AI에 업로드한 사진은 어떻게 되는가 — ChatGPT, Claude, Gemini 비교

결론부터

AI 챗봇에 사진을 올릴 때 가장 중요한 것은 "어느 서비스냐"보다 "어떤 계정이냐"와 "어떤 설정이 켜져 있느냐"입니다. 같은 사진이라도 개인 무료 계정, 개인 유료 계정, 기업 계정의 데이터 처리 방식이 다릅니다. 또한 "모델 학습에 쓰이는가", "내 계정에 저장되는가", "사람이 검토하는가"는 서로 다른 문제입니다. 이 글에서는 이 세 가지를 분리해서 짚어봅니다.

특히 이미지 업로드는 텍스트 입력보다 위험 범위가 넓습니다. 사진 안에는 내가 의도한 대상뿐 아니라 배경 문서, 화면 속 계정 정보, 다른 사람 얼굴, 촬영 위치를 유추할 수 있는 단서가 함께 들어갈 수 있기 때문입니다.

서비스별 이미지 데이터 처리 방식 (2026년 5월 기준)

세 서비스의 정책은 2025년 하반기에 큰 변화가 있었습니다. 1~2년 전 정보로 알고 있다면 다시 확인할 필요가 있습니다.

⚠️ 정책은 자주 바뀝니다. Claude만 해도 2025년 8~10월 사이 대대적 변경이 있었습니다. 항상 공식 페이지에서 재확인하세요.

"학습", "저장", "인간 검토"는 같은 말이 아닙니다

여기서 한 가지 구분해야 할 점이 있습니다. 모델 학습에 사용된다는 것, 계정 활동에 저장된다는 것, 사람이 검토할 수 있다는 것은 서로 다른 문제입니다.

• 학습 — 입력한 데이터가 다음 모델 훈련에 사용되는가
• 저장 — 내 계정·서비스 서버에 어떤 형태로 얼마나 보관되는가
• 인간 검토 — 안전성 점검·품질 개선·정책 위반 대응을 위해 사람이 일부를 직접 보는가

예를 들어 Google은 Gemini Apps Privacy Hub에서, 일부 채팅이 품질 개선·안전 점검 목적으로 훈련된 검토자에게 전달될 수 있고, 검토된 채팅은 계정과 분리되어 최대 3년간 보관된다고 명시합니다. 즉 "학습 거부"를 했다고 해도 일부 데이터는 검토 목적으로 따로 처리될 수 있습니다. 세 가지를 따로 확인하는 습관이 필요합니다.

각 서비스의 핵심 포인트

ChatGPT — 보존명령 영향이 현재 진행 중

ChatGPT 개인 계정(Free·Plus·Pro)은 기본적으로 학습에 활용되며, Settings → Data Controls의 "Improve the model for everyone"을 끄면 이후 대화는 학습에 쓰이지 않습니다. 다만 2025년 6월 미국 연방법원이 NYT 등의 소송과 관련해 OpenAI에 삭제된 대화를 포함한 모든 사용자 채팅·업로드 파일을 사건 종결 시까지 보존하도록 명령했습니다. 이 명령은 ChatGPT Free·Plus·Pro·Team에 적용되고, Enterprise·Edu·Zero Data Retention API 계약은 제외됩니다. 따라서 현재로서는 "삭제했으니 사라졌다"는 가정이 성립하지 않습니다.

또 한 가지 자주 놓치는 점: 업로드한 파일은 별도의 Library에 저장되므로, 채팅을 지워도 자동으로 삭제되지 않습니다. Library에서 직접 삭제해야 합니다. 민감한 입력에는 Temporary Chat을 사용하면 기록·메모리·학습 모두에서 제외됩니다.

Claude — 2025년 8월 정책이 바뀌었습니다

Anthropic은 2025년 8월 28일 Consumer Terms와 Privacy Policy를 업데이트했습니다. 그 이전까지 Claude는 "소비자 대화를 학습에 쓰지 않는다"는 입장이었지만, 변경 후에는 사용자가 모델 개선 사용 여부를 직접 선택해야 합니다. 신규 가입자는 가입 과정에서 선택하고, 기존 사용자에게는 팝업 알림이 표시되었으며 선택 시한은 최종적으로 2025년 10월 8일까지였습니다.

