Smart Life Guide

직장인 AI 사용법

회사에서 ChatGPT를 막는 이유: 직장인이 알아야 할 AI 보안 기준

회사에서 ChatGPT를 막는 이유를 삼성 사례, 공공기관 AI 정책, OpenAI 데이터 처리 기준을 바탕으로 설명합니다. 직장인이 AI에 넣으면 안 되는 정보와 안전한 프롬프트 기준을 정리했습니다.
작성자: Jay
작성일: 2026년 4월 30일
최종 업데이트: 2026년 6월 9일
유형: 공공기관 AI Champion 활동 경험 + 공식 정책 자료 기반 실무 가이드
배경: 캐나다 공공기관 HR/L&D 컨설턴트, AI Champion, AI Trainer
참고: OpenAI 공식 도움말·개인정보 관련 문서, 캐나다 정부 생성형 AI 사용 가이드, 삼성 ChatGPT 사용 제한 관련 보도
회사에서 ChatGPT를 막는 이유

회사에서 ChatGPT 접속을 막으면 답답하게 느껴질 수 있습니다. 특히 문서 초안, 이메일 정리, 회의록 요약처럼 AI가 분명히 도움이 되는 업무를 하는 사람이라면 “왜 이렇게까지 막아야 하지?”라는 생각이 들 수 있습니다.

하지만 조직이 ChatGPT 같은 공개 생성형 AI 도구를 제한하는 이유는 단순히 보수적이어서가 아닙니다. 핵심은 업무 정보가 조직이 통제하지 않는 외부 시스템으로 이동할 수 있다는 점입니다.

핵심 판단:
ChatGPT가 위험한 도구라서 무조건 쓰면 안 된다는 뜻은 아닙니다. 문제는 어떤 계정으로, 어떤 정보를, 어떤 목적으로 입력하느냐입니다. 공개 자료나 일반적인 문장 다듬기에는 유용할 수 있지만, 개인정보·기밀정보·내부 문서·소스코드·계약 정보는 개인 계정 AI에 입력하지 않는 것이 원칙입니다.

이 글을 읽어야 하는 사람

이 글은 특히 다음과 같은 분들을 위한 글입니다.

  • 회사에서 ChatGPT, Claude, Gemini 같은 AI 도구를 쓰고 싶은 직장인
  • 회사 정책이 명확하지 않아 어디까지 AI에 입력해도 되는지 고민하는 분
  • 회의록, 보고서, 이메일, 내부 자료를 AI로 요약하거나 다듬고 싶은 분
  • Copilot 같은 회사 승인 도구와 개인 AI 계정의 차이를 알고 싶은 분
  • HR, L&D, 공공기관, 대기업처럼 정보보안 기준이 중요한 환경에서 일하는 분

삼성 사례가 보여준 것: 문제는 “AI 사용”이 아니라 “데이터 입력”입니다

2023년 삼성전자 내부에서 직원들이 ChatGPT에 민감한 업무 정보를 입력한 사례가 보도됐습니다. 보도에 따르면 일부 직원은 소스코드 검토나 회의 내용 요약 등을 위해 ChatGPT를 사용했고, 이후 삼성은 사내 기기와 내부 네트워크에서 생성형 AI 도구 사용을 제한하는 조치를 취했습니다.

이 사례에서 중요한 점은 “ChatGPT를 썼다”는 사실 자체가 아닙니다. 더 중요한 것은 회사 내부 정보가 외부 AI 서비스로 전송됐다는 점입니다. 사용자는 단순히 업무를 빠르게 처리하려고 했을 수 있지만, 조직 입장에서는 소스코드, 회의 내용, 내부 의사결정 정보가 통제 범위 밖으로 나간 상황이 됩니다.

회사가 ChatGPT를 막는 이유는 바로 이 지점에 있습니다. AI 도구가 편리하더라도, 입력한 데이터가 어디에 저장되고, 누가 접근할 수 있으며, 서비스 제공자가 어떤 목적으로 처리하는지 확인되지 않으면 조직은 리스크를 감당하기 어렵습니다.

제가 공공기관 AI Champion 역할에서 먼저 확인한 것

실무자 관점 메모

제가 일하는 캐나다 공공기관에서도 처음에는 ChatGPT 사용을 조심하자는 분위기였지만, 이후에는 더 명확한 IT 정책으로 사용 제한이 강화됐습니다. Copilot 도입 과정에서 AI Champion 역할을 맡으면서 느낀 점은, 조직이 가장 먼저 보는 것은 “AI가 얼마나 똑똑한가”가 아니라는 것입니다.

