이탈리아 첫 차단: 개인정보 보호 규제 위반 우려
이탈리아 개인정보 보호 기관 ‘가란테(Garante)’가 딥시크를 유럽에서 처음으로 차단했다는 소식은, 유럽 전체를 통틀어 강력한 규제 신호로 받아들여지고 있다. 가란테는 “개인정보를 어디에서 수집하고 어떻게 사용하는지 불투명하다”는 이유를 들어 딥시크에 대한 조사를 개시했다. 특히 EU 정보보호 규제(GDPR)를 준수하고 있는지 여부, 그리고 중국 내 서버에 사용자 데이터를 저장하는 것으로 알려진 점에 대해 큰 우려를 표명했다.
이러한 결정이 나온 배경에는 유럽연합(EU)이 개인정보 보호를 매우 중요하게 여기고 있다는 사실이 자리 잡고 있다. GDPR은 전 세계적으로 가장 엄격한 데이터 보호 규제로 평가받는데, 개인 식별이 가능한 정보를 수집·처리·이전할 때마다 높은 수준의 투명성과 동의 절차가 요구된다. 딥시크와 같은 해외 서비스가 유럽인의 데이터를 EU 외 지역, 특히 중국 서버로 이전하는 행위는 GDPR을 포함한 각국의 국내법과 충돌을 일으킬 소지가 크다.
이탈리아 정부가 딥시크에 질의서를 보내며 구체적으로 확인하고자 한 사항에는 크게 세 가지가 있다.
- 데이터 수집 방식: 딥시크가 대화형 인공지능(AI)이라는 특성상, 사용자 입력 내용뿐 아니라 위치 정보, IP, 쿠키, 행동 패턴 등을 폭넓게 수집할 가능성이 지적되었다.
- 데이터 활용 목적: 이렇게 모인 데이터가 어떠한 알고리즘 학습과 어떤 형태의 마케팅 또는 제3자 공유에 활용되는지 확인해야 한다는 의견이 크다.
- 데이터 저장 위치: 중국 서버에 저장된 개인정보가 자국 정부의 검열이나 감시에 노출될 수 있다는 우려가 제기되는 상황에서, 이 데이터가 유럽 사용자에 관한 것일 경우, 명백한 GDPR 위반에 해당할 수 있다는 것이다.
특히 이탈리아는 과거에도 페이스북, 구글 등 글로벌 IT기업에 대해 과징금을 부과하거나 서비스 차단 조치를 검토한 전력이 있어, GDPR 위반 사안에 대해 단호한 태도를 취해 왔다. 이러한 맥락에서 볼 때, 딥시크가 이탈리아 차원에서 먼저 제재를 받은 것은 예상 밖이라기보다 자연스러운 수순일 수 있다. 현재 딥시크 측은 이탈리아 당국의 질의에 대해 구체적인 답변을 준비하고 있는 것으로 알려졌으며, 이탈리아 정부가 이를 어떻게 평가하느냐에 따라 추가적인 규제 조치나 해제 여부가 결정될 전망이다.
아일랜드·영국·독일, 일제히 딥시크 검토… 확대되는 중국 AI 견제
딥시크 관련 경계심은 비단 이탈리아에만 국한되지 않고, 아일랜드·영국·독일 등 유럽 주요 국가로 빠르게 확산되고 있다. 폴리티코와 블룸버그통신 보도에 따르면, 아일랜드 데이터보호위원회(DPC)는 딥시크에 “아일랜드 이용자의 데이터 처리가 어떻게 이뤄지고 있는지”를 묻는 서한을 발송했다. 아일랜드는 페이스북·구글 등 빅테크 기업들의 EU 본부가 위치해 GDPR 준수 여부를 평가·감독해온 전례가 있다. 따라서 딥시크가 유럽 시장을 공략하려면 아일랜드 당국의 승인 또는 조건부 허가가 사실상 필수적이라는 관측이 나온다.
영국 정부 역시 딥시크 서비스를 “국가 안보” 측면에서 살펴보고 있다고 폴리티코가 전했다. 영국은 브렉시트 이후 EU 회원국은 아니지만, 자국민의 개인정보 보호에 관해서는 여전히 강력한 규제를 유지하고 있다. 추가로, 영국 정부는 5G 통신 장비나 CCTV 등 중국산 기술에 대해 여러 차례 안보 관련 우려를 제기해 왔다. 이번 조사도 “중국 기업이 수집하는 데이터가 영국 안보에 어떤 영향을 미칠 수 있는지”를 확인하는 절차의 연장선으로 풀이된다.