주의할 점은 UI입니다. 기존 사용자에게 표시된 팝업은 큰 'Accept' 버튼 아래에 작은 토글이 있고, 그 토글이 기본 ON 상태로 미리 선택되어 있었습니다. 따라서 'Accept'를 무심코 누른 사용자는 자기도 모르게 학습 동의 상태일 수 있습니다. Settings → Privacy → "Help improve Claude"에서 현재 상태를 한 번 확인하는 것이 좋습니다.

보관 기간은:

• opt-out (학습 거부): 대화 삭제 시 백엔드에서 30일 이내 영구 삭제
• opt-in (학습 허용): 최대 5년 보관
• 피드백·정책 위반으로 플래그된 데이터: 최대 10년 보관 가능

Incognito 모드에서의 대화는 다른 설정과 무관하게 학습에 사용되지 않습니다. Claude for Work·Gov·Edu·API는 정책 변경의 영향을 받지 않으며 기본적으로 학습에 사용되지 않습니다.

Gemini — 핵심은 "Keep Activity"와 "Photos는 별도 정책"

Gemini는 활동 저장 설정이 핵심입니다. Gemini Apps Activity(현재 일부 UI에서는 "Keep Activity"로 변경 중)가 켜져 있으면 채팅, 업로드한 파일, 사진, 위치 관련 정보가 계정 활동에 저장될 수 있고, Google은 이를 서비스 제공·개선과 생성형 AI 모델 개선에 사용할 수 있다고 안내합니다. 만 18세 이상은 기본 ON 상태입니다.

다만 자주 오해되는 부분이 있습니다. Google Photos는 별도의 개인정보 안내가 적용되며, Google은 "Google Photos 외부에서는 Photos의 개인 데이터로 생성형 AI 모델을 훈련하지 않는다"고 명시합니다. 동시에, Google Photos를 Gemini와 연결해 Personal Intelligence를 사용하는 경우, Photos의 이미지·오디오 자체는 외부 모델 훈련에 쓰이지 않지만, 사용자가 Gemini와 상호작용하는 과정에서 발생한 요약·발췌·추론 결과는 학습에 사용될 수 있다고 안내합니다. 이 미묘한 차이를 이해하는 것이 중요합니다.

설정 OFF 후에도 약 72시간 동안은 서비스 제공·피드백 처리를 위해 임시로 보관되고, 활동이 켜진 경우에도 18개월 자동 삭제가 기본값(3·18·36개월 선택 가능)입니다. 민감한 입력에는 Temporary Chat(72시간 후 삭제, 학습 미사용)을 사용할 수 있습니다.

사진이 텍스트보다 특별히 문제되는 이유

텍스트는 내가 쓴 것만 담깁니다. 사진은 다릅니다.

EXIF 메타데이터 — 사진 안에 숨겨진 위치 정보

스마트폰 사진에는 촬영 일시, GPS 좌표, 기기 정보가 내장되어 있습니다. 사용자는 사진만 올렸다고 생각하지만, 집 주소나 직장 위치가 함께 전송될 수 있습니다. 세 서비스 모두 EXIF 보존·제거 방식을 사용자가 확인할 수 있는 형태로 명시하지 않으므로, 민감한 사진은 업로드 전 메타데이터 제거 후 사용하는 것이 안전합니다(스마트폰 갤러리의 "위치 정보 제거" 옵션, 또는 ExifTool 등).

배경에서 의도치 않게 노출되는 정보

AI는 사용자가 주목한 피사체뿐 아니라 배경도 분석합니다. 처방전 속 약 이름, 책상 위 서류, 모니터 화면, 사무실 내부 구조가 함께 처리됩니다. "이 부분만 봐줘"라는 의도와 무관하게 이미지 전체가 입력됩니다.

얼굴 사진의 법적 무게

얼굴 사진 자체가 항상 민감정보로 취급되는 것은 아니지만, 얼굴 이미지가 개인 식별을 위한 생체인식정보로 처리되는 경우(예: 얼굴 임베딩 추출, 1:N 매칭 등)에는 한국 개인정보보호법상 보호 수준이 높아집니다. 주민등록번호는 별도의 고유식별정보로 엄격하게 보호됩니다. GDPR (General Data Protection Regulation, 유럽연합(EU)의 개인정보 보호 규정으로, 2018년 5월 시행)도 마찬가지로, 얼굴 사진이 특정 기술적 처리를 통해 개인을 고유하게 식별하는 목적으로 사용될 때 특별범주(special category) 정보로 분류됩니다.

