[이데일리 방성훈 기자] 최근 인기가 급상승하고 있는 중국 인공지능(AI) 스타트업 딥시크의 데이터베이스 중 하나가 인터넷에 노출됨에 따라, 민감한 데이터가 100만건 이상 유출됐을 가능성이 있다는 경고가 나왔다.

(사진=AFP)

30일(현지시간) 와이어드, 더버지 등에 따르면 클라우드 및 사이버 보안 글로벌 기업 위즈(Wiz)의 보안 연구원인 갈 나글리는 이날 회사 블로그를 통해 “딥시크의 외부 인프라에 대한 보안 평가를 진행하는 동안 클릭하우스(ClickHouse) 데이터베이스가 인터넷에 완전히 노출된 것을 발견했다”고 밝혔다.

그러면서 사용자 채팅 기록, API 비밀키, 백엔드 세부 정보 및 운영 메타데이터 등 민감한 정보를 포함한 100만건 이상의 로그 항목이 클릭하우스 데이터베이스에 보관돼 있었으며, 이들 정보가 유출됐을 가능성이 있다고 경고했다.

나글리 연구원은 “몇 분 만에 인증 없이도 내부 데이터에 접근할 수 있는 권한을 포함해 데이터베이스 운영을 완전히 통제할 수 있었다”며 “이러한 수준의 접근은 딥시크 자체 보안은 물론 최종 사용자에게도 중대한 위험을 초래한다”고 지적했다.

외부의 악의적인 행위자들이 노출된 데이터에 실제로 접근했거나 다운로드했는지는 아직 확인되지 않았다. 딥시크는 위즈의 경고를 받은 뒤 즉시 보안 취약점을 수정한 상태다.