"AI는 국경을 넘지만, 데이터는 넘지 못한다"

독일 개인정보 보호당국이 중국산 AI 챗봇 앱 'DeepSeek'에 대해 유럽 시민의 개인정보를 무단으로 중국에 전송한 혐의로 공식 제재에 나섰다.

유럽연합의 디지털서비스법(DSA)과 개인정보보호법(GDPR)이 동시 발동된 이번 조치는, 글로벌 AI 기술과 각국의 데이터 주권이 정면으로 충돌한 첫 사례로 기록될 전망이다. 기술이 세계를 연결하는 시대, 그 기술이 다루는 데이터는 더 이상 국경을 자유롭게 넘지 못한다.

AI 챗봇 DeepSeek, 독일에서 '개인정보 불법 전송' 판정

2025년 6월 27일, 독일 베를린 주정부 산하 '개인정보 보호 및 정보 자유 위원회'는 중국 기업이 운영하는 인공지능 챗봇 서비스 DeepSeek의 앱이 독일 및 유럽연합(EU)의 개인정보 보호법을 위반했다고 공식 발표했다.

DeepSeek는 텍스트 채팅 기반의 AI 서비스로, 최근 독일 사용자들 사이에서 활용이 늘어난 앱 중 하나다.

이날 발표에 따라, 애플(Apple)과 구글(Google)은 각각 자사의 앱스토어에서 DeepSeek를 불법 콘텐츠로 분류할지 여부를 신속히 검토하고 있다고 밝혔다. 독일 당국은 두 플랫폼 운영자에게 공식적으로 DeepSeek 앱의 위법성을 통지했으며, 이에 대한 대응 조치로 앱 차단이 논의되고 있다.

문제의 핵심은 DeepSeek 앱이 독일 이용자들의 민감한 개인정보를 중국으로 무단 전송하고, 그 데이터를 중국 내 서버에 저장하고 있다는 점이다. 데이터 이전에 대한 명확한 고지나 사용자 동의 절차 없이 민감한 정보가 국외로 넘어갔다는 사실은, 유럽 내 강력한 개인정보 보호 기준을 위반한 것으로 해석된다.

중국으로의 무단 전송 구조… “서버도, 처리자도 모두 중국”

DeepSeek는 중국 베이징에 본사를 둔 Hangzhou DeepSeek Artificial Intelligence Co., Ltd.가 운영하는 인공지능 기반 챗봇 서비스다. 회사는 유럽연합(EU) 내에 법인이나 지사를 두지 않고 있으나, 앱 내에 독일어 인터페이스를 제공하고, 독일 사용자들을 직접 대상으로 하는 서비스 구조를 갖추고 있다. 따라서 DeepSeek 앱은 EU의 일반 개인정보 보호법(GDPR) 적용을 받게 된다.

문제는 이 앱이 단순한 대화형 인공지능을 넘어, 사용자와의 모든 상호작용 데이터를 폭넓게 수집하고 있다는 점이다. DeepSeek는 이용자의 입력 텍스트, 채팅 내역, 업로드한 문서, 위치 정보, 사용하는 기기와 네트워크 정보 등 방대한 개인정보를 저장하며, 이를 중국 내 위탁처리 업체로 전송한 뒤, 중국에 위치한 서버에 보관해온 것으로 드러났다.

이와 같은 데이터 이전은 유럽 기준에서 매우 민감한 사안이다. DeepSeek 측은 자체적으로 보안 조치를 취하고 있다고 주장했지만, 베를린 개인정보보호 당국은 이를 검토한 결과 EU 기준에 부합하는 ‘적절한 보호조치(adequate safeguards)’를 갖췄다는 증거를 제출하지 못했다고 밝혔다. 특히 유럽 당국이 중시하는 '동등한 법적 보호 체계'가 중국 내에서는 성립하기 어렵다는 것이 당국의 판단이다.

왜 ‘불법’인가? GDPR과 중국의 구조적 차이

DeepSeek가 독일 내에서 불법으로 판단된 배경에는 유럽연합(EU)의 강력한 개인정보 보호법, 즉 GDPR(일반 개인정보 보호 규정)이 있다. GDPR은 전 세계적으로 가장 엄격한 개인정보 보호 기준으로 평가되며, 개인정보를 EU 외 국가(제3국)로 이전할 경우 반드시 일정한 법적 조건을 충족해야 한다고 규정하고 있다.

