딥시크, 대규모 데이터 유출로 민감한 레코드 100만 개 유출

[디지털비즈온 김맹근 기자] 뉴욕에 본사를 둔 사이버 보안 회사 Wiz는 중국의 떠오르는 AI 스타트업인 DeepSeek에서 중요한 보안 오류를 발견하여 인터넷에서 공개적으로 액세스할 수 있는 민감한 데이터 캐시를 공개했다.

CSO(IDG 커뮤니케이션즈, Inc.)의 지아나 스웨인에 따르면, 위즈가 발표한 보고서에 의하면 노출된 데이터에는 딥시크의 AI 어시스턴트가 제공한 로그 항목, 디지털 소프트웨어 키, 백엔드 세부 정보, 사용자 채팅 기록 등이 백만 줄 이상 포함되어 있다. 이 회사의 연구진은 딥시크가 실수로 안전하지 않은 클릭하우스 데이터베이스를 온라인에 액세스할 수 있도록 방치했다는 사실을 발견하여 전 세계 기업과 정부에 심각한 보안 문제를 제기했다.

관련 딥시크 뉴스 및 분석

위즈 최고 기술 책임자 아미 루트왁은 블로그 게시물을 통해 딥시크가 경고를 받은 후 신속하게 데이터베이스를 보호하기 위해 조치를 취했다고 확인했다.

루트왁은 블로그 게시물에서 "한 시간도 채 되지 않아 삭제했다."라고 말했다. "하지만 이것은 너무 간단해서 우리만 찾은 것은 아니라고 생각한다."

이번 보안 침해는 딥시크가 특히 미국 기반 AI 솔루션의 비용 효율적인 대안으로 찬사를 받고 있는 딥시크-R1 추론 모델을 통해 AI 발전에 대한 헤드라인을 장식하고 있는 시점에 발생했다. 그러나 이번 사건은 데이터 보안과 신속한 AI 배포와 관련된 위험성 등 AI를 도입하는 기업들의 주요 우려를 강조했다.

이 중국 AI 스타트업은 사이버 공격을 받아 사용자 등록을 제한했다고 주장했다.

무엇이 노출되었나

DeepSeek의 보안 오류에는 백만 개 이상의 로그 항목이 포함된 공개적으로 액세스할 수 있는 ClickHouse 데이터베이스가 포함되어 있었다. 노출된 데이터에는 채팅 기록, 백엔드 세부 정보, API 비밀, 민감한 운영 정보가 포함되어 있다고 보고서는 덧붙였다.

위즈 리서치에 따르면, 데이터베이스는 완전히 보호되지 않아 내부 로그에 무제한으로 접근할 수 있었고 사용자 상호작용이 잠재적으로 손상될 수 있었다.

보호되지 않은 데이터베이스는 또한 콘텐츠에 대한 완전한 관리 권한을 부여했다. 접근 권한을 가진 공격자는 독점 데이터를 검색하고, 평문 비밀번호를 추출하며, 심지어 DeepSeek의 서버에 저장된 로컬 파일에 접근할 수도 있었다. 위즈 연구원들은 인증 메커니즘이 마련되어 있지 않아 이번 유출이 특히 우려스럽다고 지적했다.

위즈의 폭로 이후 딥시크는 노출된 데이터베이스를 보호하기 위해 신속하게 대응했지만, 이번 사건은 AI 기반 플랫폼 내 보안 위험이 커지고 있음을 보여준다. AI 모델이 더욱 발전함에 따라 이러한 중요한 취약점을 방지하기 위해 이를 지원하는 인프라도 발전해야 한다.

이 유출은 공격자가 노출된 자격 증명을 악용하여 회사 시스템에 더 깊이 접근할 수 있기 때문에 DeepSeek뿐만 아니라 사용자에게도 심각한 위험을 초래했다.