AI가 이미지에서 추출할 수 있는 정보의 범위

이미지에서는 사용자가 의도하지 않은 정보까지 분석·추출될 수 있습니다. 처방전에서 건강 상태, 배경에서 경제적 상황, 사진 속 인물의 나이대 추정 등이 이론적으로 가능합니다.

타인의 사진은 내 문제로 끝나지 않습니다

단체 사진, 지인이 찍힌 사진을 올리면 그 사람은 AI 서비스에 데이터를 제공하는 데 동의한 적이 없습니다. EU·EEA 지역에서는 사진 속 인물이 식별 가능하고 업로드 목적·법적 근거·고지 여부가 불명확한 경우 GDPR 관련 이슈가 생길 수 있고, 얼굴이 생체정보로 처리되면 규제가 더 엄격해질 수 있습니다. 한국 개인정보보호법도 타인의 개인정보를 본인 동의 없이 제3자에게 제공하는 행위를 제한합니다.

업로드 전 10초 체크리스트

실무 관점에서 본 빈도 높은 실수

✍️ AI 도구 실무 관점에서 자주 보는 사례

AI 관련 업무를 하며, 사용자가 의도하지 않은 정보가 이미지에 함께 포함되는 사례를 반복해서 보게 됩니다. 텍스트와 달리 이미지는 단순히 "내용"만 전달되는 게 아닙니다. 가장 많이 놓치는 것은 "내가 보여주려는 부분 외의 것들"입니다. 업무 자료를 확인받으려고 올린 사진 속 배경에 동료 얼굴이 찍혀 있거나, 처방전을 번역하려고 올린 사진에 이름과 주민번호 앞자리가 보이는 경우가 그 예입니다.

업로드 전 한 번 더 생각해야 할 사진 유형 6가지:

• 신분증·여권·주민등록증 등 신원 확인 서류
• 타인의 얼굴이 찍힌 사진 (본인 동의가 없는 경우)
• 의료 기록·처방전·검사 결과지
• 사내 문서·회의 자료·업무 화면 캡처 — 가장 놓치기 쉬운 항목
• 금융 정보가 보이는 서류 (통장, 카드 번호 등)
• 미성년자가 찍힌 사진

설정 방법, 그리고 이미 올렸다면

학습 거부 설정하는 방법

ChatGPT
Settings → Data Controls → "Improve the model for everyone" OFF. 히스토리는 켠 채로 학습만 끄는 것이 가능합니다. 민감 입력은 Temporary Chat 사용.

Claude
claude.ai → Settings → Privacy → "Help improve Claude" 토글 확인. 2025년 9~10월 팝업에서 'Accept'를 누른 적이 있다면 ON 상태일 가능성이 높습니다. 일회성은 입력창의 Incognito 모드(유령 아이콘).

Gemini
myactivity.google.com → Gemini Apps Activity / Keep Activity OFF. Google Photos·Workspace 등 연동 앱은 별도 관리가 필요합니다. 일회성은 Temporary Chat(점선 채팅 아이콘).

이미 올렸다면 — 채팅 삭제로 충분하지 않습니다

4단계가 핵심입니다. Machine Unlearning 연구가 진행 중이지만, 일반 사용자가 특정 입력 하나를 완벽히 되돌릴 수 있다고 기대하기는 어렵습니다. 올리기 전에 판단하는 것이 현재로서는 가장 확실한 보호 방법입니다.

자주 묻는 질문

사진 속 얼굴이나 주민번호도 학습에 쓰입니까?

각 서비스의 정책은 "대화 내용"을 학습에 사용한다고 명시하며, 이미지도 그 일부입니다. 주민등록번호는 한국 개인정보보호법상 고유식별정보이고, 얼굴 사진은 상황에 따라 일반 개인정보 또는 생체인식정보로 다뤄집니다. 어느 쪽이든 학습 과정에 포함될 가능성을 배제하기 어렵기 때문에, 가능하면 올리지 않는 것이 원칙입니다.

채팅을 지우면 올린 사진도 없어집니까?

