 내에서 즉각적인 조치를 취하도록 촉발한 자체 데이터 보안에 대한 직접적인 위협을 식별했음을 시사한다.

5. 주요 법적 쟁점 및 주장

PIPA상 “개인정보”의 법적 정의 및 범위는 DeepSeek이 수집한 데이터가 보호 대상에 해당하는지 여부를 결정하는 데 매우 중요할 것이다 (암시적). 제3자와의 데이터 공유에 대한 동의 요건 해석은 핵심적인 법적 논쟁점이다 ⁷. 정부 금지를 주도하는 국가 안보 우려와 PIPA에 의해 보호되는 개인 정보 보호 권리 간의 균형은 중요한 긴장 요소이다 (암시적). 혐의된 위반 사항을 해결하기 위한 조치로서 앱 스토어 금지의 비례성도 문제 제기될 수 있다 (암시적). DeepSeek은 현지 대리인을 임명하고 플랫폼 개선에 동의함으로써 규정 준수를 위한 조치를 취했다고 주장할 수 있다 ¹. DeepSeek이 PIPC의 우려 사항을 적절히 해결하지 못할 경우 법적 문제에 직면할 수 있다 (암시적).

AI 기술의 빠른 발전은 AI 모델이 겉보기에 익명화된 데이터에서 민감한 세부 정보를 추론할 수 있으므로 기존의 “개인정보” 법적 정의에 도전을 제기할 수 있다. 전통적인 정의는 AI의 데이터 처리 및 통찰력 도출 능력을 완전히 포착하지 못할 수 있다. DeepSeek의 자발적인 협력과 규정 준수 약속은 잠재적인 법적 문제나 추가 규제 조치에서 완화 요인이 될 수 있지만, PIPC가 구현된 변경 사항을 어떻게 평가하는지가 매우 중요할 것이다. 우려 사항을 해결하려는 의지를 보이는 것은 규제 과정의 결과에 영향을 미칠 수 있다.

6. 국제 비교

이탈리아 데이터 보호 당국은 데이터 수집의 투명성 부족을 이유로 1월에 DeepSeek 사용을 차단했다 ¹. 호주는 국가 안보 위험을 이유로 정부 시스템에서 DeepSeek 사용을 금지했다 ¹. 대만 디지털부는 사이버 보안 우려를 이유로 공공 기관에 DeepSeek 사용 자제를 권고했다 ¹. 미국 의회는 연방 시스템 전체로 금지 조치를 확대하는 법안을 고려 중이다 ¹. NASA와 해군을 포함한 미국 연방 기관은 이미 정부 발급 기기에서 DeepSeek 사용을 금지했다 ¹. 아일랜드와 프랑스는 DeepSeek의 데이터 처리 방식에 대해 문의했다 ⁵. 캐나다는 일부 정부 모바일 기기에서 DeepSeek 사용을 금지했다 ⁹. 네덜란드는 공무원의 DeepSeek 사용을 금지했다 ²². 다른 국가들의 이러한 조치는 한국의 결정에 선례가 된다 ⁶. 일부 미국 의원들은 DeepSeek 금지를 제안했다 ¹⁷. 뉴욕과 텍사스주는 주 차원에서 유사한 제한 조치를 취했다 ⁵.

국가	규제 기관/당국	제한 유형	제한 이유
이탈리아	데이터 보호 당국	앱 스토어 차단	데이터 수집 투명성 부족
호주	정부	정부 기기 사용 금지	국가 안보 위험
대만	디지털부	공공 기관 사용 자제 권고	사이버 보안 우려
미국	의회, 연방 기관	연방 시스템 금지 고려, 일부 기관 금지	데이터 프라이버시, 국가 안보
캐나다	정부	일부 정부 모바일 기기 금지	데이터 프라이버시 우려
네덜란드	정부	공무원 사용 금지	간첩 행위 및 정부 데이터 전송 위험

다른 국가에서 DeepSeek에 대한 제한 조치를 취한 법적 근거와 접근 방식을 비교하고, 한국의 조치와 유사점과 차이점을 강조한다. 이러한 국제적 대응을 이끄는 근본적인 우려 사항을 분석한다. 여러 국가에서 데이터 프라이버시, 보안 및 잠재적인 국가 안보 위험이라는 우려가 일관되게 나타나는 것은 특히 불투명한 데이터 관행을 가지거나 외국 정부와 연계된 AI 애플리케이션에 대한 신중한 조사의 필요성에 대한 국제적인 합의를 시사한다. 이러한 광범위한 금지 조치는 제기된 문제가 한국에만 국한된 것이 아니라 더 넓은 국제적 불안감을 반영한다는 것을 나타낸다. 관할 지역별로 다른 수준의 제한(정부 기기 금지부터 앱 스토어 완전 삭제까지)은 서로 다른 법적 체계, 위험 평가 및 정치적 고려 사항을 반영할 수 있다. 일부 국가는 국가 안보를 우선시하는 반면, 다른 국가는 개인 정보 보호에 더 중점을 두어 규제 결과가 다를 수 있다.

7. 결론

DeepSeek 금지령은 AI 시대에 데이터 프라이버시의 중요성이 점점 더 커지고 있음을 강조한다 ⁶. 이 사례는 국제 기술 기업들이 다양한 데이터 보호 규정을 준수하는 데 직면하는 어려움을 보여준다 ⁷. 한국 및 전 세계적으로 DeepSeek의 미래는 확인된 보안 및 프라이버시 문제를 해결하는 능력에 달려 있다 ¹. PIPC는 현지 법률 준수를 위한 DeepSeek의 노력을 계속해서 감시할 것이다 ¹. 이 상황은 다른 AI 모델이 국제 시장에서 운영되는 방식에 대한 선례를 만들 수 있다 ⁷.

DeepSeek 사례는 기술적 능력과 관계없이 데이터 프라이버시 규정이 AI 기술의 시장 진입 및 성장에 장벽으로 작용할 수 있음을 보여주는 중요한 예시이다. 기술 혁신만으로는 충분하지 않으며, 국제적인 성공을 위해서는 현지 법적 체계 준수가 똑같이 중요하다. DeepSeek 및 유사한 AI 애플리케이션을 둘러싼 지속적인 논쟁은 미래에 AI 데이터 처리에 대한 보다 포괄적이고 국제적으로 조화된 규정 개발에 기여할 가능성이 높다. AI가 더욱 보편화됨에 따라 다양한 관할 지역에서 명확하고 일관된 규칙의 필요성이 점점 더 분명해질 것이다.