AI시대에 우리는 하루에도 몇 번씩 AI 서비스를 사용하고 있습니다.

업무 보고서를 요약하고, 이메일 초안을 잡고, 아이디어를 정리하고

AI는 이제 우리 일상과 업무에 없어서는 안 될 도구가 됐습니다.

그런데 잠깐, 이런 생각 해보신 적 있으신가요?

"내가 AI에 입력한 정보, 어디로 가는 거지?"

"AI 서비스들이 내 대화 내용을 학습에 쓰는 건 아닐까?"

"직장에서 업무 자료를 AI에 올리는 게 괜찮은 걸까?"

막연하게 걱정은 되고 불안하지만, 딱히 찾아보기 어려우셨죠?

오늘은 AI 시대에 개인정보 보호가 중요한 이유에 대해서 함께 알아보려 합니다.

AI 시대, 개인정보 위협이 완전히 달라졌습니다

예전엔 해커들이 '무작위로' 두드렸습니다

10~15년 전 해킹은 불특정 다수에게 피싱 이메일을 뿌리거나 알려진 보안 취약점을 무작위로 공략하는 방식이 주였습니다.

조금만 조심하면 피할 수 있는 수준이었죠.

그러나 지금은 AI가 '표적을 정밀 분석'해서 공격합니다

2024~2025년의 해킹은 완전히 다릅니다.

AI가 소셜미디어, 이메일, 각종 플랫폼에서 수집한 개인정보를 분석해 맞춤형 피싱 메시지를 자동 생성합니다.

예를 들면 이런 식입니다.

• 평소 거래하는 은행인 척 위장한 이메일

• 내 상사 이름과 직책이 정확하게 적힌 피싱 문자

• 내가 최근 구매한 상품과 관련된 가짜 배송 안내

문법도 완벽하고, 내 개인 정보가 정확히 포함되어 있으니 아무리 눈 밝은 사람도 속아 넘어가기 쉬운 시대가 됐습니다.

AI는 데이터를 '더 많이', '더 빠르게' 다루게 만듭니다.

기존 IT 시스템에서는 개인정보 활용의 목적이 비교적 명확했습니다.

회원 가입, 주문 처리, 배송 안내처럼 특정 업무에 필요한 정보를 정해진 시스템 안에서 처리하는 구조가 일반적이었습니다.

반면 AI는 여러 출처의 데이터를 함께 요약하고, 분류하고, 패턴을 찾고, 새로운 콘텐츠를 생성하는 과정에서 개인정보가 자연스럽게 섞입니다.

예를 들어 고객 상담 데이터를 AI에 학습시키는 경우를 생각해보세요.

겉보기엔 단순한 텍스트 같지만, 실제로는 이름·연락처·주소·건강 상태·민감한 불만 내용 등이 포함되어 있습니다.

그리고 한 번에 처리하는 양이 많고 속도도 빠르기 때문에 사람이 일일이 확인하던 방식은 금방 한계에 부딪힙니다.

또 하나 놓치기 쉬운 위험이 있습니다. 바로 '2차 활용' 입니다.

처음엔 운영 목적으로 쓰던 데이터가 나중에 AI 성능 개선, 마케팅 인사이트 도출, 리포트 자동 작성 등 다른 목적으로 재활용되기 쉽습니다.

이 과정에서 목적 외 이용, 최소 수집 원칙 위반, 보관 기간 관리 미흡 같은 법적 문제가 발생할 수 있습니다.\

삼성전자 사례 — AI에 정보를 입력한다는 것의 진짜 의미

2023년 3월, 삼성전자 반도체(DS) 부문이 업무 효율을 위해 ChatGPT 사용을 허가했습니다.

그런데 허가 후 불과 20일도 지나지 않아, 총 3건의 기밀 유출이 확인됐습니다.

• 사건 1 : 반도체 설비 계측 데이터베이스(DB)의 소스 코드를 통째로 입력

• 사건 2 : 반도체 수율·불량 설비 파악용 프로그램 코드 입력

• 사건 3 : 스마트폰으로 녹음한 내부 회의를 전사해 입력, 회의록 생성 요청

이 사건의 핵심은 악의적인 해킹이 아니었다는 점입니다.