아닙니다. ① 채팅 삭제는 화면에서만 사라집니다. ② ChatGPT의 경우 업로드한 파일은 Library에 별도 저장되므로 직접 지워야 합니다. ③ 서버 데이터를 완전히 지우려면 각 서비스 개인정보 창구에 삭제 요청이 필요합니다. 단 ChatGPT는 2025년 6월 미국 연방법원의 보존명령에 따라 삭제 데이터까지 사건 종결 시까지 보관 중입니다. 그리고 이미 학습에 반영된 내용을 모델에서 완전히 제거하는 것은 현재 기술로 매우 어렵습니다.

유료 플랜을 쓰면 무료보다 더 안전합니까?

플랜 구분보다 기업 계정 여부가 더 중요합니다. ChatGPT Business·Enterprise·Edu·API, Claude for Work·Gov·Edu·API, Google Workspace 기업 계정은 기본적으로 학습에 사용되지 않습니다. 반면 ChatGPT Plus·Pro, Claude Pro·Max 같은 개인 유료 플랜은 설정에 따라 다르며, Claude Pro·Max는 2025년 8월 정책 변경 이후 Free와 동일한 학습 노출 구조에 들어갔습니다. "유료니까 안전하다"는 정확한 표현이 아닙니다.

회사 업무용 사진을 개인 ChatGPT 계정에 올려도 됩니까?

개인 계정은 기업 계정과 데이터 처리 방식이 다릅니다. 사내 문서·회의 자료·업무 화면을 개인 계정에 올리면 회사의 기밀 정보가 외부 서버로 전송되고, 학습 데이터로 쓰일 수 있습니다. 많은 기업이 내부 지침으로 이를 금지하고 있습니다. 자세한 배경은 회사에서 ChatGPT를 막는 이유에서 다룹니다.

사주를 보려고 생년월일을 입력해도 괜찮습니까?

법률 분류와 실무 위험은 분리해서 봐야 합니다. 법률상: 생년월일 단독은 보통 한국 개인정보보호법상 민감정보나 고유식별정보에 해당하지 않습니다. 실무상: 사주를 볼 때 실제로 입력하게 되는 정보는 이름 + 생년월일 + 출생시간 + 성별 조합이 대부분입니다. 이 조합은 금융기관·통신사·공공기관에서 신원 확인 기준으로 쓰는 정보와 상당 부분 겹치며, 사칭·계정 탈취 등 사회공학 공격에 악용될 수 있습니다. 사주는 년·월·일·시 네 기둥이 있어야 의미가 있으므로 생년월일·출생시간을 빼는 것은 비현실적이고, 가장 현실적인 절충안은 이름을 빼거나 가명을 사용하는 것입니다. 이름 없이는 특정 개인으로 연결하기가 어려워 사칭 리스크를 상당 부분 줄일 수 있습니다. ChatGPT 무료 계정에서 학습 opt-out을 하지 않은 상태로 입력할 때는 특히 주의가 필요합니다.

사진 속 다른 사람 얼굴이 찍혀 있으면 어떻게 됩니까?

해당 인물은 AI 서비스 이용에 동의한 적이 없습니다. 사진을 올리는 순간 그 사람의 얼굴 데이터가 서비스 서버로 전송됩니다. 한국 개인정보보호법은 타인의 개인정보를 본인 동의 없이 제3자에게 제공하는 것을 제한하며, EU·EEA 지역에서는 식별 가능성·처리 목적·법적 근거에 따라 GDPR 이슈가 될 수 있습니다(특히 얼굴이 고유 식별 목적의 생체정보로 처리될 경우 규제가 더 엄격해집니다). 타인이 찍힌 사진은 올리기 전에 얼굴 부분을 가리는 것이 좋습니다.

"학습 거부"를 설정하면 사람도 내 대화를 안 보나요?

아닙니다. 학습 거부와 인간 검토는 서로 다른 문제입니다. 일부 서비스는 안전성 점검·정책 위반 대응·품질 개선을 위해 별도 트랙으로 사람이 일부 데이터를 검토할 수 있다고 명시합니다. 따라서 매우 민감한 입력은 학습 설정과 별개로 처음부터 입력하지 않는 것이 가장 안전합니다.

공식 문서 확인

최신 정책은 다음에서 직접 확인할 수 있습니다: