MONOLITH LAW OFFICE+81-3-6262-3248평일 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

ChatGPT의 정보 유출 위험은 무엇인가? 취해야 할 4가지 대책 소개

IT

ChatGPT의 정보 유출 위험은 무엇인가? 취해야 할 4가지 대책 소개

최근 주목받고 있는 ‘ChatGPT’. 원고 작성, 프로그래밍, 악보 생성, 그림 그리기까지 가능하다고 하여 다양한 분야에서 주목받고 있는 생성 AI입니다.

ChatGPT의 GPT는 ‘Generative Pre-training Transformer’의 약자로, 대량의 텍스트(문장), 이미지, 음성(확장 기능) 데이터를 사전 학습함으로써, 인간처럼 자연스러운 대화를 할 수 있습니다.

ChatGPT는 복잡한 업무에도 대응할 수 있기 때문에, 업무의 효율화와 높은 비용 대비 성능을 기대할 수 있는 도구로 주목받고 있습니다. 이미 다양한 분야에서 ChatGPT의 활용이 진행되고 있으며, 많은 테크 기업들이 독자적인 AI 시스템을 구축하는 움직임도 보이고 있습니다.

이처럼 ChatGPT를 비롯한 AI 기술에는 많은 비즈니스 기회가 예상되는 반면, 저작권 문제, 잘못된 정보의 확산, 기밀 정보 유출, 프라이버시 문제, 사이버 공격으로의 악용 가능성 등 잠재적 리스크가 지적되고 있습니다.

이 기사에서는 ChatGPT의 활용에 있어 정보 유출의 리스크를 중심으로, 취해야 할 대책에 대해 변호사가 설명합니다.

ChatGPT 관련 정보 유출 위험

기업이 ChatGPT를 도입할 때 고려해야 할 주요 리스크는 다음의 4가지입니다.

  • 보안 리스크(정보 유출, 정확성, 취약성, 가용성 등)
  • 저작권 침해 리스크
  • 악용 가능성 리스크(사이버 공격 등)
  • 윤리적 문제

ChatGPT와 관련된 정보 유출 리스크란, ChatGPT에 기밀 정보를 입력할 경우 해당 정보가 OpenAI의 직원이나 다른 위탁자에게 노출되거나, 학습 데이터로 사용될 위험이 있다는 것을 의미합니다.

OpenAI의 데이터 이용 정책에 따르면, 위탁자가 ChatGPT에 입력한 데이터는 ‘API’를 통하거나 ‘옵트아웃(opt-out)’을 신청하지 않는 한, OpenAI에 의해 데이터 수집 및 활용(학습)될 수 있습니다(이에 대해 뒤에서 자세히 설명하겠습니다).

ChatGPT 사용으로 인한 정보 유출 사례

여기서는 ChatGPT 사용으로 인해 등록된 개인정보나 입력된 기밀정보가 유출된 사례를 소개합니다.

개인정보가 유출된 경우

2023년(2023) 3월 24일, OpenAI는 일부 위탁자에게 다른 위탁자의 신용카드 번호 뒤의 4자리, 카드의 유효기간 등을 포함한 개인정보가 표시되는 버그가 있었기 때문에, 3월 20일에 ChatGPT를 잠시 오프라인으로 전환했다고 발표했습니다. 이때 개인정보가 유출된 것은 ‘ChatGPT Plus’ 유료 플랜 가입자 중 일부(회원의 약 1.2%)였습니다.

또한, 이 버그와 동시에, 채팅 기록에 다른 위탁자의 채팅 기록이 표시되는 버그도 있었다고 발표되었습니다.

이에 따라, 2023년(2023) 3월 31일, 이탈리아의 데이터 보호 당국은 OpenAI에 대해, ChatGPT가 학습을 위해 개인 데이터를 수집·저장하는 것에 법적 근거가 부족하다고 하여, 해당 국가 위탁자의 데이터 처리에 일시적인 제한을 가하는 개선 명령을 내렸습니다. 이에 OpenAI는 ChatGPT에 대한 이탈리아에서의 접근을 차단했습니다. 이 차단은, 이후 OpenAI가 개인 데이터의 처리를 개선한 덕분에 같은 해 4월 28일에 해제되었습니다.

기업 내부의 기밀정보가 유출된 경우

2023년(2023) 2월, 미국의 사이버보안 회사 Cyberhaven은 고객 기업에 대해 ChatGPT 사용에 관한 보고서를 발표했습니다.

그 보고서에 따르면, Cyberhaven 제품을 사용하는 고객 기업의 160만 명의 근로자 중, 지식 노동자의 8.2%가 직장에서 ChatGPT를 한 번이라도 사용했으며, 그 중 3.1%는 ChatGPT에 기업 기밀 데이터를 입력했다고 합니다.

또한, 이는 한국의 사례입니다만, 2023년(2023) 3월 30일 한국 매체 ‘Economist’는 삼성전자의 내부 일부 부서가 ChatGPT 사용을 허가한 후, 기밀 정보를 입력하는 사건이 발생했다고 보도했습니다.

