최근 ChatGPT, Claude, Copilot 등 생성형 AI가 비약적인 발전과 함께 우리 일상과 업무에 깊숙이 들어왔습니다. 하지만 “내가 입력한 정보는 어디에 저장되고 어떻게 관리될까?”라는 개인정보 보안에 대한 불안감도 함께 커지고 있는 것이 사실입니다. 대화 기록, 프롬프트, 업로드 이미지/코드 등 민감한 정보가 AI 시스템에 저장되고 관리되는 과정이 명시되지 않아 우려의 목소리가 커지고 있습니다이번 글에서는 ChatGPT, Claude, GitHub Copilot 등 주요 생성형 AI 서비스들이 개인정보를 어떻게 다루는지, 최신 법적 이슈와 연계해 분석해보겠습니다!
1. OpenAI · ChatGPT의 데이터 정책
OpenAI는 사용자 대화 내용, 프롬프트, 업로드 파일/이미지, 로그(IP 등)를 수집합니다.
기본적으로는 삭제 요청 시 30일 이내 삭제, 계정 삭제 시에도 기록이 삭제되지만 최근 뉴욕타임스의 저작권 소송과 연관해 법원 명령이 있을 경우 무기한 저장되는 상황이죠. CEO Sam Altman은 “AI 대화는 의사·변호사 상담처럼 프라이빗해야 한다”며 이러한 정책에 반대하고 있으며, OpenAI는 현재 해당 소송에 항소 중입니다. 특히 무기한 보존은 GDPR 등 유럽 규정과 충돌 가능성도 있어, 향후 유럽 시장에 미칠 영향이 주목되고 있어요.
일반 사용자는 데이터 삭제 가능하지만, 법적 예외가 존재하며, 기업용은 비교적 안정적이나 법원의 보전 요구에 유의해야 합니다. 또한 최근에는 ChatGPT의 ‘메모리 기능’이 무료 플랜에도 도입되어, 과거 대화 내용을 기억해 맞춤화된 응답을 할 수 있게 됐어요. 그러나 이를 통해 사용자 통제력이 약화되고, 무엇을 기억하는지 모르는 상태에서 프라이버시 리스크 증가 우려가 제기되고 있습니다.
(!) 기업용: ChatGPT Enterprise·Edu는 대화 삭제 후 최대 30일 내 삭제, 관리자 설정 가능, SOC 2 Type 2 인증 받음.
2. Anthropic · Claude의 ‘프라이버시 우선’ 접근
Anthropic의 Claude는 출발부터 ‘Privacy by Design’ 구조로 설계되어 있습니다. 기본적으로는 사용자 대화 내용을 학습에 사용하지 않으며, 오직 사용자가 명확히 동의(opt‑in) 했을 때만 학습에 활용되고 있죠.
또한 Notion, Stripe, Figma 등 외부 툴과 연결할 때, MCP(모델 컨텍스트 프로토콜)를 통해 필요한 정보만 최소한으로 접근합니다. TechRadar
삭제 요청 시 30일 이내 서버에서 완전히 제거되고, 단 높은 위험성(Usage Policy 위반) 콘텐츠의 경우 최대 2년, 안전 목적 분류 점수는 7년까지 보관할 수 있다는 점은 투명하게 공지되어 있습니다. 개인 사용자 기준으로는 대체로 안전한 편이며, 신뢰·안전 검토 목적의 접근은 최소한으로 통제하고 있습니다 .
3. Microsoft GitHub Copilot의 보안·프라이버시
Copilot은 사용자 코드와 입력 데이터를 서버로 전송하지만, 개인식별 정보는 제거한 후 저장되며, 공개 코드와 유사한 제안 생성은 필터링 가능하도록 설계되어 있습니다. 기업용 계정(Enterprise 계정)에서는 관리자 설정이 가능하고, 라이선스 침해 및 보안 이슈에 대비해 계약(DPA) 체결이 가능하므로, 코드 보안이 중요한 환경에서는 전략적 도입이 필요합니다 . 이렇듯 기업 환경에서 접근·활용은 유연하지만, 코드 데이터 보안과 라이선스 문제에 대해 신중한 정책 설정이 필수입니다.
4. EU AI 법과 개인정보 보호 법규
2024년 발효된 EU AI Act는 생성형 AI 기업에 대하여 투명성·보안·저작권 준수를 요구하고 있으며, 이는 EU 대상 서비스 운영 시 필수적인 대응 사항입니다 . 특히 GDPR은 목적제한·최소수집·익명화 등 기본 원칙을 강하게 강조하고 있으므로, 해외 시장을 타깃으로 한다면 Privacy by Design 구조의 설계가 더욱 핵심이 됩니다 .
사용자 관점에서의 전략적 조언
개인 사용자
- 민감 정보(의료, 법률, 은행 등)는 AI 대화창에 입력하지 않는 것이 최선입니다.
