딥시크(DeepSeek, AI) 사용은 아직 시기상조.. 보안 취약점 개선필요

이번 뉴스에.나온 것은 비의도적인 초기 서비스 버그같습니다만^[각주:1], 중국서버에 저장하는 만큼, 그리고 아직 회사와 기술이 불분명한 만큼, 중국 정부가 배후에 있을 가능성을 생각해야 합니다.
전자라면 개선되면 OK지만, 후자일 가능성이 없지 않다면 앞으로도 금지죠.

ㅡㅡㅡㅡㅡㅡ

‘보안 쓰리아웃’ 딥시크, 대용량 DB를 무제한 공개 - 보안뉴스 2025-01-31

딥시크에서 3연타 보안 사고가 터지고 있다. 디도스로 추정되는 공격 때문에 신규 가입이 안 되더니, 간단한 탈옥을 통해 악성 답변을 이끌어낼 수 있다는 게 입증됐고, 이제는 DB 관리에서의 허술함까지 발견됐다.

3줄 요약
1. 딥시크와 연결된 DB가 완전 노출되어 있었음.
2. 대량 민감 정보 열람과 회사 내부 정보 접근 모두 가능.
3. 다행히 제보 즉시 DB 닫았지만, 인공지능 위험 다시 상기됨.
https://m.boannews.com/html/detail.html?idx=135788

‘보안 쓰리아웃’ 딥시크, 대용량 DB를 무제한 공개

ㅡㅡㅡㅡㅡㅡ
기사에서 몇 줄 인용.

ㅡ “(......) 데이터만이 아니라 제어 권한까지도 노출 (......) 권한 상승이 가능 (......) 악용한다면 딥시크 내부 환경까지 위험(......)”

ㅡ “(......) 공격자는 (......) 민감 로그와 평문 채팅 메시지를 수집하는 것에서 (......) 클릭하우스 설정에 따라 각종 쿼리를 실행하여 서버에서 직접 평문 비밀번호, 로컬 파일, 각종 IP 정보까지 유출(......)”

ㅡ “(......) 인공지능 기술을 도입한다는 건, 그 인공지능 개발사들에 우리의 민감 데이터를 대량으로 맡긴다는 말(......)”

ㅡ “(......) 속도감에 보안이 한없이 뒤쳐지고 있습니다. 보안 없이 사실상 핵심 인프라이자 생산성 도구가 된 것입니다. (......)"


전체적으로
어떻게 검사해봤는지
어떤 문제들이 있었는지
그것들이 무엇을 뜻하는지
설명한 기사입니다. 원문을 읽어보세요.


ps.

저것말고도,

로그인할 때마다 중국 차이나모바일에 정보를 보낸다는 분석이 나왔습니다.

https://m.moneys.co.kr/article/2025020709028023006

"딥시크 사용자 데이터, 中 차이나모바일 전송…비밀코드 발견" - 머니S

https://zdnet.co.kr/view/?no=20250207111028

[기고] 딥시크(DeepSeek) 사태로 드러난 AI 시대의 보안 딜레마

(......) 급격한 성장 속도에 비해 보안 인프라 투자가 미비했음을 여실히 보여준다.

더욱 우려스러운 것은 중국의 국가정보법이다.

이 법은 모든 조직과 개인이 정부의 정보 활동을 지원하고 협력하도록 요구하고 있어, 중국 당국이 딥시크가 수집한 해외 사용자의 데이터에 접근할 가능성이 있다는 우려를 불러일으키고 있다.

이러한 이유로 이탈리아, 일본, 대만, 네덜란드 등 여러 국가가 공공기관에서 딥시크 사용을 금지했으며, 이탈리아와 아일랜드는 딥시크의 데이터 처리 방식에 대한 조사에 착수 (......) - zdet

1. chatGPT도 A사용자가 입력한(문서파일, raw data) 정보를 B사용자가 추출할 수 있는 버그가 있었죠. [본문으로]