실제로 먼저 확인하는 것은 데이터 흐름입니다. 데이터가 어디에 저장되는지, 조직 밖으로 나가는지, 누가 접근할 수 있는지, 기존 보안·개인정보보호 기준을 충족하는지부터 봅니다. 기능 검토는 그다음입니다.

특히 공공기관이나 규제가 강한 조직에서는 정보의 등급과 처리 환경이 중요합니다. 캐나다 정부의 생성형 AI 사용 가이드도 공개 온라인 생성형 AI 도구에 개인정보를 입력하지 말라고 안내합니다. 정부가 통제하거나 구성한 도구를 쓰는 경우에도 개인정보와 보안 요건을 따라야 합니다.

이 기준은 공공기관에만 해당되는 이야기가 아닙니다. 민간 기업에서도 직원 개인정보, 고객 정보, 계약서, 미공개 재무 정보, 내부 전략 문서, 소스코드 등은 개인 AI 계정에 넣기 전에 반드시 조직 정책을 확인해야 합니다.

회사에서 ChatGPT를 막는 주요 이유 5가지

1. 기밀정보가 외부 서비스로 전송될 수 있습니다

ChatGPT에 문장을 입력하는 순간, 그 내용은 사용자의 컴퓨터 안에만 머무르지 않습니다. 서비스 제공자의 서버로 전송되어 처리됩니다. 개인 계정으로 회사 자료를 붙여넣는 것은, 의도와 관계없이 회사 정보를 외부 서비스에 전달하는 행위가 될 수 있습니다.

2. 개인정보가 포함될 수 있습니다

회의록, 이메일, 인사 자료, 고객 문의, 교육 신청 내역에는 이름, 연락처, 직급, 평가 내용, 민원 내용처럼 개인을 식별할 수 있는 정보가 들어갈 수 있습니다. 이런 정보는 AI 요약이나 번역 목적이라도 함부로 입력하면 안 됩니다.

3. 회사가 데이터 처리 과정을 통제하기 어렵습니다

회사 승인 도구는 계약, 보안 설정, 관리자 통제, 감사 로그, 데이터 보관 정책을 어느 정도 확인할 수 있습니다. 반면 개인이 만든 무료 또는 개인 유료 AI 계정은 회사가 데이터 흐름을 관리하기 어렵습니다.

4. AI 결과물을 그대로 믿을 수 없습니다

보안 문제만 있는 것이 아닙니다. AI는 그럴듯하지만 틀린 답변을 만들 수 있습니다. 정책, 법률, 인사, 계약, 재무, 고객 대응처럼 정확성이 중요한 업무에서 AI 답변을 검토 없이 쓰면 잘못된 판단으로 이어질 수 있습니다.

5. 직원 개인에게 책임이 남을 수 있습니다

회사에 AI 사용 정책이 없다고 해서 자유롭게 써도 된다는 뜻은 아닙니다. 사고가 발생하면 “정책이 없어서 몰랐다”보다 “왜 민감한 자료를 외부 도구에 입력했는가”가 먼저 문제가 될 수 있습니다.

직장에서 AI에 입력하면 안 되는 정보와 비교적 안전한 정보

아래 표는 회사 정책이 명확하지 않을 때 참고할 수 있는 일반적인 판단 기준입니다. 실제 적용 전에는 반드시 소속 조직의 보안·IT·개인정보보호 기준을 확인하시기 바랍니다.

정보 유형 예시 판단 이유
직원 개인정보 이름, 연봉, 평가 기록, 병가 정보, 인사 기록 입력 금지 개인정보와 인사 기밀이 포함될 수 있습니다.
고객·클라이언트 정보 연락처, 상담 내용, 서비스 이용 내역, 민원 내용 입력 금지 개인정보보호와 계약상 비밀유지 의무가 문제될 수 있습니다.
계약·조달 정보 공급사 계약서, 입찰 조건, 가격 협상 자료 입력 금지 상업적 기밀이나 법적 의무가 포함될 수 있습니다.
미공개 전략·재무 정보 예산안, 사업 계획, 조직 개편안, 투자 계획 입력 금지 조직의 의사결정과 경쟁력에 영향을 줄 수 있습니다.
내부 시스템 정보 소스코드, API 키, 서버 정보, 보안 설정 입력 금지 보안 사고나 시스템 취약점 노출로 이어질 수 있습니다.
익명화한 업무 상황 이름·기관명·고유 정보 제거 후 일반화한 사례 주의 후 가능 재식별 가능성이 없도록 충분히 일반화해야 합니다.
공개 자료 공개 보고서, 공개 뉴스, 공식 웹페이지, 공개 논문 대체로 가능 이미 공개된 자료이지만, 저작권과 출처 표기는 확인해야 합니다.
형식·구조 요청 보고서 목차, 이메일 구조, 회의 아젠다 틀 대체로 가능 실제 민감 데이터를 넣지 않고도 도움을 받을 수 있습니다.
일반 문장 작업 영문 표현 개선, 문법 설명, 일반 개념 설명 대체로 가능 업무 기밀이나 개인정보가 없다면 상대적으로 위험이 낮습니다.

