top of page

중소기업을 위한 AI 보안 체크리스트 (자가진단 테스트 포함)

ChatGPT에게 이메일 초안을 부탁하고, Gemini에게 보고서 요약을 맡깁니다. 마치 나만을 위해 일하는 비서처럼 느껴지죠. 믿음이 갑니다. 그런데 바로 그 믿음이 문제의 시작입니다.


AI는 친절합니다. 그래서 더 위험합니다.

2023년, 삼성전자 반도체 사업부에서 엔지니어 세 명이 한 달 사이 세 차례에 걸쳐 ChatGPT에 소스코드, 내부 회의록, 하드웨어 설계 데이터를 입력했습니다. 디버깅을 하려고, 회의를 요약하려고, 아주 일상적인 이유였습니다. 결과는 삼성 전사 AI 사용 긴급 제한 조치였습니다.


"우리 같은 작은 회사는 해커가 관심도 없을 거야." 그렇게 생각하셨다면, 2025년에 일어난 일을 보셔야 합니다. 보안 연구원들이 다크웹에서 발견한 ChatGPT 로그인 정보가 22만 5천 건이었습니다. ChatGPT가 해킹당한 게 아닙니다. 직원 PC에 감염된 인포스틸러 멀웨어가 로그인 정보를 훔쳤고, 그 계정에 저장된 모든 대화 이력이 통째로 노출된 것입니다. 개인 계정으로 업무 데이터를 넣고 있었다면, 그 대화 내용이 고스란히 유출된 셈입니다.


같은 해 11월에는 OpenAI의 분석 파트너사 Mixpanel이 침해되어 ChatGPT 사용자의 이름, 이메일, 사용 데이터가 노출되었습니다. 본인의 시스템이 아무리 안전해도 서드파티 경로로 뚫릴 수 있다는 사실을 보여준 사건이었습니다.


이런 사고들의 공통점이 있습니다. 해킹 기술이 고도화되어서 뚫린 게 아니라, 아주 일상적인 사용 습관 때문에 뚫렸다는 것입니다. 특히 전담 IT 보안팀이 없는 중소기업에서는 이런 상황이 더 흔하고, 더 오래 발견되지 않습니다.


이 글은 그래서 만들었습니다. 거창한 보안 인프라 이야기가 아닙니다. 지금 바로, 여러분 회사에서 점검하고 실행할 수 있는 체크리스트입니다.


그렇다면, 상대적으로 안전한 AI 사용 예시

모든 AI 사용이 위험한 것은 아닙니다. 아래와 같은 방식은 비교적 안전한 활용에 해당합니다.

  • 이미 공개된 블로그나 보도자료를 요약하는 경우

  • 고객명, 금액, 계약 조건을 모두 제거한 상태에서 이메일 초안을 작성하는 경우

  • 이름, 부서, 일시 등을 익명화한 회의 메모를 정리하는 경우

  • 기업용 AI 계정(Enterprise·API)을 사용하는 경우 — 기본적으로 모델 트레이닝에 활용되지 않음


핵심은 간단합니다. "이 내용이 회사 밖으로 나가도 괜찮은가?" 이 질문에 확신이 없다면, 넣지 않는 것이 정답입니다.

지금 바로 할 수 있는 설정 3가지

안전한 사용 습관과 함께, AI 도구의 설정을 바꾸는 것만으로도 데이터 노출 위험을 크게 줄일 수 있습니다. 5분이면 끝나는 설정이지만, 대부분의 직원이 존재 자체를 모릅니다.


설정 1. ChatGPT — "모델 개선" 토글 끄기

ChatGPT는 기본 설정상 사용자의 대화를 모델 훈련에 활용할 수 있습니다. 이 설정을 끄면 새로운 대화부터 학습 대상에서 제외됩니다.


경로: 프로필 클릭 → Settings → Data Controls → "Improve the model for everyone" → Off

한 번 끄면 어떤 기기에서 접속하든 계정 전체에 적용됩니다. 단, 대화 중에 "좋아요/싫어요" 피드백 버튼을 누르면, 해당 대화 전체가 학습에 사용될 수 있습니다. 설정을 꺼놓고도 무심코 피드백을 누르면 의미가 없어지는 셈입니다.