삼성전자 측은 사내 정보 보안에 대한 주의를 당부하고 있었음에도 불구하고, 프로그램의 소스 코드나 회의 내용을 입력한 직원이 있었다고 합니다.

이러한 상황에서, ChatGPT 사용에 대해 제한을 두는 국가나 기업이 있는 반면, 추천하는 정책을 내놓고 있는 국가나 기업도 있습니다. ChatGPT 도입 시에는 정보 유출의 위험성을 이해한 상태에서 신중히 고려해야 할 것입니다.

ChatGPT를 이용한 정보 유출 방지를 위한 4가지 대책

ChatGPT를 이용한 정보 유출 방지 대책

정보 유출이 발생하면 법적 책임뿐만 아니라 신뢰와 평판 손실도 크게 됩니다. 따라서 정보 유출을 방지하기 위해서는 기업 내 정보 관리 체계의 정비와 교육이 중요합니다.

이하에서는 ChatGPT를 이용하여 정보 유출을 방지하기 위한 4가지 대책을 소개하고자 합니다.

대책1: 이용 규칙의 제정

먼저 귀사의 ChatGPT에 대한 입장을 결정하고, 사내 규정에 ChatGPT 이용에 관한 사항을 포함시킵니다. 개인정보는 물론, 기밀정보를 입력하지 않는 등의 명확한 규칙을 정하여 운용하는 것이 중요합니다.

그 때, 귀사의 ChatGPT 이용 가이드라인을 마련하는 것이 바람직할 것입니다. 또한, 사외와의 계약서에는 ChatGPT 이용에 관한 사항을 포함시키도록 합니다.

2023년(令和5년) 5월 1일, 일반사단법인 일본 딥러닝 협회(JDLA)는 ChatGPT의 윤리적·법적·사회적 과제(ELSI)를 정리하여, ‘생성 AI의 이용 가이드라인’을 공개하였습니다.

산학정 각 분야에서도 가이드라인의 마련을 검토하기 시작하고 있습니다. 이를 참고하면서, 귀사의 ChatGPT 이용 규칙을 명문화한 가이드라인을 마련함으로써, 일정한 리스크 회피를 기대할 수 있습니다.

참고: 일반사단법인 일본 딥러닝 협회(JDLA)|생성 AI의 이용 가이드라인[ja]

그러나 마련한 가이드라인이 널리 알려지고 철저히 이행되지 않는다면 의미가 없습니다. 가이드라인만으로는 대책으로서 부족하다고 할 수 있습니다.

대책2: 정보 유출을 방지하기 위한 체계 마련

휴먼 에러를 방지하는 대책으로, DLP(Data Loss Prevention, 데이터 유출 방지)라 불리는 시스템을 도입함으로써, 기밀 정보의 전송 및 복사를 막을 수 있습니다.

DLP는 위탁자가 아닌 데이터를 지속적으로 감시하며, 기밀 정보나 중요 데이터를 자동으로 식별하고 보호하는 시스템입니다. DLP를 사용하면, 기밀 정보가 탐지되었을 때 알림을 통보하거나 작업을 차단할 수 있습니다.

관리 비용을 절감하면서 내부로부터의 정보 유출을 확실하게 방지할 수 있지만, 보안 시스템에 대한 고도의 이해가 필요하며, 기술 부서가 없는 회사에서는 원활한 도입이 어려울 수도 있습니다.

대책 3: 정보 유출을 방지하는 도구 사용하기

앞서 언급한 바와 같이, 직접적인 사전 대책으로 ‘옵트아웃(opt-out)’을 신청함으로써 ChatGPT에 입력한 데이터가 수집되는 것을 거부할 수 있습니다.

ChatGPT의 설정 화면에서 ‘옵트아웃’을 신청할 수 있습니다. 그러나 옵트아웃을 신청하면 프롬프트의 기록이 남지 않아 불편함을 느끼는 위탁자도 많을 것입니다.

옵트아웃 설정 외에도, ChatGPT의 ‘API(Application Programming Interface)’를 활용한 도구를 도입하는 방법이 있습니다.

‘API’란 OpenAI가 공개한 ChatGPT를 자사 서비스나 외부 도구에 통합하는 인터페이스를 말합니다. OpenAI는 ChatGPT의 ‘API’를 통해 입출력된 정보는 사용하지 않는다고 명시하고 있습니다.

이는 ChatGPT의 이용 약관에도 명시되어 있습니다. 이용 약관에 따르면,

3.콘텐츠

(c) 서비스 개선을 위한 콘텐츠의 사용

We do not use Content that you provide to or receive from our API (“API Content”) to develop or improve our Services. 

우리는 고객님이 우리의 API에 제공하거나 API에서 받은 콘텐츠(‘API 콘텐츠’)를 우리 서비스의 개발이나 개선을 위해 사용하지 않습니다. 

We may use Content from Services other than our API (“Non-API Content”) to help develop and improve our Services.