직원들이 업무 편의를 위해 한 행동이었고, 회사도 사용을 허가했으며, 경고도 공지했습니다.

그럼에도 20일 만에 3건이 유출됐습니다.

ChatGPT에 한 번 입력된 데이터는 OpenAI 서버에 전송·저장되고, AI 학습에 활용될 경우 불특정 다수의 답변으로 흘러나갈 수 있습니다.

2024년 사이버헤이븐 랩스(Cyberhaven Labs) 보고서에 따르면,

기업 직원 중 **38%**가 승인 없이 민감한 업무 데이터를 AI에 입력하고 있었습니다.

여러분 회사 직원들은 지금 어떤 데이터를 AI에 넣고 있을까요?

'익명화했으니 괜찮다'는 생각, 이제는 틀렸습니다

많은 기업이 AI 프로젝트를 시작할 때 이렇게 판단합니다.

"우리는 이름이나 주민등록번호를 제거했으니 괜찮다."

하지만 AI시대에는 이 판단이 충분하지 않은 경우가 많습니다.

여러 데이터를 결합하면 개인을 다시 특정할 수 있기 때문입니다.

예를 들어 내부 HR 시스템에서 부서, 직급, 평가 시기, 휴가 패턴을 함께 다루는 경우, 사번과 이름을 제거했더라도 조직 규모가 작거나 특정 역할이 희소하다면 누가 누구인지 쉽게 추정할 수 있습니다.

직무, 근무지, 접속 시간, 구매 이력, 위치 패턴 같은 정보는 각각만 보면 식별성이 낮아 보여도, 함께 놓으면 특정 개인을 유추할 수 있습니다.

생성형 AI 활용에서도 마찬가지입니다.

직원이 회의록이나 고객 문의 내용을 외부 AI 도구에 그대로 입력하면, 그 안에 포함된 개인정보가 제3자 서비스로 이전될 수 있습니다.

따라서 기업이 가져야 할 판단 기준은 명확합니다.

'직접 식별자만 제거했는가'

'다른 데이터와 결합했을 때 재식별 위험이 얼마나 되는가'

AI 활용 현장에서 특히 위험한 4가지 장면

모든 AI 활용이 같은 위험을 갖지는 않습니다.

어떤 장면에서 개인정보 이슈가 커지는지 구체적으로 살펴볼게요.

고객 상담 AI

통화 녹취나 채팅 기록에는 민감한 정보가 쉽게 섞입니다.

배송·결제·환불·민원·건강 관련 문의·가족 정보 등 예상보다 넓은 개인정보가 포함될 수 있습니다.

이 데이터를 상담 품질 개선 목적으로 AI 학습에 재활용할 때는 수집 목적과 활용 범위, 보관 기간, 위탁 구조를 반드시 점검해야 합니다.

특히 원문 전체를 장기간 보관하는 관행은 재검토가 필요합니다.

인사(HR) 관리

채용 서류 요약, 평가 의견 분석, 이직 가능성 예측, 교육 추천 같은 기능은 효율성이 높아 보이지만, 잘못 설계하면 개인정보뿐 아니라 차별 이슈로 이어질 수 있습니다.

• 자동화된 결과를 그대로 의사결정에 사용하는가?

• 사람이 중간에서 검토하는가?

• 결과 오류를 정정할 절차가 있는가?

이 질문에 답할 수 있어야 합니다.

마케팅 자동화·개인화 추천

웹 행동 로그, 구매 이력, 위치 데이터, 문의 기록을 함께 분석하면 고객이 예상하지 못한 수준의 추정이 이뤄질 수 있습니다.

개인화의 정확도만 볼 것이 아니라, 고객 기대 수준과 안내의 투명성, 거부 가능성까지 함께 고려해야 합니다.