그 조건은 크게 두 가지다. 첫째는 EU 집행위원회가 해당 국가에 대해 '적정성 결정(adequacy decision)'을 내린 경우이며, 둘째는 개별 기업이 스스로 GDPR 수준에 상응하는 ‘적절한 보호조치(adequate safeguards)’를 마련해 입증하는 경우다.

하지만 중국은 현재까지 EU의 적정성 결정을 받지 못한 국가다. 다시 말해, 중국은 구조적으로 유럽 수준의 개인정보 보호 체계를 갖추지 못한 나라로 간주된다. 가장 큰 문제는 중국 정부가 민간 기업의 보유 데이터를 법적으로 강제 수집할 수 있는 권한을 가지고 있으며, 이에 따라 사용자의 정보가 정부 기관에 노출될 가능성이 상존한다는 점이다. 또한 중국 내 사용자들이 데이터 보호 관련 권리를 침해당했을 때, 유럽처럼 실질적인 법적 구제 절차를 보장받기 어렵다는 점도 지적된다.

베를린의 개인정보보호 책임자인 마이케 캄프(Meike Kamp)는 성명에서 다음과 같이 밝혔다.

“DeepSeek은 중국으로 개인정보를 전송하면서도, 그 안전성과 합법성을 설득력 있게 입증하지 못했다. 중국은 유럽과 동등한 수준의 보호 기준을 제공하지 않으며, 사용자들은 이를 침해당했을 때 마땅한 권리 구제를 기대할 수 없다.”

이러한 배경에서 독일 당국은 DeepSeek의 데이터 이전 행위를 명백한 GDPR 위반으로 판단하게 된 것이다.

디지털서비스법(DSA) 발동… 앱스토어 퇴출 가능성 열리다

베를린 데이터 보호 당국은 DeepSeek 측에 사전 경고를 보낸 상태였다. 지난 2025년 5월 6일, 당국은 DeepSeek 운영사에 대해 ▲자진 앱 삭제, ▲데이터 이전의 즉각 중단, ▲GDPR에 부합하는 적법한 보호조치 마련 등 세 가지 조치를 요구했다. 하지만 DeepSeek는 이에 응하지 않았고, 결국 유럽연합의 디지털서비스법(DSA)을 발동하게 된다.

당국은 DSA 제16조에 근거해, DeepSeek 앱을 ‘불법 콘텐츠(illegal content)’로 공식 지정하고 이를 플랫폼 운영자들에게 통보하는 조치를 취했다. 이에 따라, 애플 아일랜드 법인(Apple Distribution International Ltd.)과 구글 아일랜드 법인(Google Ireland Ltd.)은 독일 내 앱스토어에서 DeepSeek 앱이 불법에 해당한다는 공적 통지를 받은 상태다.

이제 두 플랫폼 기업은 DSA에 따라 합법성 여부에 대한 신속한 자체 심사를 진행해야 하며, 위법성이 확인될 경우 앱 차단 또는 삭제 조치를 이행해야 할 의무가 있다. DeepSeek 앱이 독일 앱스토어에서 실제로 삭제된다면, 이는 디지털서비스법을 근거로 이뤄진 최초의 AI 앱 퇴출 사례 중 하나로 기록될 가능성도 있다.

독일 전역, 그리고 유럽 차원의 규제 신호

이번 조치는 베를린의 독단적인 결정이 아니었다.

바덴뷔르템베르크(Baden-Württemberg), 라인란트팔츠(Rheinland-Pfalz), 브레멘(Bremen)을 비롯한 독일 내 여러 주의 개인정보 보호 기구들이 함께 의견을 조율했고, 디지털서비스법의 국내 집행을 총괄하는 연방네트워크청(Bundesnetzagentur)과의 사전 정보 공유도 이뤄졌다.

이처럼 단순한 한 도시의 조치가 아니라, 독일 전체 개인정보 보호 체계가 공동 대응에 나섰다는 점에서 이번 사건은 유럽 차원의 플랫폼 규제 강화 흐름을 가시화한 사례로 평가된다. 특히 AI 기반 앱 서비스에 대해, 플랫폼 기업에도 직접적인 책임을 묻는 구조가 현실화되었다는 점에서 기술 업계 전반에 경고 신호로 작용할 가능성이 크다.

