구글에 ‘딥시크 탈옥’을 검색하고 있는 모습. [차민주 기자/chami@]

[헤럴드경제=차민주 기자] 중국 딥시크(Deepseek)가 인공지능(AI) 모델 중 ‘탈옥’에 가장 취약한 것으로 알려지면서, ‘딥시크 탈옥’ 관련 검색량이 폭등하고 있다.

탈옥은 사용자가 AI 모델에게 보안·윤리 가이드라인을 무력화하는 명령어를 입력해 모델이 제공하지 않도록 설정된 응답을 이끌어내는 것을 의미한다. 대부분의 AI 모델은 범죄·차별 발언 등 유해 정보를 출력하지 않도록 학습돼 있는데, 명령어를 통해 출력 제한을 없애는 것이다.

앞서 챗GPT가 생성형 AI 시장을 선두할 당시에도 탈옥 논란이 일어난 바 있다. 탈옥된 챗GPT가 음란 정보와 다크웹 접속 경로 등을 전부 제공하면서 AI의 범죄 악용 가능성이 점쳐졌기 때문이다. 이번 딥시크 또한 탈옥에 취약한 것으로 알려지면서, 다시 한 번 논란이 촉발되는 모습이다.

구글 트렌드에서 ‘딥시크’의 관련 검색어 중 ‘딥시크 탈옥’ 관련 검색량이 급상승한 모습. [구글 트렌드 캡처]

구글 트렌드에 따르면 지난 5일간(3일 오후 2시~7일 오후 2시) ‘딥시크’의 관련 검색어 중 ‘딥시크 탈옥 버전’의 검색량이 지난 기간(7일 오후 2시 이전 전체 기간) 대비 3450% 급등했다. 뒤이어 같은 시간대 기준 ‘딥시크 탈옥 방법’의 검색량은 600%, ‘딥시크 탈옥’은 200% 상승했다. 딥시크 탈옥 버전은 사용자가 입력한 탈옥 명령어로 출력 제한이 사라진 이후의 딥시크를 뜻한다.

딥시크 R1이 현재 출시된 AI 모델 중 가장 탈옥에 취약한 것으로 밝혀지면서 사용자의 이목이 집중된 것으로 풀이된다. 지난 4일 글로벌 보안 기업 시스코가 펜실베이니아 대학과 함께 진행한 인정성 테스트에 따르면, 모든 고성능 생성형 AI 모델 가운데 R1이 탈옥 기술에 가장 취약한 것으로 나타났다. 테스트를 진행한 모델은 딥시크의 R1, 오픈AI의 o1-프리뷰·GPT-4o, 앤트로픽의 클로드 3.5 소네트, 구글의 제미나이 1.5 프로, 메타의 라마 3.1 405B 등이다.

연구진은 탈옥 기술을 사용해 딥시크 R1에 자동화된 공격을 시도하자 100% 성공했다고 밝혔다. 100% 성공률을 달성한 것은 딥시크가 유일하다. 동일한 방법으로 기타 모델에 위협을 가한 결과, 라마 3.1 405B는 96%, GPT-4o는 86%, 제미나이 1.5-프로는 64%, 클로드 3.5 소넷은 36%의 성공률을 보였다.

딥시크. [로이터]

사용자 사이에서도 딥시크의 탈옥에 대한 관심이 커지고 있다. 특히 딥시크가 영토 분쟁 등 정치적으로 민감한 사안의 질문에 대해 내부 검열을 받고 있다는 의혹이 불거지면서, 검열이 적용되지 않는 딥시크 탈옥 버전에 대한 궁금증이 확산되는 모습이다. 지난 4일 국내 유튜브 채널에 올라온 딥시크 탈옥 버전 관련 영상은 업로드된 지 하루만에 조회수 19만회를 달성하기도 했다.

정보기술(IT)업계에선 딥시크가 탈옥 관련 유해 프롬프트를 단 하나도 걸러내지 못하는 만큼, 딥시크의 위험성이 단순 정치적 검열 이슈를 넘어 사용자의 범죄 악용 가능성까지 확장되고 있다는 우려가 나온다.

한편, 정부 부처와 국내 정보통신(IT) 기업은 정보 유출 문제를 우려해 대거 딥시크 접속 차단에 나섰다. 외교부, 국방부, 산업통상자원부 등을 비롯한 정부 부처는 지난 6일부터 순차적으로 딥시크 접속을 차단하고 나섰다. 카카오, SK텔레콤, LG유플러스, 네이버 또한 사내 업무망에서 딥시크 사용을 금지하거나 제한했다.