임직원의 생성형 AI 사용

많은 개인정보 이슈가 거창한 해킹보다 일상적 실수에서 시작됩니다.

• 직원이 회의록 정리를 위해 외부 챗봇에 고객 명단을 붙여넣는 경우

• 개발자가 디버깅을 위해 실제 사용자 데이터를 그대로 복사하는 경우

이런 상황을 막으려면 "금지"라는 메시지만으론 부족합니다.

"어떤 데이터는 넣어도 되는지, 어떤 경우에 사전 승인이 필요한지" 실무 기준을 구체적으로 제공해야 합니다.

개인정보 보호는 이제 '비용'이 아니라 '신뢰와 거래의 조건'

기업이 개인정보 보호를 중요하게 봐야 하는 이유를 단지 법적 리스크로만 설명하면 현실을 충분히 반영하지 못합니다.

실제 현장에서는 법적 제재보다 훨씬 이전에 고객 신뢰, 파트너 심사, 영업 기회, 계약 조건에 더 직접적인 영향을 미칩니다.

특히 B2B 거래에서는 보안과 개인정보 보호 수준이 공급사 평가 항목으로 들어가는 경우가 늘고 있습니다.

고객사가 AI 기반 기능을 도입할 때 가장 먼저 묻는 질문은 이것입니다.

"무엇을 할 수 있나요?" 가 아니라 "우리 데이터가 어디로 가고, 어떻게 보호되나요?" 입니다.

저장 위치, 위탁 여부, 접근 권한, 모델 학습 사용 여부, 로그 보관 정책, 삭제 절차 이것들이 실제 계약 협상에서 중요한 기준이 됩니다.

같은 수준의 AI 기능을 제공하는 두 업체가 있을 때, 데이터 흐름이 투명하고 통제가 가능한 업체가 더 높은 평가를 받습니다.

AI 경쟁력이 기술 성능만으로 결정되지 않는 이유가 여기 있습니다.

기업 담당자를 위한 실무 체크리스트

1. 기획 단계부터 개인정보를 고려하세요 (프라이버시 바이 디자인)

새로운 AI 기능을 검토할 때는 먼저 이 질문부터 시작하세요.

• 이 AI 기능이 정말 이 수준의 개인정보를 필요로 하는가?

• 꼭 원본 데이터가 필요한가? 익명화된 통계나 일부 속성만으로 충분하지 않은가?

• 개인 단위 식별이 반드시 필요한가?

생각보다 많은 프로젝트가 익명화된 데이터만으로도 충분한 성과를 낼 수 있습니다.

2. 데이터 흐름을 문서화하세요

어느 시스템에서 어떤 정보가 수집되고, 어떤 전처리를 거쳐, 어떤 모델이나 외부 서비스로 전달되며, 결과가 어디에 저장되는지,

이 흐름이 문서화되어 있지 않으면 사고 대응도 어렵고, 고객사 질문에도 일관되게 답하기 어렵습니다.

3. 외부 AI 서비스 도입 시 이것을 확인하세요

• 데이터 국외 이전 여부

• 입력 데이터의 학습 활용 여부

• 관리 콘솔의 권한 통제

• 로그 보존 방식

• 계약상 책임 범위

• 삭제 요청 절차

내부 구축이라고 해서 무조건 안전하지 않습니다.

권한 관리가 느슨하거나 테스트 데이터에 실제 개인정보를 쓰면 위험은 똑같습니다.

중요한 것은 '내부냐 외부냐'보다 '통제 가능성이 얼마나 높은가'입니다.

4. 퇴사자 계정은 즉시 폐기하세요

쿠팡 사건이 보여주듯, 내부자 위협은 외부 해킹만큼 현실적인 위험입니다.

개인정보보호법은 퇴사 즉시 접근 권한 말소를 명시하고 있지만, 실제로 이를 철저히 이행하는 기업은 많지 않습니다.

퇴사 처리 프로세스에 '시스템 접근 권한 즉시 말소' 항목을 반드시 포함하세요.

