딥시크, 민감정보 100만건 이상 노출 사고

최근 저비용·고성능 인공지능(AI) 모델을 내놔 전 세계적으로 주목받고 있는 중국의 스타트업 딥시크가 이용자들의 채팅 이력 등 민감한 정보 100만건 이상을 인터넷 상에서 무방비로 노출했다고 포브스가 2일(현지시각) 보도했다.

포브스에 따르면 미 보안기업인 위즈 리서치는 지난달 29일 딥시크와 연결된 '클릭하우스' 데이터베이스를 발견해 살펴본 결과 이용자들의 채팅 기록을 비롯해 로그 스트림, 시스템 세부 정보, 운영 메타데이터, API 비밀번호 등을 포함한 민감한 정보가 상당량 포함돼 있는 것을 확인했다. 

'클릭하우스' 데이터베이스는 대규모 데이터에 대한 빠른 분석을 위해 오픈 소스로 설계된 데이터베이스 관리 시스템으로 인증 없이도 접근할 수 있다. 

위즈 리서치가 확인한 이런 민감 정보는 100만개 이상으로 인터넷에 접속한 사람이라면 누구나 공개적으로 접근할 수 있어 사실상 노출돼 있는 상태였다. 딥시크 측은 위즈 리서치가 이런 사실을 통보하자 1시간 만에 데이터베이스 보안조치를 취했다.

이런 데이터베이스 노출은 유럽연합이나 미국이 채택하고 있는 일반 데이터 보호규정(GDPR)이나 미 갤리포니아주의 소비자 개인정보 보호법(CCPA)에 저촉되는 것으로 제재를 받을 수 있는 사안이라고 포브스는 지적했다.

이렇게 노출된 데이터는 사이버 공격이나 피싱에 악용될 수 있고 이를 토대로 학습한 AI 모델을 악의적 행위자가조작하는 등의 폐해를 초래할 수 있다. 

이에 따라 대형언어모델이나 추론 모델 등 생성 AI 도구를 개발하기 위해 방대한 정보를 계속 수집하는 이 회사의 데이터 보안과 개인정보보호에 대해 심각한 우려가 제기되고 있다고 포브스는 전했다.

위즈 리서치는 이번 민감정보 노출은 제어가 없이 잘못 구성된 클라우드 스토리지 인스턴스로 인해 발생했으며 이런 유형의 사고는 클라우드 기반 시스템에서는 흔한 것이라고 밝혔다.