회사에서 ChatGPT를 막는 이유 — 정책 없는 직장인이 알아야 할 데이터 보안

20일 사이에 세 번. 2023년 4월, 삼성 반도체 사업부 직원들이 각자 몰래 ChatGPT를 쓰다가 세 건의 사고가 연달아 터졌습니다. 소스코드를 버그 점검용으로 붙여넣은 사람, 코드 최적화를 맡긴 사람, 내부 회의 내용을 요약시킨 사람. 세 명 모두 '그냥 편리해서' 썼을 것입니다. 삼성은 그 직후 사내 기기에서 생성형 AI 도구를 전면 금지했습니다.

제가 일하는 캐나다 공공기관에서도 ChatGPT를 쓰지 않도록 권장하다가 이제는 아예 쓰지 못하도록 IT 정책을 변경했습니다. 처음엔 당연한 조치라고 생각했는데, AI 챔피언 역할을 맡으면서 왜 막혔는지, 그리고 정책이 없는 조직에서 무슨 일이 생길 수 있는지를 더 구체적으로 보게 됐습니다.

삼성에서 실제로 무슨 일이 있었나

삼성이 ChatGPT를 금지하기 전까지 내부 조사에서 확인된 사용자는 65명이었습니다. 세 건의 사고 중 가장 심각했던 것은 반도체 설비 관련 소스코드를 오류 수정 목적으로 그대로 붙여넣은 경우였습니다.

문제는 그 내용이 어디로 갔느냐입니다. 당시 ChatGPT는 사용자가 입력한 대화를 기본적으로 서버에 저장하고, 일정 기간 모델 개선에 활용할 수 있었습니다. 즉 삼성의 내부 코드가 OpenAI 서버로 전송됐고, 이론적으로는 다른 사용자의 결과에 영향을 줄 수 있는 상태가 된 것입니다.

삼성은 이후 사내 전용 생성형 AI 도구 개발로 방향을 틀었습니다. "그냥 복붙 한 번"이 기업 전략을 바꾼 셈입니다.

공공기관은 왜 처음부터 막으려고 고려했나

민간 기업은 사고가 터진 뒤 정책을 만드는 경우가 많습니다. 반면 공공기관은 대체로 먼저 막고 나중에 허용 범위를 정하는 방향으로 움직입니다. 다만 이번 경우는 기술 자체가 새로운 것이라 평소와는 반대로 가긴 했지만, 결국 막는 것으로 전환한 이유는 간단합니다. 다루는 정보의 성격이 다르기 때문입니다.

캐나다 연방정부 기준으로 보면 Protected B 등급 이상의 정보 — 직원 인사 기록, 계약 정보, 수사 관련 자료, 취약계층 서비스 기록 등 — 는 정부가 승인한 클라우드 환경 외에는 저장하거나 전송할 수 없습니다. ChatGPT 같은 상업용 서비스는 그 기준을 충족하지 않습니다.

단순히 "유출되면 부끄럽다"의 문제가 아닙니다. 규정 위반이 됩니다.

✍️ Copilot 도입 당시 AI 챔피언으로 가장 먼저 확인한 것

IT에서 Microsoft 365 Copilot을 조직에 도입할 때 가장 먼저 검토한 것은 기능이 아니었습니다. 데이터가 어디에 저장되고, 누가 접근할 수 있고, 정보가 밖으로 나가는지 여부였습니다. Copilot은 조직의 Microsoft 365안에서만 작동하기 때문에 공공기관 기준을 충족할 수 있었지만, 그 조건을 확인하는 데만 상당한 시간이 걸렸습니다.

직장에서 AI에 입력하면 안 되는 것, 괜찮은 것

회사 정책이 명시적으로 없더라도 아래 기준은 개인 판단 기준으로 쓸 수 있습니다. 아래 표로 정리하면 더 명확합니다.

카테고리	예시	판단
직원 개인정보	이름·연봉·인사 기록	❌ 금지
계약·조달 정보	공급사 계약서, 입찰 조건	❌ 금지
고객·클라이언트 데이터	연락처, 서비스 이용 내역	❌ 금지
미공개 재무·전략 정보	예산안, 사업 계획, M&A 관련	❌ 금지
내부 시스템 코드	사내 개발 소스코드, API 키	❌ 금지
업무 맥락 없는 일반 질문	문법 교정, 영작, 개념 설명	✅ 가능
공개 자료 기반 작업	뉴스 기사 요약, 공개 보고서 정리	✅ 가능
구조·형식 요청	보고서 목차 잡기, 이메일 틀 제안	✅ 가능

표에서 핵심은 "실제 데이터"와 "형식·구조"의 경계선입니다. 보고서의 구조를 잡는 건 괜찮지만, 그 보고서 안에 있는 내용을 그대로 붙여넣는 순간 금지 영역이 됩니다.