규제 및 글로벌 조사 강화

딥시크 데이터 유출은 중국 AI 기업에 대한 전 세계적인 조사가 강화되는 가운데 발생했다. 화요일, 캐롤라인 레빗 백악관 공보 비서관은 미국 국가안보회의(NSC)가 딥시크가 국가 안보에 미치는 영향을 검토하고 있다고 말했다. 마찬가지로 이탈리아의 데이터 보호 당국인 가란테는 개인 데이터 처리에 대해 딥시크의 답변을 구하고 있다고 발표했다. 이탈리아 감시 기관은 딥시크가 수집하는 데이터, 출처, 목적, 법적 근거, 정보가 중국에 저장되어 있는지 여부에 대한 명확성을 요구하고 있다.

아일랜드도 조사에 착수했으며, 아일랜드의 개인정보 보호 감시 기관인 데이터 보호위원회(DPC)는 자국민의 데이터를 처리하는 방식에 대해 중국 기업에 의문을 제기한 것으로 알려졌다.

이 규제 조치는 중국의 AI 생태계에 대한 광범위한 우려를 반영한다. 중국의 AI 생태계는 빠르게 주목받고 있으며, 경우에 따라서는 미국 AI 기업들의 지배력을 위협하고 있다. 딥시크의 오픈 추월 성공이 미국 애플 앱스토어에 대한 AI의 ChatGPT으로 인해 AI의 영향력에 대한 우려가 더욱 커졌다.

보안 공백으로 인해 AI 도입이 저해될 수 있다

사이버 보안 전문가들은 AI 스타트업이 확장을 서두르면서 기본적인 보안 위생을 간과하는 경우가 많다고 경고한다.

블로그는 "AI 애플리케이션의 즉각적인 보안 위험은 이를 지원하는 인프라와 도구에서 비롯다."라고 AI 인프라 취약점으로 인한 광범위한 위험을 강조했다. "AI 보안에 대한 많은 관심이 미래의 위협에 집중되고 있지만, 실제 위험은 종종 기본적인 잘못된 구성에서 비롯된다."

딥시크 사건은 타사 AI 모델을 통합할 때 기업이 직면하는 사이버 보안 위험을 극명하게 상기시켜 준다. 기업들이 자동화 및 의사 결정을 위해 AI 솔루션에 점점 더 의존함에 따라, 보안 팀은 데이터 암호화, 인증 제어, 정기적인 보안 감사와 같은 근본적인 보안 조치가 마련될 수 있도록 AI 엔지니어들과 긴밀히 협력해야 한다.

AI 보안의 다음 단계는 무엇인가

산업 전반에 걸쳐 AI 도입이 가속화됨에 따라 이와 같은 보안 문제는 엄격한 사이버 보안 프레임워크의 긴급한 필요성을 강조하고 있다. 전 세계 규제 기관은 AI 기업, 특히 방대한 양의 사용자 데이터를 처리하는 기업에 대한 감독을 강화할 것으로 예상된다.

AI 군비 경쟁이 계속됨에 따라 AI 기술에 투자하는 기업들은 사이버 보안 자세에 대해 경각심을 가져야 한다. 딥시크 유출은 AI 제공업체를 평가하는 기업에게 경고의 메시지가 됩니다: 보안은 사후 고려 대상이 될 수 없다.

딥시크는 AI 분야에서 빠르게 부상하면서 강력한 플레이어로 자리매김했지만, 최근 보안 사고로 인해 AI 거버넌스와 리스크 관리에 대한 중요한 의문이 제기되고 있다. AI 도입을 고려하는 기업들에게는 보안 관행에 대한 실사가 그 어느 때보다 중요하다.

글로벌 규제 당국이 조사를 강화함에 따라 이번 사건은 AI 기업이 보안 및 규정 준수를 처리하는 방식에 대한 선례가 될 수 있다. 딥시크는 이 문제를 해결하기 위해 신속하게 조치를 취했을 수 있지만, 이 노출이 장기적으로 미칠 영향은 아직 지켜봐야 한다.