독일 정부의 태도 역시 주목된다. 독일 매체 차이트(Die Zeit)는 현지 당국이 딥시크 앱에 대한 규제 가능성을 검토하고 있다고 보도했다. 독일은 유럽연합 내에서도 개인정보 보호와 소비자 권익을 엄격하게 관리하는 국가로 손꼽히며, 다른 나라보다 인터넷 검열 및 안보 이슈에 대해 비교적 신중하고 철저한 조사를 진행하는 경향이 있다. 만약 독일에서 딥시크에 대한 구체적인 규제가 발효된다면, 이는 EU 전체의 기류를 반영하는 신호탄이 될 가능성이 높다.
이렇게 유럽 주요 국가들이 동시에 딥시크를 문제 삼는 배경에는, 중국발 AI 서비스가 전 세계적으로 급격한 영향력을 확대하고 있기 때문이라는 지적도 제기된다. 미국이 기술·경제·군사적 차원에서 중국에 대한 견제를 강화하는 와중에, 유럽도 디지털 영역에서 중국발 리스크를 주시하고 있다고 볼 수 있다. 특히 유럽연합은 AI Act(인공지능 규제 법안) 제정을 추진 중이며, 이 법안이 시행되면 AI 시스템에 대한 데이터 보호·투명성·안전성 기준이 대폭 높아질 전망이다. 딥시크처럼 대화형 인공지능을 표방하면서 해외 서버에 데이터를 저장하는 서비스는 그만큼 더 엄격한 규제를 받게 될 것으로 보인다.
EU GDPR과 중국 서버 이슈: 핵심 쟁점은 데이터 주권
딥시크를 둘러싼 유럽 각국의 움직임을 이해하기 위해서는 ‘데이터 주권(Data Sovereignty)’이 어떤 의미를 갖는지 살펴볼 필요가 있다. 유럽연합은 GDPR을 통해 역내 개인 정보가 제3국으로 이전될 때, 해당 국가의 법체계가 EU와 동등한 수준의 데이터 보호를 제공하는지 엄격히 검토하도록 규정한다. 이를테면, 미국과는 ‘프라이버시 실드(Privacy Shield)’라는 협정을 추진한 적이 있지만, 이마저도 유럽사법재판소(CJEU) 판결로 무효화된 바 있다. 중국과 같은 국가와는 아직 명확한 협정이 없으며, 오히려 기업·정부 차원에서 외국인 개인정보 접근에 대한 우려가 팽배한 상황이다.
중국의 국가안전법은 정부가 자국 기업이 보유한 데이터를 요구할 수 있는 근거를 제공하고 있어, 유럽 소비자나 기업 입장에서는 자칫 민감한 데이터가 중국 당국의 검열 대상이 될 수 있다는 의심을 거두기 어렵다. 딥시크가 어떤 형식으로 개인정보를 익명화·암호화한다 해도, 실제로는 원본 데이터가 유출될 가능성을 완전히 배제할 수 없다는 지적이 나오는 것이다.
유럽은 이미 화웨이(Huawei)나 틱톡(TikTok) 사례를 통해, 중국 기술 기업이 수집하는 데이터가 안보 및 개인정보 침해 문제가 될 수 있음을 인식하고 있다. 딥시크는 대화형 인공지능이라는 특성상, 사용자가 입력하는 질문과 답변에 무의식적으로 민감한 정보가 포함될 위험이 크다. 이에 따라, 단순히 “데이터를 암호화했다”는 선언만으로는 유럽 규제 당국의 우려를 해소하기 쉽지 않을 것으로 보인다.
다만 유럽 내에서도 여러 이해관계가 얽혀 있어서, 일률적인 ‘딥시크 퇴출’로 이어질지는 예단하기 어렵다. 일부 기업은 딥시크 모델의 기술적 우수성이나 저비용 구조에 매력을 느낄 수도 있고, 연구기관·스타트업 등은 AI 생태계 확장을 위해 딥시크와 협업을 희망할 수 있다. 결국, 유럽 규제 당국이 GDPR과 AI Act 등 법령에 근거해 얼마나 엄격한 조치와 세부 지침을 마련하느냐가 관건이 될 전망이다.
유럽 내 각국 규제 동향 한눈에 보기
다양한 유럽 국가가 딥시크에 주목하고 있으며, 그 대응 방식도 조금씩 달라질 것으로 예상된다. 아래 표는 현재까지 알려진 유럽 주요국의 딥시크 관련 움직임과, 중점 조사 분야를 간략히 정리한 것이다.
