본문으로 건너뛰기
업무2026-06-27 기준6분 읽기

회사에서 챗GPT 써도 될까? — 기밀·개인정보·약관 안전 가이드

무료 ChatGPT 약관, 넣으면 안 되는 정보, 학습 옵트아웃과 엔터프라이즈 차이까지 — 회사에서 AI를 안전하게 쓰는 기준을 정리했습니다.

회사에서 AI 도구를 안전하게 쓰는 기준을 정리한 업무 워크스페이스 일러스트
이 글의 목차

결론부터: 되는 회사도, 안 되는 회사도 있다

운영자 사용 노트 (2026-06-27) — 저는 외주·자문 일을 하면서 클라이언트마다 "AI 써도 되나요?"를 매번 다르게 답해야 했습니다. 어떤 회사는 사내 위키에 'ChatGPT Enterprise만 허용, 무료·개인 계정 금지'가 명문화돼 있었고, 어떤 회사는 아무 가이드도 없어서 직원들이 고객 명단을 그대로 붙여넣고 있었어요. 제 기준은 단순합니다. (1) 사내 가이드부터 찾고, (2) 없으면 "이 내용이 외부로 새도 괜찮은가"로 자가검열하고, (3) 그래도 애매하면 안 넣습니다. 이 글은 그 판단 기준을 정리한 거예요.

"회사에서 챗GPT 써도 되나요?"에 한 줄로 답하면 "회사 정책에 따라 다르고, 무엇을 입력하느냐가 더 중요하다"입니다. 도구 자체가 불법인 경우는 거의 없어요. 문제는 거의 항상 입력 데이터에서 생깁니다. 고객 개인정보, 미공개 매출, 코드네임, 인사 자료를 외부 서버로 보내는 순간, 그게 학습에 쓰이든 안 쓰이든 이미 '사외 반출'이 일어난 거니까요.

⚠️ 이 글은 일반적인 정보 제공이며 법률 자문이 아닙니다. 회사마다 보안 정책과 적용 법규가 다르므로, 최종 판단은 사내 보안·법무 담당과 각 서비스의 공식 약관을 통해 확인하세요.

무료 등급 약관 — 입력이 학습에 쓰일 수 있다

가장 먼저 짚을 건 무료·개인 등급의 데이터 학습 약관입니다. 많은 소비자용 AI 서비스는 기본 설정에서 사용자가 입력한 대화가 모델 성능 개선(학습)에 쓰일 수 있다고 약관에 적어 둡니다. 유료라고 자동으로 안전한 것도 아니에요 — 개인 유료 플랜도 학습이 기본으로 켜져 있는 경우가 있습니다.

핵심은 "내가 넣은 글이 어디까지 가는가"입니다. 각 서비스의 데이터 사용 정책은 자주 바뀌므로, 회사 자료를 넣기 전에 반드시 공식 페이지에서 현재 설정을 확인하세요.

공통적으로 "이 입력이 학습에 쓰일 수 있다"는 전제로 행동하는 게 안전합니다. 끄는 설정을 해뒀더라도 정책 변경·로그 보관·오류 검수 등으로 데이터가 일정 기간 남는 구조라, 애초에 민감 정보를 넣지 않는 게 유일하게 확실한 방어선입니다.

절대 넣으면 안 되는 정보 체크리스트

판단이 헷갈리면 아래 목록부터 보세요. 하나라도 해당하면 외부 AI에 그대로 붙여넣지 않습니다.

  • 고객·직원 개인정보: 이름+연락처, 주민·여권번호, 주소, 카드·계좌, 건강·평가 정보. 개인정보보호법 적용 대상이라 사외 반출 자체가 문제될 수 있습니다.
  • 미공개 경영 정보: 확정 전 매출·실적, 인수합병, 단가표, 거래처 계약 조건.
  • 코드네임·미출시 정보: 사내 프로젝트 코드명, 출시 전 제품 사양·일정.
  • 인사 자료: 연봉, 인사평가, 징계, 채용 후보 명단.
  • 보안 자격증명: API 키, 비밀번호, 내부 서버 주소, 액세스 토큰. (코드를 붙여넣을 때 가장 많이 실수하는 부분)
  • 비밀유지 자료: NDA가 걸린 외부 문서, 라이선스가 제한된 콘텐츠.

반대로 비교적 안전한 입력은 이미 공개된 정보, 일반적인 지식 질문, 가명·더미 데이터로 치환한 내용입니다. "고객사 A", "직원 B", 숫자는 임의값으로 바꿔 넣으면 같은 작업을 하면서도 위험을 크게 줄일 수 있어요.

데이터 학습 옵트아웃 vs 엔터프라이즈

"학습 끄면 되는 거 아니야?"라고 묻는 분이 많은데, 두 가지를 구분해야 합니다.

1) 개인 등급의 학습 옵트아웃. 설정에서 '내 데이터로 모델 개선' 류 항목을 끄는 것. 학습에는 안 쓰여도, 대화 로그 자체는 운영·보관 목적으로 일정 기간 서버에 남을 수 있습니다. 즉 '학습 제외'와 '서버에 안 남음'은 다릅니다.

2) 엔터프라이즈·팀 등급. ChatGPT Enterprise·Team, Claude Team·Enterprise, Gemini 기업용(Workspace) 플랜은 기본적으로 입력 데이터를 학습에 쓰지 않고, 데이터 보관·암호화·관리 권한을 회사가 통제하도록 설계돼 있습니다. 회사가 민감 정보를 다뤄야 한다면 개인 계정 옵트아웃이 아니라 이 기업용 계약이 정답입니다. 정확한 범위는 OpenAI 엔터프라이즈 개인정보, Anthropic 상업 약관 같은 공식 문서에서 확인하세요.