핵심은 실제 업무 데이터업무 형식·구조 요청을 구분하는 것입니다. “이 보고서 내용을 요약해줘”는 위험할 수 있지만, “정책 보고서의 일반적인 목차 구조를 제안해줘”는 훨씬 안전합니다.

ChatGPT 설정을 끄면 안전할까요?

ChatGPT에는 대화가 모델 개선에 사용되지 않도록 설정하는 데이터 컨트롤 기능이 있습니다. 작성 시점 기준으로, 웹에서는 프로필 메뉴에서 Settings → Data Controls → Improve the model for everyone 항목을 끌 수 있습니다.

  1. ChatGPT 오른쪽 상단 프로필을 클릭합니다.
  2. Settings를 선택합니다.
  3. Data Controls로 이동합니다.
  4. Improve the model for everyone 토글을 끕니다.
ChatGPT 데이터 컨트롤 설정 끄는 법

다만 이 설정을 껐다고 해서 민감한 업무 정보를 넣어도 된다는 뜻은 아닙니다. 이 설정은 주로 모델 개선을 위한 사용 여부에 관한 설정입니다. 대화 보관, 보안 검토, 오남용 방지, 법적 의무 등 다른 처리 가능성까지 모두 없애는 의미로 이해해서는 안 됩니다.

중요한 원칙:
데이터 컨트롤 설정은 보조 안전장치일 뿐입니다. 가장 안전한 방법은 처음부터 개인정보, 기밀정보, 내부 문서, 소스코드, 계약 정보, 미공개 자료를 입력하지 않는 것입니다.

또한 OpenAI는 ChatGPT Business, ChatGPT Enterprise, API Platform 같은 비즈니스 서비스의 경우 기본적으로 입력과 출력을 모델 학습에 사용하지 않는다고 안내합니다. 다만 이것도 “아무 자료나 넣어도 된다”는 뜻은 아닙니다. 조직 계약, 관리자 설정, 데이터 보관 정책, 내부 보안 기준을 함께 확인해야 합니다.

회사 승인 AI 도구와 개인 AI 계정은 다르게 봐야 합니다

많은 직장인이 “Copilot도 AI고 ChatGPT도 AI인데 왜 하나는 되고 하나는 안 되나?”라고 생각합니다. 하지만 조직 관점에서는 두 도구가 같지 않습니다.

회사가 승인한 AI 도구는 보통 계약, 보안 검토, 관리자 설정, 접근 권한 관리, 감사 로그, 데이터 보관 정책을 확인한 뒤 도입됩니다. 반면 개인이 따로 가입한 AI 계정은 회사가 같은 수준으로 통제하기 어렵습니다.

따라서 회사에서 Copilot이나 사내 AI 도구를 제공한다면, 업무 자료를 다룰 때는 먼저 회사 승인 도구를 사용하는 것이 안전합니다. 개인 ChatGPT, Claude, Gemini 계정은 공개 자료 기반 작업이나 일반적인 형식 요청 중심으로 제한하는 것이 좋습니다.

정책이 없는 회사라면 어떻게 해야 할까요?

회사에 AI 사용 정책이 없다는 것은 “허용한다”는 뜻이 아닙니다. 실제로는 판단이 개인에게 넘어와 있는 상태에 가깝습니다.

정책이 없다면 최소한 아래 세 가지 질문을 먼저 해보셔야 합니다.

  • 이 내용이 외부 언론에 공개되어도 괜찮은가?
  • 이 내용에 개인을 식별할 수 있는 정보가 포함되어 있는가?
  • 이 내용이 계약, 법적 의무, 보안, 인사, 고객 정보와 관련되어 있는가?

하나라도 걸린다면 개인 AI 계정에 입력하지 않는 것이 안전합니다. 꼭 AI를 써야 한다면, 실제 내용을 넣지 말고 맥락을 일반화하거나, 조직의 IT·보안 담당자에게 사용 가능 범위를 먼저 확인하는 것이 좋습니다.

안전하게 프롬프트를 바꾸는 예시

AI를 전혀 쓰지 말라는 뜻은 아닙니다. 민감한 정보를 제거하고, 구조나 표현 중심으로 요청하면 훨씬 안전하게 활용할 수 있습니다.