개인이 지금 당장 실천할 수 있는 5가지

AI 서비스 학습 기능 끄기

ChatGPT 기준: 설정 → 데이터 컨트롤 → "모든 사람을 위한 모델 개선" OFF

이 설정만 해도 입력한 대화가 학습에 활용되는 것을 막을 수 있습니다.

AI에 이것만큼은 절대 입력하지 마세요

- 고객의 실명, 연락처, 주민등록번호

- 계좌번호, 카드번호 등 금융 정보

- 회사 내부 소스 코드, 회의록, 계약서

- 의료·건강 관련 개인 기록

사이트별 다른 비밀번호 + 2단계 인증

GS샵·올리브영 사례처럼 크리덴셜 스터핑은 같은 비밀번호를 여러 사이트에서 쓰는 습관을 노립니다.

패스워드 매니저(1Password, Bitwarden 등)를 쓰면 각 사이트마다 다른 복잡한 비밀번호를 쉽게 관리할 수 있습니다.

2단계 인증(MFA)도 반드시 설정하세요.

내 개인정보 유출 여부 확인하기

털린 내 정보 찾기 (개인정보보호위원회 운영)

https://kidc.eprivacy.go.kr

이메일 주소를 입력하면 유출 여부를 확인할 수 있습니다. 지금 바로 확인해보세요.

중고 PC·스마트폰 처분 전 데이터 완전 파기

포맷은 파일 목록만 지울 뿐, 실제 데이터는 저장장치에 그대로 남습니다.

복구 프로그램으로 누구나 꺼내볼 수 있습니다.

기업의 저장매체, '파기'까지가 개인정보 보호입니다

포맷은 파기가 아닙니다.

PC, 노트북, 서버를 교체하거나 폐기할 때 하드디스크를 포맷하거나 그냥 버리는 기업이 여전히 많습니다.

이는 개인정보보호법 위반이 될 수 있으며, 실제로 정보가 유출되는 심각한 보안 위협입니다.

올바른 데이터 파기 방법

• 기다우징 : 강력한 자기장으로 HDD 자성 영구 소거 (SSD에는 사용 불가)

• 완전삭제 : 데이터 영역을 수 회 덮어쓰기 (HDD, SSD 소프트웨어 방식)

• 유압천공파쇄 : 물리적 천공으로 저장매체 파괴

• 소각 : 고온 소각으로 완전 처리

SSD·USB·외장하드는 HDD와 데이터 저장 방식이 달라 디가우징으로는 완전 파기가 되지 않습니다.

매체별로 적합한 방식을 선택하세요.

기업이 지켜야 할 법적 의무

- 개인정보 보유기간 초과 시 즉시 파기

- 파기 시 복구·재생 불가능한 방법 사용

- 퇴사 직원 계정 즉시 접근 권한 말소

- ISMS 인증 요건 충족 시 데이터 파기 기준 준수

AI를 잘 쓰는 기업이, 개인정보를 제대로 보호하는 기업입니다

AI시대의 개인정보 보호는 혁신을 늦추기 위한 제약이 아닙니다.

지속 가능한 혁신을 가능하게 하는 운영 원칙에 가깝습니다.

기업 담당자라면 이 세 가지 질문을 기준으로 삼아보세요.

• 이 AI 기능이 정말 이 수준의 개인정보를 필요로 하는가?

• 데이터 이동과 활용 과정이 설명 가능하고 통제 가능한가?

• 문제가 발생했을 때 신속히 중단·수정·삭제할 수 있는가?

이 세 질문에 자신 있게 답할 수 있다면, AI 활용의 속도를 유지하면서도 리스크를 크게 낮출 수 있습니다.

개인이라면 오늘 딱 한 가지만 실천해보세요.

ChatGPT 설정 → 데이터 컨트롤 → "모든 사람을 위한 모델 개선" OFF

단 30초면 됩니다.

데이터의 탄생부터 파기까지 전 과정을 관리하는 것, 그것이 AI 시대의 진정한 정보보안입니다.

AI 시대의 정보보안 알테크코리아가 함께하겠습니다.