설정 2. ChatGPT — Temporary Chat(임시 대화) 모드 사용

민감한 내용을 다뤄야 할 때는 Temporary Chat 모드를 활용하시기 바랍니다. 이 모드에서는 대화가 히스토리에 저장되지 않고, 메모리에도 남지 않으며, 모델 훈련에도 사용되지 않습니다.


경로: 새 대화 시작 → 화면 우측 상단의 "Temporary" 버튼 클릭

다만 완전한 삭제는 아닙니다. OpenAI는 안전 및 악용 모니터링 목적으로 Temporary Chat 내용을 최대 30일간 서버에 보관합니다. "브라우저의 시크릿 모드와 비슷하다"고 생각하시면 됩니다. 완전한 비공개가 아니라 기록이 남지 않는 모드입니다.


설정 3. Google Gemini — "Gemini 앱 활동" 끄기

Gemini도 기본 설정상 대화 데이터를 모델 개선에 활용합니다. 다만, Google Workspace 유료 계정으로 접속하는 경우에는 Gmail이나 Drive 데이터와 동일하게 취급되어 학습에 사용되지 않습니다.


경로: Gemini 앱 → 활동 → Gemini 앱 활동 → "사용 안함" 으로 전환

이 설정을 끄면 대화 히스토리도 함께 사라집니다. ChatGPT처럼 "히스토리는 유지하되 학습만 끄는" 옵션이 없습니다. 또한 설정을 끄더라도 Google은 안전 목적으로 대화를 최대 72시간 보관합니다.


한 줄 요약: 설정을 바꾸는 것은 좋은 시작이지만, 그것만으로 충분하지 않습니다. 어떤 설정을 켜든 꺼든, 민감 데이터를 넣지 않는 것이 가장 확실한 방어입니다. 설정은 안전벨트이고, 데이터 최소화가 안전 운전입니다.

실무 체크리스트 — 자가진단으로 회사 수준 확인하기

AI를 안전하게 사용하려면 "조심해서 쓰세요"라는 말만으로는 부족합니다. 회사가 어떤 AI 도구를 쓰고 있는지, 어떤 데이터를 넣으면 안 되는지, 누가 관리하는지, 사고가 났을 때 어떻게 대응할지까지 정리되어 있어야 합니다.

아래 체크리스트는 중소기업이 현재 AI 보안 수준을 직접 점검할 수 있도록 만든 100점 만점 자가진단표입니다. 회사용 5개 영역(정책·오너십·보안 설정·데이터 관리·사고 대응) 80점, 직원용 2개 영역(AI 입력 전·결과 사용 전 확인) 20점, 총 50개 항목으로 구성되어 있습니다. 각 항목은 2점입니다.


이미지를 선택하여 자가 진단을 실행하세요.
이미지를 선택하여 자가 진단을 실행하세요.


결론: AI는 막는 것이 아니라 안전하게 운영해야 합니다

AI 보안은 거창한 시스템에서 시작하지 않습니다. 중소기업에게 더 중요한 것은 직원이 매일 실수하지 않도록 만드는 간단하고 반복 가능한 기준입니다.


위 체크리스트를 통해 현재 우리 회사가 어느 단계에 있는지 먼저 확인해보세요. 점수가 낮다면 AI 사용을 중단할 필요는 없습니다. 대신 승인된 도구, 회사 계정, 민감정보 제거, 인간 검토부터 적용하면 됩니다.


AI는 생산성을 높이는 강력한 도구입니다. 하지만 회사의 데이터 관리 기준이 없다면, 그 생산성은 곧 보안 리스크가 될 수 있습니다. 고객의 신뢰는 한 번의 실수로 흔들릴 수 있습니다. 이 체크리스트를 중소기업의 AI 안전벨트로 삼아, 더 빠르지만 더 안전한 AI 활용을 시작해보시기 바랍니다.

댓글

bottom of page
AX Consulting
AX Consulting
FREE
Start your AI transformation