“유럽 시민의 데이터, 국경 밖으로 함부로 넘기지 말라”

이번 사건은 AI 기반 애플리케이션이 글로벌하게 서비스를 제공할 수는 있어도, 개인정보라는 민감한 자산은 각국의 법과 주권 안에서 다뤄져야 한다는 원칙을 분명히 재확인시킨 계기다. DeepSeek의 사례는 국경 없는 AI 기술이 실제 작동하는 방식과, 국경 안의 데이터 주권 원칙이 충돌하는 지점에서 어떤 책임이 발생하는지를 보여준다.

특히 유럽 일반 개인정보 보호법(GDPR)은 데이터 보호의 책임을 '제공자 국적'이 아니라, 유럽 시민을 대상으로 서비스를 제공하느냐를 기준으로 판단한다. 이는 중국, 미국, 한국 등 어디에 본사가 있든 유럽 시민의 데이터를 수집·처리한다면 EU 법을 따라야 한다는 의미다.

DeepSeek는 이 원칙을 소홀히 했고, 그 결과 유럽 내 서비스 운영 자체가 위태로워지는 상황에 직면하게 됐다.

다음 단계는? 앱 삭제, 벌금, 혹은 유럽 전역 조사로 번질 수도

이제 공은 애플과 구글에게 넘어갔다. 플랫폼 운영자인 이들 기업은 디지털서비스법(DSA)에 따라, 불법 콘텐츠로 통보받은 앱에 대해 신속히 사실관계를 확인하고 법적 조치를 취할 책임이 있다.

DeepSeek 앱이 실제로 독일 앱스토어에서 삭제될 경우, 이는 EU 내에서 처음으로 ‘AI 기반 앱’이 플랫폼에서 퇴출당한 사례로 남을 수 있다.

그러나 사안은 여기서 끝나지 않을 가능성이 크다. 독일 외에도 프랑스, 이탈리아, 네덜란드 등 다른 EU 국가의 개인정보 보호 당국이 DeepSeek에 대한 별도의 조사를 개시할 가능성이 있으며, 그렇게 된다면 이번 사건은 한 국가의 제재를 넘어 EU 전체 차원의 ‘플랫폼 데이터 규제 이슈’로 확대될 수 있다.

특히 유럽연합은 최근 수년간 글로벌 테크 기업을 대상으로 디지털 규제의 통일성과 집행력을 강화해왔기 때문에, DeepSeek 사례는 향후 AI 앱 전반에 걸친 새로운 규제 모델의 시발점이 될 가능성도 제기된다.

기술은 국경을 넘지만, 데이터는 법의 안에 있어야 한다

DeepSeek 사건은 겉으로 보기엔 하나의 AI 챗봇 앱을 둘러싼 조치에 불과할 수 있다. 그러나 그 이면에는 국경을 넘는 인공지능 기술, 글로벌 플랫폼의 법적 책임, 그리고 각국의 데이터 주권이라는 복잡한 이슈들이 얽혀 있다. 이 사건은 단순한 법 위반 사례가 아니라, 디지털 시대에 개인정보가 어디까지 보호받을 수 있는지, 기술은 어디까지 자유로울 수 있는지에 대한 본질적인 질문을 제기한다.

기술은 글로벌하게 움직이지만, 그 기술이 다루는 데이터는 철저히 지역 법의 규제를 받는다. 그리고 지금, 유럽은 GDPR과 DSA라는 강력한 규제 도구를 통해 '누구든 유럽 시민의 데이터를 다룬다면 유럽법을 따라야 한다'는 원칙을 분명히 하고 있다.

DeepSeek 사건은 시작에 불과하다.

다음 충돌은 어떤 AI 기술에서, 어떤 플랫폼에서, 어떤 국가 간 데이터 흐름에서 벌어질까?

AI의 시대에 접어든 지금, 데이터 규제는 더 이상 기술 발전의 걸림돌이 아니라, 사회적 신뢰를 위한 최소한의 기준이 되어야 한다.

[저작권자ⓒ META-X. 무단전재-재배포 금지]