인공지능(AI) 챗봇이 수집할 수 있는 개인정보 35개 항목 중 메타의 AI가 32개를 수집해 '가장 탐욕스러운 AI'로 선정됐다. 이같이 미국산 챗봇 상당수가 중국산 딥시크보다 더 많은 데이터를 모으며 국적보다 플랫폼별 리스크가 더 크다는 분석이 나온다.

25일 미국 지디넷에 따르면 보안업체 서프샤크는 최근 오픈AI '챗GPT', 메타AI, 구글 '제미나이' 등 인기 챗봇 10종의 개인정보 수집 행태를 조사한 결과를 발표했다. 분석 대상은 애플 앱스토어의 개인정보 처리 세부정보와 각 사의 공식 정책 문서다.

서프샤크는 연락처, 위치, 건강, 금융, 사용기록 등 총 35가지 데이터 유형을 기준 삼아 각 AI가 어떤 정보를 수집하는지 분석했다. 이 가운데 메타AI는 32개 항목을 수집해 전체 유형의 90%를 차지했다.

메타AI는 금융, 건강, 민감 정보까지 수집한 유일한 챗봇으로, 종교·유전·성적 성향 등 개인 속성도 수집 대상에 포함됐다. 이 정보들은 사용자 신원과 연계돼 타겟 광고에 사용되며 그 범위는 24개 항목에 달한다.

구글 챗봇 '제미니이'는 22개 항목을 수집하며 뒤를 이었다. 정확한 위치, 연락처 정보, 사용자 콘텐츠, 연락처 목록, 검색 및 브라우징 기록 등이 포함돼 있다.

3위권에는 미국 지식공유 플랫폼 쿼라의 '포', 앤트로픽 '클로드', 마이크로소프트(MS) '코파일럿'이 올랐다. 이들 앱은 각각 14개, 13개, 12개의 데이터를 수집했으며 이 중 '포'와 '코파일럿'은 기기 식별자를 활용해 광고 및 제3자 추적에 활용할 수 있다.

중국 딥시크의 AI는 11개 항목을 수집하며 중간 수준에 위치했다. 다만 수집한 채팅 데이터가 중국 국영기업 차이나모바일에 전송된다는 점에서 우려가 제기됐다. 차이나모바일은 지난 2019년부터 미국 내 영업이 금지된 상태다.

딥시크는 데이터 저장 위치를 중국으로 명시했고 필요시까지 데이터를 보관한다고 밝혔다. 과거 해킹으로 백만 건이 넘는 채팅 기록과 응용 프로그램 인터페이스(API) 키가 유출된 이력도 있어 보안성 논란이 있다.

오픈AI의 '챗GPT'는 10개 항목만을 수집하는 등 상대적으로 제한적인 접근을 취하고 있다. 사용자 콘텐츠, 연락처, 기기 식별자, 사용 기록, 진단 정보 등 기본적인 정보만을 수집한다.

'챗GPT'는 광고 추적을 하지 않으며 30일 후 자동 삭제되는 임시 채팅 기능과 학습 제외 요청도 지원한다. 보안 우려가 높은 사용자라면 상대적으로 부담이 적은 선택지로 고려될 수 있다.

이외에 일론 머스크의 '그록', 인포메드의 '파이', 생성형 광고 특화 챗봇 '재스퍼'는 각각 7개, 5개, 5개의 항목만을 수집했다. 다만 '재스퍼'는 광고 목적의 사용자 추적을 병행하고 있다.

서프샤크는 보고서를 통해 "챗봇 이용 시 제공되는 대화 내용이 서버에 저장되는 구조인 만큼 보안 사고에 항상 노출될 수 있다"며 "특히 국가 기반 서버에 저장되는 구조라면 보다 주의가 필요하다"고 지적했다.