회사 문서나 고객 메일을 ChatGPT에 넣기 전, 핵심 질문은 단순히 ‘ChatGPT가 안전한가?’가 아닙니다. 먼저 봐야 할 것은 자료가 얼마나 민감한지, 회사가 승인한 업무 환경인지, AI 도구에 계약과 관리 통제가 있는지, 그리고 업무상 정말 원문 전체가 필요한지입니다.
이 글은 OpenAI가 공개한 개인정보처리방침, 비즈니스 데이터 보안·컴플라이언스 페이지, 기업 프라이버시 페이지를 기준으로 정리했습니다. 회사가 다른 AI 공급자를 사용한다면 해당 업체의 약관, 회사 내부 정책, 고객 계약 조건을 별도로 확인해야 합니다.[5][
6][
7]
결론부터: 공개 자료는 검토 가능, 고위험 자료는 원문 입력 금지
이미 공개된 내용이고, 개인을 식별할 수 있는 정보나 고객 정보, 미공개 사업 정보가 없다면 AI로 문장을 다듬거나 요약·분류·아이디어 정리에 활용할 수 있습니다. 다만 이 경우에도 회사의 AI 사용 정책을 따라야 합니다.
반대로 고객 이름, 전화번호, 이메일, 주소, 신원 확인 정보, 결제 정보, 계약 조건, 미공개 재무 숫자, 원본 고객 명단, 제품 전략 같은 내용은 훨씬 신중해야 합니다. OpenAI 개인정보처리방침은 사용자가 서비스 입력으로 제공한 Personal Data를 수집한다고 설명하며, 여기에는 프롬프트와 업로드한 파일·이미지·오디오·비디오 등 콘텐츠가 포함될 수 있습니다.[5]
기업용 서비스가 일부 위험을 낮출 수는 있지만, 그것이 ‘모든 자료를 넣어도 된다’는 뜻은 아닙니다. OpenAI는 ChatGPT Business, ChatGPT Enterprise, API Platform 등의 서비스에서 입력과 출력을 포함한 비즈니스 데이터에 대해 고객의 ownership and control을 제공한다고 설명하며, GDPR 등 개인정보 규정 준수를 지원하기 위해 DPA(Data Processing Addendum, 데이터 처리 부속계약)를 체결할 수 있다고 밝힙니다.[7] 또한 OpenAI는 데이터 보관 정책, EKM(Enterprise Key Management, 기업 키 관리), GDPR·CCPA 및 여러 보안·컴플라이언스 프레임워크에 맞춘 데이터 보호 관행을 언급합니다.[
6]
먼저 자료 등급부터 나누기
| 자료 유형 | 예시 | 더 안전한 처리 방식 |
|---|---|---|
| 공개 또는 저민감 자료 | 이미 공개된 웹페이지 문구, 일반 시장 정보, 내부 수치가 없는 초안 | 회사 정책에 맞으면 활용 가능. 불필요한 내부 배경이나 개인적 메모는 넣지 않습니다. |
| 고객 개인정보 | 이름, 전화번호, 이메일, 주소, 신분증 정보, 은행·결제 정보 | 원문 입력을 피하고, 식별 가능한 정보를 삭제하거나 대체한 뒤 꼭 필요한 추상 정보만 남깁니다.[ |
| 회사 기밀 | 미공개 재무 수치, 견적, 계약 조건, 제품 로드맵, 내부 전략 | 요약본, 가짜 예시, 비식별화된 버전을 사용합니다. 원문 처리가 꼭 필요하다면 회사가 승인한 기업용 환경에서만 진행합니다. |
| 고객 명단·영업 자료 | CRM 내보내기 파일, 고객 리스트, 거래 단계, 고객 불만 원문 | 통째로 업로드하지 않습니다. 필요한 부분만 추출하고, 식별 정보를 제거합니다. |
| 추가 제한이 있을 수 있는 자료 | 의료, 신원, 결제, 임직원·고객 파일 | 승인 없이 입력하지 않습니다. 먼저 IT, 법무, 컴플라이언스, 담당 관리자에게 확인합니다. |
왜 ‘문장만 다듬어 달라’도 조심해야 할까
프롬프트도 입력 데이터입니다
많은 사람이 ‘잠깐 붙여넣는 것’과 ‘파일을 정식 업로드하는 것’을 다르게 생각합니다. 하지만 데이터 처리 관점에서는 프롬프트, 첨부파일, 업로드 콘텐츠 모두 서비스가 처리하는 입력이 될 수 있습니다. OpenAI 개인정보처리방침도 서비스 입력에 제공한 Personal Data를 수집한다고 설명하며, 프롬프트와 업로드 콘텐츠를 그 예로 듭니다.[5]
그래서 AI를 쓰기 전에는 데이터 최소화가 기본입니다. 원문 전체가 필요 없으면 붙여넣지 말고, 전체 문서 대신 요약을 쓰고, 이름·전화번호·주소·주문번호 같은 식별 정보는 먼저 지우는 방식입니다.
기업용 서비스는 통제 수단이지 면허증이 아닙니다
OpenAI의 기업 프라이버시 페이지는 ChatGPT Business, ChatGPT Enterprise, API 등에서 비즈니스 데이터에 대한 ownership and control을 제공한다고 설명합니다. 또한 DPA 체결을 통해 GDPR 등 개인정보 규정 준수 필요를 지원할 수 있다고 밝힙니다.[7] OpenAI의 비즈니스 데이터 페이지는 데이터 보관 정책, EKM, GDPR·CCPA 및 여러 보안·컴플라이언스 프레임워크와의 정합성을 언급합니다.[
6]
이런 장치는 위험을 관리하는 데 도움이 됩니다. 그러나 회사는 여전히 어떤 자료를 입력할 수 있는지, 어떤 자료는 먼저 비식별화해야 하는지, 어떤 자료는 절대 입력하면 안 되는지, 누가 사용할 수 있는지, 문제가 생기면 어떻게 보고할지를 정해야 합니다.
도구가 안전하다고 해서 모든 내용이 입력 가능한 것은 아닙니다
AI 도구가 기업용 통제를 제공하더라도, 자료 자체가 고객 계약, 업계 규칙, 내부 보안 규정의 제한을 받을 수 있습니다. 판단의 중심은 ‘AI가 일을 잘해줄까?’가 아니라 ‘이 자료가 원래의 통제된 환경 밖으로 나가도 되는가?’입니다.
붙여넣기 전 네 가지 질문
1. 개인이나 고객을 식별할 수 있는 정보가 있나요?
직접 또는 간접적으로 개인이나 고객을 알아볼 수 있다면 고위험 자료로 봐야 합니다. 실무에서는 이름, 전화번호, 이메일, 주소, 계정번호, 주문번호, 사건번호, 신원·결제 정보를 먼저 제거한 뒤에도 AI 입력이 필요한지 다시 판단하는 것이 좋습니다. 프롬프트 역시 서비스 입력 콘텐츠가 될 수 있다는 점을 잊지 말아야 합니다.[5]
2. 회사 기밀인가요?
개인정보가 없어도 회사 밖으로 나가면 안 되는 정보가 있습니다. 예를 들어 견적, 계약 조건, 미공개 매출, 내부 프로세스, 제품 전략, 고객 명단은 단순히 ‘정리만 하려는 것’이라도 승인되지 않은 도구에 원문 그대로 붙여넣으면 안 됩니다.
3. 지금 쓰는 AI가 회사 승인 환경인가요?
개인 계정, 무료 도구, 회사가 심사하지 않은 외부 AI는 업무용 데이터 처리 환경으로 간주하면 안 됩니다. 업무상 비즈니스 데이터를 처리해야 한다면 회사가 승인한 도구를 사용하고, DPA, 데이터 보관 정책, EKM 등 필요한 통제가 회사 요구에 맞는지 확인해야 합니다.[6][
7]
4. 정말 원문 전체가 필요한가요?
많은 AI 작업은 원문 전체가 없어도 됩니다. 예를 들어 고객 답장 초안을 쓰려면 불만의 핵심, 원하는 말투, 회사가 약속할 수 있는 다음 조치만 있으면 충분한 경우가 많습니다. 고객의 실명, 전화번호, 주소, 주문번호, 계약서 전문이 항상 필요한 것은 아닙니다.
더 안전한 AI 업무 흐름
1단계: 회사 정책부터 확인합니다. 회사의 AI 사용 지침, 자료 분류 정책, 고객 계약 제한, 업계 컴플라이언스 요구가 있는지 확인합니다. 확신이 없다면 ‘괜찮겠지’라고 혼자 판단하지 않는 편이 안전합니다.
2단계: 입력 전 자료를 분류합니다. 개인 정보, 고객 정보, 내부 기밀, 계약, 재무, 결제, 신원 정보, 기타 민감 정보가 있는지 확인합니다. 하나라도 있거나 잘 모르겠다면 고위험 자료로 다룹니다.
3단계: 최소화하고 비식별화합니다. 원문을 넣지 않아도 되면 넣지 않습니다. 전체 문서 대신 요약을 쓰고, 실명 대신 ‘고객 A’, ‘공급업체 B’, ‘주문 123’ 같은 중립적 표기를 사용합니다. 실제 이름, 회사명, 전화번호, 이메일, 주소, 계정번호, 주문번호, 사건번호는 가능한 한 제거합니다.
4단계: 고위험 자료는 승인된 환경에서만 처리합니다. 비즈니스 데이터 원문 처리가 꼭 필요하다면 회사가 승인한 기업용 AI 환경을 사용해야 합니다. 이때 DPA, 데이터 보관 정책, EKM 또는 다른 관리 통제가 적절한지도 확인해야 합니다.[6][
7]
5단계: 애매하면 상위 절차로 넘깁니다. 고객, 임직원, 신원, 결제, 의료, 계약, 재무, 미공개 전략 정보가 들어 있다면 먼저 IT, 법무, 컴플라이언스, 담당 관리자에게 확인한 뒤 진행합니다.
프롬프트를 이렇게 바꿔보세요
권장하지 않는 입력:
고객의 원문 이메일, 이름, 휴대폰 번호, 주소, 주문번호, 계약 내용을 아래에 붙여넣을 테니 답장을 써줘.
더 안전한 입력:
아래는 식별 정보를 제거한 고객 불만 요약입니다. 고객 A는 제품 배송이 10일 지연됐고 환불을 요청했습니다. 정중하게 문제를 인정하고 다음 조치를 안내하는 답장을 작성해 주세요. 제공되지 않은 사실은 추가하지 마세요.
이 방식이 위험을 0으로 만드는 것은 아닙니다. 그러나 불필요한 개인정보와 회사 정보를 줄일 수 있습니다. OpenAI 개인정보처리방침이 서비스 입력에 포함된 Personal Data 수집을 설명한다는 점을 고려하면, 입력을 최소화하는 것 자체가 기본적인 안전 조치입니다.[5]
기업용이면 모든 자료를 넣어도 될까?
아닙니다. 기업용 서비스나 API는 계약, 데이터 보관, 권한 관리 측면에서 더 많은 통제 수단을 제공할 수 있습니다. OpenAI는 관련 기업용 서비스에서 비즈니스 데이터에 대한 ownership and control을 제공하고, GDPR 등 개인정보 규정 준수를 지원하기 위해 DPA를 체결할 수 있다고 설명합니다.[7] 또한 OpenAI는 EKM, 데이터 보관 정책, GDPR·CCPA 및 여러 보안·컴플라이언스 프레임워크에 맞춘 데이터 보호 관행을 언급합니다.[
6]
그러나 기업 통제는 위험 관리의 한 부분일 뿐입니다. 회사는 어떤 자료를 입력해도 되는지, 어떤 자료는 비식별화해야 하는지, 어떤 자료는 절대 입력하면 안 되는지, 누가 사용할 수 있는지, 사고나 오입력이 발생했을 때 어떻게 기록·보고할지까지 정해야 합니다.
빠른 체크리스트
회사 자료나 고객 자료를 ChatGPT 또는 다른 AI 도구에 입력하기 전, 아래 항목을 확인하세요.
- 회사 정책이 이 AI 사용 목적을 허용한다
- 고객 개인정보가 없거나, 식별 정보 제거를 완료했다
- 회사 기밀이 없거나, 승인된 절차에 따라 처리한다
- 원문 전체나 전체 파일을 올리지 않고, 필요한 최소 내용만 입력한다
- 개인 계정이나 미승인 도구가 아니라 회사가 승인한 환경을 사용한다
- 기업용 서비스를 쓴다면 DPA, 데이터 보관 정책, 관련 관리 통제가 적절한지 확인했다[
6][
7]
- 확신이 없을 때는 IT, 법무, 컴플라이언스, 담당 관리자에게 먼저 문의한다
가장 실용적인 기준은 이렇습니다. 공개·저민감 자료는 회사 정책에 따라 AI를 사용할 수 있지만, 고객 정보·계약·재무·신원·결제·미공개 사업 정보·회사 기밀은 일반 계정이나 승인되지 않은 AI 도구에 원문 그대로 넣지 말아야 합니다. 먼저 최소화하고 비식별화한 뒤, 회사가 승인한 통제 환경에서만 처리하세요.[5][
6][
7]