위험한 요청 더 안전한 요청
“아래 직원 평가 내용을 요약해줘.” “성과 피드백 문서를 작성할 때 사용할 수 있는 중립적인 문장 구조를 제안해줘.”
“우리 회사 계약서를 검토해서 위험 조항을 찾아줘.” “일반적인 서비스 계약서에서 확인해야 할 리스크 항목 체크리스트를 만들어줘.”
“회의록 원문을 요약해줘.” “프로젝트 회의록을 요약할 때 사용할 수 있는 요약 템플릿을 만들어줘.”
“이 내부 보고서를 임원용으로 줄여줘.” “정책 검토 보고서를 임원용 요약본으로 바꿀 때의 구성 방식을 제안해줘.”

AI에 넣기 전 10초 점검 체크리스트

ChatGPT, Claude, Gemini 같은 개인 AI 계정에 업무 내용을 입력하기 전 아래 항목을 확인해보세요.

  • 이 자료에 사람 이름, 연락처, 직원번호, 고객번호가 들어 있나요?
  • 인사, 평가, 급여, 병가, 징계, 채용 정보가 포함되어 있나요?
  • 고객, 클라이언트, 민원인, 학생, 환자 등 제3자의 정보가 있나요?
  • 계약서, 입찰, 조달, 가격 협상 정보가 포함되어 있나요?
  • 아직 공개되지 않은 사업 계획, 예산, 조직 개편 정보인가요?
  • 소스코드, API 키, 서버 정보, 시스템 구조가 포함되어 있나요?
  • 이 내용이 외부에 공개되면 회사나 고객에게 피해가 생길 수 있나요?
  • 회사에서 승인한 AI 도구가 따로 있나요?
  • 실제 내용을 넣지 않고도 형식이나 구조만 요청할 수 있나요?
  • IT, 보안, 법무, 개인정보보호 담당자에게 확인해야 할 사안인가요?

위 질문 중 하나라도 “예”라면, 개인 AI 계정에 그대로 입력하지 않는 것이 안전합니다.

실제로 어떤 회사 자료를 AI에 넣어도 되는지 판단 기준이 필요하다면 회사 자료를 ChatGPT에 넣어도 될까? 실무자를 위한 7단계 체크리스트를 함께 참고하시기 바랍니다.

자주 묻는 질문

ChatGPT 설정에서 모델 학습을 끄면 안전한가요?

모델 개선을 위한 사용을 막는 데는 도움이 됩니다. 하지만 민감한 업무 정보를 입력해도 된다는 뜻은 아닙니다. 조직의 보안 정책, 데이터 보관, 접근 권한, 법적 의무는 별도로 확인해야 합니다.

회사 이메일로 가입하면 더 안전한가요?

아닙니다. 회사 이메일로 가입했다는 사실만으로 회사 승인 도구가 되는 것은 아닙니다. 데이터 처리 방식은 계정 이메일 주소가 아니라 서비스 계약, 플랜, 관리자 설정, 조직 정책에 따라 달라집니다.

회의록을 AI로 요약해도 되나요?

공개 가능한 회의나 민감 정보가 없는 회의라면 가능할 수 있습니다. 하지만 참석자 이름, 발언 내용, 인사 이슈, 고객 정보, 미공개 의사결정, 법적 쟁점이 포함된 회의록은 개인 AI 계정에 넣지 않는 것이 안전합니다.

회사 정책이 없으면 그냥 써도 되나요?

정책이 없다는 것은 허용과 다릅니다. 특히 개인정보, 내부 문서, 고객 정보, 계약 정보, 소스코드가 포함된 자료는 정책이 없어도 개인 AI 계정에 입력하지 않는 것이 안전합니다.

관련 글

출처 및 참고 자료

이 글은 공개 보도, OpenAI 공식 문서, 캐나다 정부 생성형 AI 사용 가이드, 필자의 공공기관 AI Champion 활동 경험을 바탕으로 작성했습니다. 도구의 기능, 정책, 데이터 처리 방식은 바뀔 수 있으므로 실제 업무 적용 전에는 공식 문서와 소속 조직의 정책을 함께 확인하시기 바랍니다.

OpenAI Data Controls FAQ → OpenAI 데이터 사용 안내 → 캐나다 정부 생성형 AI 가이드 → 삼성 사례 보도 참고 →

면책 안내: 이 글은 일반적인 업무 판단을 돕기 위한 정보이며, 법률·보안·개인정보보호 자문이 아닙니다. 실제 업무 적용 전에는 소속 조직의 정책, 보안팀, 법무팀, 개인정보보호 담당자의 기준을 확인하시기 바랍니다.