- OpenAI는 삭제·기억 기능을 사용자 설정으로 제어, Anthropic은 기본적으로 학습 제외 구조이므로 자신의 사용 목적에 따라 선택하시면 됩니다.
여기서 잠시! 챗GPT를 가장 많이 사용하기에 챗GPT에서의 설정 및 유의사항에 대해서 알려드리겠습니다.
대화 기록 사용 여부 비활성화 시키기
프로필 아이콘 → 설정 → 데이터 제어 →모두를 위한 모델개선을 꺼짐으로 변경.
모델 개선 및 음성 모드까지 모두 비활성화로 바꾸면, 챗GPT가 해당 대화를 학습에 활용하지 않습니다.
민감 정보 입력 자제
주민등록번호, 주소, 전화번호, 계좌번호, 회사 내부 정보, 병원 내역 등 민감한 개인정보는 입력하지 않는 것이 원칙입니다. 특히 실명, 계약서 문구, 기민 내용은 익명화하거나 가명으로 대체해주세요.
파일 업로드 시 유의사항
업로드한 파일도 일시적으로 서버에 저장될 수 있습니다. 내무문서, 고객정보,재무자료는 업로드 전 반드시 민감정보를 제거하거나 익명화 하세요.
익명화된 질문 습관 들이기
❌ “우리회사 김대리는 왜 퇴사했을까요?”
✅ “한 팀원이 퇴사했는데, 이런 상황에서 리더로서 어떤 피드백이 좋을까요?”
브라우저 보안도 함께 관리하기
챗지피티를 사용하는 브라우저의 보안도 함께 관리해야합니다.
– 최신 브라우저 업데이트 유지하기
– 브라우저에서 쿠키 자동 삭제, 시크릿 모드 사용을 권장합니다.
– 크롬/웨일 사용 시 개인정보 보호 확장 프로그램(예: DuckDuckGo, uBlock Origin 등)도 고려해볼 수 있습니다.
활용 목적에 따라 계정 분리도 고려
업무용, 개인용 GPT 활용 계정을 분리하면 추적 가능성 최소화에 도움이 됩니다.
업무 또는 기업 환경
- ChatGPT는 기본 사용자용보다 Enterprise/Edu 플랜이 보안 제어와 SOC 2 인증이 강화되어 추천됩니다.
- Anthropic도 Enterprise 기반계약 체결시 데이터 처리 및 보관 책임의 구조가 명확하며, 필수 보안 요건을 만족합니다.
- Copilot은 코드 누출·라이선스 침해 가능성을 고려해 관리자정책, 필터, DPA 활용이 유리합니다.
글로벌 법규 대응
- EU 시장 대응이 필요하다면 GDPR·AI Act의규제요건을 반드시 준수해야 하며, 데이터 처리 주체에 따라 명확한동의및처리목적 설정이 필수입니다.
- OpenAI의 NYT 소송 사례처럼 법원명령에의해 데이터가 예외적으로 보존될 수 있다는 리스크도 염두에 두어야 합니다.
종합비교표
| 항목 | ChatGPT (일반) | ChatGPT (Enterprise/Edu) | Claude (Anthropic) | GitHub Copilot |
|---|---|---|---|---|
| 데이터 학습 활용 | 옵트아웃 가능 (디폴트 O) | API ZDR 옵션 | 기본 비활용 (옵트인 필요) | 익명화 후 제한적 활용 |
| 데이터 보관·삭제 | 30일 내 삭제, 법원 명령 예외 | 관리자 설정, SOC 2 인증 | 사용 목적 외 저장 없음 | 관리자 정책 설정 가능 |
| 법적 예외 | 법원 보존 명령 대상 가능 | – | – | – |
| 투명성·통제 권한 | 사용자 삭제 권한 제공 | 관리자·사용자 모두 통제 | opt-in 구조 + 투명성 | 정책에 따라 제어 가능 |
맞춤형 전략이 필요합니다
개인 사용자라면 민감정보입력자제, 삭제 기능과 옵트아웃 활성화 권장
업무·기업 환경에서는 Enterprise 플랜, Zero Data Retention API, DPA 체결 등 적극적 보안 조치 필요.
EU 대상 서비스 운영 계획이 있다면 AI Act, GDPR 심층대응, ‘Privacy by Design’ 설계 필수.
각 서비스마다 강점과 위험 요소가 명확합니다. 특히 OpenAI는 법적 예외에 대한 대비가 필요하고, Anthropic은 기본 설계상 안전한 편이며, Copilot은 코드 중심의 신중한 도입이 요구됩니다.
생성형 AI는 효율성과 편의성을 제공하는 동시에 개인정보와 보안 문제를 안고 있습니다.
그렇기 때문에 사용 목적과 환경에 맞는 서비스를 선택하고, 삭제 정책, 관리 권한, 법적 리스크 등을 정확히 이해한 후 전략적으로 활용하는 것이 중요합니다.