| 국가 | 규제 기관 | 주요 이슈 | 예상 규제 방향 |
|---|---|---|---|
| 이탈리아 | 가란테(Garante) | 개인정보 처리 투명성, GDPR 위반 가능성 | 서비스 차단 결정(최초), 추가 조사 진행 중 |
| 아일랜드 | DPC | 아일랜드 사용자 데이터 이전·처리 방식 | 서한 발송, 정보 제공 요청 |
| 영국 | 정부 안보 부서 | 국가 안보, 중국과 기술 협력 우려 | 규제 가능성 검토, Huawei 사례와 유사 |
| 독일 | 연방정부·지방 당국 | 딥시크 앱의 개인정보 보호·안전성 | 규제 조치 검토 중, GDPR 집행 강도 높음 |
(표 1) 유럽 내 딥시크 규제 동향
유럽은 국가별로 사법체계와 관할 기관이 상이하지만, GDPR처럼 EU 차원의 거시적인 규정이 적용되는 경우가 많다. 이탈리아의 경우 이미 선제적으로 서비스 차단까지 이르렀고, 아일랜드와 영국, 독일은 아직 질의 및 검토 단계에 머무르고 있다. 그러나 공통점은 “중국발 AI 서비스가 유럽인의 데이터를 어떻게 취급하는지 공개하고, 만약 GDPR에 저촉되는 부분이 있다면 신속히 시정하도록 압박하고 있다”는 점이다.
만약 딥시크가 유럽 시장에서 완전히 퇴출될 경우, 중국 AI 기업에 대한 유럽의 불신이 한층 심화될 수 있으며, 다른 중국산 AI 모델도 유사한 길을 밟을 가능성이 크다. 이는 AI 생태계의 지역 간 분절화(Decoupling)를 가속화해, 미국·유럽·중국이 각각 별도의 규제 프레임워크와 기술 체계를 형성하는 결과를 낳을 수 있다. 반면, 딥시크 측이 유럽 규제를 충족시키기 위해 데이터 국지화(Data Localization)나 투명성 강화 조치를 채택한다면, 어느 정도 합의점을 찾으며 제한적인 진출이 가능할 수도 있다.
전망과 시사점: AI 산업의 ‘디지털 국경’ 강화 가속
현재 딥시크가 유럽 각국의 조사를 받는 모습은, 곧 “AI 기술이 국가 안보 및 개인정보 보호 문제와 얼마나 밀접하게 얽혀 있는지”를 보여주는 사례로 평가된다. 글로벌화가 가속된 디지털 시대이지만, AI 산업만큼은 민감한 정보 수집 특성과 높은 파급력 때문에, 각국 정부가 속도감 있게 규제를 가하고 있다. 특히 유럽연합은 GDPR을 시작으로 AI Act 제정에 이르기까지, 엄격한 규범을 통해 자국민의 개인정보와 시장 질서를 보호하려는 흐름을 이어가고 있다.
이러한 규제 강화 기조는 앞으로 더 커질 가능성이 높다. 미국 또한 자국 빅테크 기업과의 공정 경쟁을 이유로, 혹은 국가 안보를 내세워 중국산 AI 제품을 제한하고 있고, 아시아·중동 등 다른 지역도 중국 혹은 미국계 AI 서비스에 대해 자국의 법·정책 요구사항을 내세울 전망이다. 즉, “디지털 국경(Digital Border)이 강화된다”는 의미다.
업계 전문가들은 “이번 딥시크 사례를 통해, AI 기업들은 해외 시장 진출 시 개인정보 보호 규정과 현지화 전략을 더 면밀하게 검토해야 한다”고 강조한다. AI 모델이 생성형·대화형으로 발전할수록, 사용자로부터 취합되는 텍스트·이미지·메타데이터 등이 늘어나는 만큼, 데이터 주권을 둘러싼 갈등이 빈번하게 발생할 수밖에 없기 때문이다.
- 글로벌 AI 기업: 현지화 센터 설립, 데이터 국지화, 투명한 개인정보 처리 방침 공개 등 강도 높은 대비책이 필요하다.
- 국내외 스타트업: 협력 파트너를 선택할 때, GDPR 준수 여부나 중국 서버 사용 여부 등을 신중히 따져야 한다.
- 정부 기관: AI 사용에 따른 위험성을 경고하고, 국내외 법제와의 정합성을 확보하기 위한 가이드라인을 지속적으로 강화해야 한다.
결국, 딥시크가 유럽 시장에서 어떻게 대응하느냐가 향후 중국발 AI 서비스 전반의 ‘시금석’이 될 가능성이 크다. 만약 딥시크가 이탈리아 등 주요 국가와 타협점을 찾지 못해 제재가 확대된다면, 다른 중국 AI 기업들도 비슷한 수순을 밟을 가능성이 높다. 반면, 딥시크가 EU 규정을 준수하기 위해 데이터 처리 방식을 대폭 변경하거나 투명성을 높이는 식으로 대응한다면, 새로운 형태의 ‘중국발 AI 글로벌 진출 모델’이 형성될 수도 있다. 어느 쪽이든, AI 산업이 갖는 기술 혁신의 잠재력만큼이나 개인정보·안보 이슈가 핵심 변수로 작동하는 시대가 본격화되고 있다는 점이 분명해 보인다.