ChatGPT는 내 대화를 어떻게 저장하나

기본 설정에서 ChatGPT는 대화 기록을 저장하고, 이를 모델 개선에 활용할 수 있습니다. 다만 이 설정은 끌 수 있습니다.

설정 경로는 간단합니다.

1. ChatGPT 오른쪽 상단 프로필 클릭
2. 설정(Settings) 선택
3. 데이터 컨트롤(Data controls) 탭 이동
4. "모두를 위해 모델 개선(Improve the model for everyone)" 토글 OFF

다만 이 설정을 끈다고 완전히 안심할 수는 없습니다. OpenAI 정책상 일정 기간 서버에 대화 내용이 보관되며, 보안 검토나 오남용 방지 목적으로 열람될 수 있습니다. 설정을 꺼도 "이 대화는 절대 저장되지 않는다"는 의미는 아닙니다. 민감한 정보를 입력하지 않는 것이 유일하게 확실한 방법입니다.

참고로 ChatGPT Team이나 Enterprise 요금제는 기본적으로 학습에 활용되지 않도록 설정되어 있습니다. 기업 구독이라면 계정 유형을 먼저 확인해볼 필요가 있습니다.

정책이 없는 회사에 다닌다면

회사에 AI 사용 정책이 없다는 것은 허용한다는 의미가 아닙니다. 판단을 개인에게 넘긴다는 의미입니다. 사고가 터졌을 때 "정책이 없어서 몰랐다"는 말은 보통 통하지 않습니다.

간단한 자가 점검 기준 세 가지만 기억하면 됩니다.

• 이 정보가 외부 언론에 나가도 괜찮은가? → 아니라면 입력 금지
• 이 정보에 다른 사람 이름이나 식별 정보가 포함돼 있는가? → 포함됐다면 입력 금지
• 이 정보가 회사 계약이나 법적 의무와 관련 있는가? → 관련 있다면 입력 금지

AI 에이전트처럼 자율적으로 행동하는 도구를 쓸 때는 리스크가 한층 더 커집니다. 데이터 접근 권한을 어디까지 줄 것인지, 어떤 자동화 행동을 허용할 것인지를 먼저 점검해야 합니다. 실제 사고 사례가 궁금하다면 AI 에이전트가 프로덕션 DB를 삭제한 사고를 참고하시기 바랍니다.

이 글은 공개된 사례 보도와 OpenAI 공식 정책 문서, 필자의 공공기관 AI 챔피언 활동 경험을 바탕으로 정리한 것입니다. 조직별 정보보안 규정은 다를 수 있으므로, 구체적인 정책 판단은 소속 기관의 IT·보안 담당 부서에 확인하는 것을 권장합니다.

자주 묻는 질문

ChatGPT 설정에서 학습을 거부하면 안전합니까?
설정을 끄면 대화가 모델 개선에 활용되는 것을 막을 수 있지만, 서버 저장 자체를 막지는 않습니다. OpenAI는 보안 검토 등의 목적으로 일정 기간 대화를 보관합니다. 민감한 업무 정보는 설정과 무관하게 입력하지 않는 것이 원칙입니다.

회사 이메일로 가입하면 더 안전합니까?
아닙니다. 가입 이메일은 계정 식별 수단일 뿐입니다. 데이터가 어디에 저장되고 어떻게 처리되는지는 계정 이메일 주소와 관계없습니다. 기업 보안 기준을 충족하려면 ChatGPT Enterprise처럼 별도 계약이 체결된 플랜을 사용해야 합니다.

우리 회사는 아직 정책이 없는데, 그냥 써도 됩니까?
정책 부재는 허용이 아닙니다. 사고 발생 시 개인 판단 하에 사용한 것으로 간주될 수 있습니다. 위 표의 금지 항목을 기준으로 스스로 선을 긋고, IT 또는 보안 담당자에게 가이드라인 요청을 먼저 해두는 것을 권장합니다.