핵심 요약: 개인 옵트아웃은 '학습'만 줄여 주고, 기업용 계약은 '데이터 거버넌스' 자체를 회사로 가져옵니다. 둘의 보호 수준이 다릅니다.

국내 저장 서비스 vs 해외 서비스

회의록·문서 작업을 자주 한다면 데이터가 어디 저장되는지도 봐야 합니다. 해외 서비스(OpenAI·Anthropic·Google 등)는 데이터가 해외 서버에 저장·처리되는 게 일반적이라, 개인정보의 국외 이전 고지·동의 같은 절차가 별도로 필요할 수 있습니다.

한국어 회의록이라면 네이버 클로바노트 같은 국내 서비스가 자주 거론됩니다. 데이터 처리 위치나 정책이 회사 컴플라이언스 관점에서 장점이 될 수 있지만, '국내 서비스니까 무조건 안전'은 아닙니다. 어떤 서비스든 입력 데이터 처리 범위는 각 서비스의 개인정보처리방침에서 직접 확인하는 게 맞아요.

실무 기준: 규제 산업(의료·금융·공공)이거나 개인정보가 들어간 회의라면 국내 저장·기업 계약 여부를 먼저 확인하고, 일반적인 아이디어 회의·공개 정보 정리는 어느 쪽이든 큰 차이가 없습니다.

사내 보안 가이드 확인 절차

가장 확실한 건 회사가 이미 정해 둔 규칙을 찾는 겁니다. 순서대로 해보세요.

  • 1. 사내 위키·보안 정책 검색: 'AI', 'ChatGPT', '생성형 AI', '정보보안 지침' 키워드로 먼저 찾습니다. 의외로 이미 문서가 있는 회사가 많아요.
  • 2. 허용 도구·등급 확인: "회사가 계약한 Enterprise 계정만 허용"인지, 개인 계정도 되는지. 승인된 도구 목록(allowlist)이 있는지.
  • 3. 정보 등급 기준 확인: 사내 문서가 '공개/대외비/기밀'로 등급이 나뉘어 있다면, AI에 넣어도 되는 등급이 어디까지인지 봅니다.
  • 4. 없으면 담당자에게 질의: 정보보안팀이나 팀 리더에게 "개인 계정으로 일반 자료 정리에 써도 되는지" 한 줄 확인. 기록을 남겨두면 나중에 근거가 됩니다.

가이드가 아예 없는 회사라면, 본인이 간단한 사용 원칙(위 '넣으면 안 되는 정보' 목록)을 팀에 공유하는 것만으로도 사고를 크게 줄일 수 있습니다.

그래도 쓰고 싶다면 — 안전하게 쓰는 법

금지가 아니라면, 위험을 줄이면서 쓰는 현실적인 방법이 있습니다.

  • 가명·더미 치환: 실명·실제 수치를 'A사', '직원1', 임의 숫자로 바꿔 넣기. 구조만 있으면 AI는 똑같이 일합니다.
  • 요약본만 입력: 원문 통째 대신, 민감 정보를 뺀 핵심만 넣기.
  • 학습 옵트아웃 + 기록 관리: 개인 계정이라면 데이터 사용 설정을 끄고, 민감 대화는 주기적으로 삭제.
  • 기업 계정 우선: 회사가 ChatGPT Enterprise·Claude Team 등을 계약했다면 반드시 그걸로. 개인 계정에 회사 자료를 넣지 않기.
  • 로컬·온프레미스 옵션 검토: 정말 민감한 작업은 외부 전송이 없는 사내 솔루션을 검토.
  • 출력도 검수: AI가 만든 결과를 외부에 보내기 전, 사내 기밀이 역으로 섞여 들어가지 않았는지 사람이 한 번 확인.

자주 묻는 질문

Q. 학습 옵트아웃만 켜면 회사 자료 넣어도 되나요?
A. 학습 제외와 '데이터가 서버에 안 남음'은 다릅니다. 옵트아웃해도 로그는 일정 기간 보관될 수 있어요. 민감 정보는 옵트아웃 여부와 무관하게 넣지 않는 게 안전합니다.

Q. 무료 ChatGPT랑 회사가 계약한 Enterprise는 뭐가 다른가요?
A. Enterprise·Team 등급은 기본적으로 입력을 학습에 쓰지 않고, 보관·암호화·관리 권한을 회사가 통제합니다. 회사 자료를 다뤄야 하면 개인 무료 계정이 아니라 회사 계약 계정을 쓰세요.

Q. 번역·요약 정도는 괜찮지 않나요?
A. 작업 종류가 아니라 '입력 내용'이 기준입니다. 공개 자료 번역은 대체로 무방하지만, 미공개 계약서 번역은 작업이 가벼워도 위험합니다.

Q. 회사에 AI 가이드가 아예 없으면요?
A. 없다는 게 '허용'은 아닙니다. 정보보안 담당에게 한 줄 질의로 확인하고, 그때까지는 '넣으면 안 되는 정보' 목록을 기준으로 보수적으로 쓰세요.

김태오·AI 도구 리뷰어·직접 가입·결제해 써본 뒤 한국 사용자 입장에서 솔직하게 적습니다.
마지막 수정 2026-06-27

관련 도구

관련 비교

관련 가이드