우리는 우리의 API 이외의 서비스에서 온 콘텐츠(‘비 API 콘텐츠’)를 우리 서비스의 개발 및 개선을 돕기 위해 사용할 수 있습니다.

 If you do not want your Non-API Content used to improve Services, you can opt out by filling out this form[ja]. Please note that in some cases this may limit the ability of our Services to better address your specific use case.

고객님이 비 API 콘텐츠를 서비스 개선을 위해 사용되길 원하지 않는 경우, 이 양식을 작성하여 옵트아웃할 수 있습니다. 

경우에 따라 이로 인해 고객님의 특정 사용 사례에 더 적절하게 대응하는 우리 서비스의 능력이 제한될 수 있음을 유의하십시오.

인용: OpenAI 공식 사이트|ChatGPT 이용 약관[ja]

대책 4: IT 리터러시 사내 교육 실시하기

지금까지 소개한 대책 외에도, 사내 교육을 실시하여 자사의 직원들의 보안 리터러시를 향상시키는 것이 중요하다고 할 수 있습니다.

삼성전자의 사례에서도, 사내에서 정보 보안에 대한 주의를 환기시키고 있음에도 불구하고, 기밀 정보를 입력하는 바람에 정보 유출이 발생했습니다. 시스템 면에서 정보 유출을 방지하는 것뿐만 아니라, ChatGPT에 관한 지식이나 IT 리터러시에 대한 사내 교육을 실시하는 것이 바람직하다고 할 수 있습니다.

ChatGPT를 통한 정보 유출 발생 시 대응 방안

ChatGPT를 통한 정보 유출 발생 시 대응 방안

만약 정보 유출이 발생했다면, 사실 관계 조사와 대책을 신속하게 진행하는 것이 중요합니다.

개인정보 유출의 경우, 일본 개인정보보호법에 따라 개인정보보호위원회에 보고하는 것이 의무화되어 있습니다. 또한, 본인에게도 사태가 발생했다는 사실을 통지해야 합니다. 개인정보 유출로 인해 상대방의 권리나 이익을 침해한 경우, 민사상의 손해배상 책임을 질 수 있습니다. 더 나아가, 부정한 목적으로 개인정보를 도용하거나 제공한 경우, 형사상의 책임을 물을 수도 있습니다.

영업비밀이나 기술정보 유출의 경우, 일본 부정경쟁방지법에 따라 유출처에 대해 삭제 요청 등의 조치를 취할 수 있습니다. 또한, 영업비밀이나 기술정보 유출로 인해 상대방에게 부당한 이익을 제공한 경우, 민사상의 손해배상 책임을 질 수 있습니다. 더 나아가, 부정한 수단으로 영업비밀이나 기술정보를 취득하거나 사용한 경우, 형사상의 책임을 물을 수도 있습니다.

직무상의 비밀유지 의무를 위반하여 정보를 유출한 경우, 일본 형법이나 기타 법률에 따라 형사상의 책임을 물을 수 있습니다. 또한, 직무상의 비밀유지 의무를 위반하여 정보를 유출함으로써 상대방에게 손해를 입힌 경우, 민사상의 손해배상 책임을 질 수 있습니다.

따라서, 유출된 정보의 내용에 맞춰 신속하게 대응할 필요가 있으며, 미리 그러한 체계를 구축해 두는 것이 중요합니다.

관련 기사:정보 유출 발생 시 기업이 해야 할 정보 공개는?[ja]

관련 기사:개인정보 유출이 발생했다면? 기업이 취해야 할 행정 대응을 해설[ja]

요약: ChatGPT 정보 유출 위험에 대비한 체계 구축

여기에서는 ChatGPT의 정보 유출 위험과 취해야 할 대책에 대해 설명했습니다. 급속도로 발전하는 ChatGPT 등을 활용한 AI 비즈니스에서는 법적 위험에 정통한 경험이 풍부한 변호사와 상담하여, 미리 그 위험에 대응하는 사내 체계를 갖추는 것이 좋습니다.

정보 유출뿐만 아니라, AI를 활용한 비즈니스 모델의 적법성 검토, 계약서 및 이용 약관의 작성, 지적 재산권 보호, 프라이버시 대응 등, AI와 법률 양쪽의 지식과 경험을 갖춘 변호사와 협력하면 안심할 수 있습니다.

우리 사무소의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법률사무소입니다. AI 비즈니스에는 많은 법적 리스크가 동반되며, AI 관련 법적 문제에 정통한 변호사의 지원이 필수적입니다. 우리 사무소는 AI에 정통한 변호사와 엔지니어 등의 팀으로, ChatGPT를 포함한 AI 비즈니스에 대해 계약서 작성, 비즈니스 모델의 적법성 검토, 지적재산권 보호, 프라이버시 대응 등 고도의 법적 지원을 제공하고 있습니다. 아래 기사에서 자세한 내용을 기술하고 있습니다.

모노리스 법률사무소의 취급 분야:AI(예: ChatGPT 등) 법무[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Return to Top