ChatGPT의 기업 도입 시 리스크와는? 기밀 정보 유출 사례 및 대책을 해설

기업 내에서 ChatGPT의 도입이 점차 진행되고 있습니다. 그 유용성에 주목이 모아지고 있지만, 주의해야 할 점이 몇 가지 있습니다. 그 중 하나는 ChatGPT에 기밀 정보를 입력해서는 안 된다는 것입니다. 실제로 해외에서는 기밀 정보를 입력한 것이 계기가 되어 기업의 중대한 기밀 유출로 이어진 사례도 있습니다.

본 기사에서는, 매일 발전하는 ChatGPT의 비즈니스 활용에 있어서, 기밀 정보의 유출 위험을 중심으로, 사례와 취해야 할 대책에 대해 변호사가 설명합니다.

ChatGPT에 기밀 정보를 입력해서는 안 되는 이유

ChatGPT는 편리한 도구이지만, 인터넷 상의 빅데이터와 위탁자 데이터를 학습하여 생성되는 AI 챗봇이기 때문에, 별도의 조치를 취하지 않으면 입력된 기밀 정보가 유출될 위험이 있습니다.

기밀 정보 유출 위험에 대한 대책에 대해서는 이후 자세히 설명드리겠지만, 먼저 ChatGPT와 관련된 기밀 정보 유출 외의 위험에 대해 설명하겠습니다.

ChatGPT를 활용할 때 기업이 직면할 수 있는 기밀정보 유출 외의 리스크

ChatGPT는 현재 많은 기업에서 도입 검증이 이루어지고 있는 단계입니다. 따라서 리스크를 충분히 이해한 후 비즈니스 활용 여부를 결정할 필요가 있습니다.

ChatGPT를 사용할 때 기업이 직면할 수 있는 기밀정보(개인정보 포함) 유출 외의 보안 리스크로는 다음의 두 가지가 있습니다.

• 출력된 정보의 신뢰성 리스크
• 입출력 정보의 저작권 침해 리스크

각각에 대해 자세히 설명하겠습니다.

출력된 정보의 신뢰성 결여

2023년(2023년) 3월 14일에 공개된 GPT-4는 검색 기능이 탑재되어 최신 정보를 제공할 수 있게 되었습니다. 그러나 ChatGPT는 답변을 할 때 정보를 마치 진실인 것처럼 출력하지만, 그 신뢰성은 보장되지 않습니다. ChatGPT가 생성하는 응답은 학습 데이터에 의한 정보의 정확성에 기반하여 출력하는 것이 아니라, 확률이 높은(가능성이 가장 높은) 문장을 생성하는 것에 불과합니다. 따라서 출력 결과를 사용하기 전에는 팩트 체크가 필수적입니다. 만약 거짓 정보를 기업이 발신하게 되면, 기업 자체의 신용이 손상될 위험이 있습니다.

저작권 침해 등의 법적 리스크

ChatGPT에서 저작권 침해 판단은 ‘AI 개발·학습 단계’와 ‘생성·활용 단계’에서 판단이 갈립니다. 각 단계에서 이루어지는 저작물의 이용 행위가 다르기 때문에 저작권법의 조문도 다릅니다. 따라서 두 가지는 분리해서 생각할 필요가 있습니다.

참고：문화청｜일본레이와(令和) 5년도 저작권 세미나 ‘AI와 저작권'[ja]

2019년 1월에 시행된 개정 저작권법에는, 권리 제한 규정(허가가 필요 없는 예외 규정)의 제30조의 4에 ‘AI 개발·학습 단계’가 신설되었습니다. AI 개발을 위한 정보 분석 등, 저작물에 표현된 사상이나 감정의 향유를 목적으로 하지 않는 이용 행위는, 원칙적으로 저작권자의 허가 없이 할 수 있도록 규정되어 있습니다.

반면, ChatGPT로 출력된 생성물에 저작물과의 유사성·의존성(개작)이 인정될 경우에는, 저작권 침해가 됩니다. 따라서 공개하기 전에는 ChatGPT가 참조한 정보의 권리자를 확인하고, ChatGPT가 생성한 것과 유사한 내용이 없는지 확인하는 것이 중요합니다. 그리고 저작물을 인용할 경우는 출처를 명기하거나(권리 제한 규정), 전재할 경우는 저작권자의 이용 허가를 받는 등, 적절하게 처리해야 합니다.

저작권자로부터 저작권 침해를 지적받은 경우에는, 민사 책임(손해배상·위자료·사용 금지·명예 회복 등의 법적 조치) 또는 형사 책임(친고죄)을 물을 수 있습니다.

ChatGPT에 기밀정보를 입력해 문제가 된 사례

2023년(2023) 3월 30일 한국 매체 ‘EConomist’는 삼성전자의 반도체 부문에서 ChatGPT 사용을 허가한 후, 기밀정보를 입력하는 사건이 3건 발생했다고 보도했습니다.

삼성전자 측은 사내에서 정보보안에 대한 주의를 환기시키고 있었음에도 불구하고, 프로그램 수정을 요청하기 위해 소스코드를 전송한 사례(2건)와 회의록 작성을 위해 회의 내용을 전송한 직원이 있었다고 합니다.

이러한 사건이 발생한 후, 삼성전자는 긴급 조치로 ChatGPT에 대한 질문당 업로드 용량을 제한했습니다. 또한, 유사한 사건이 재발할 경우 접속을 차단할 가능성도 있다고 밝혔습니다.

한편, 월마트(Walmart)와 아마존(Amazon)은 직원들에게 챗봇을 통해 기밀정보를 공유하지 말 것을 경고하고 있습니다. 아마존의 변호사는 ChatGPT의 응답이 아마존이 보유한 내부 데이터와 유사한 사례가 이미 발견되었다고 언급하며, 데이터가 학습에 사용됐을 가능성을 시사하고 있습니다.

ChatGPT 사용 시 기밀 정보 유출 방지 대책

OpenAI는 이용 약관 등에서 시스템 개선을 위해 입력된 데이터를 학습 등에 사용한다고 설명하며, 민감한 정보를 전송하지 않도록 요청하고 있습니다.

이 장에서는 ChatGPT 사용 시 기밀 정보의 유출을 방지하기 위한 대책을 하드웨어와 소프트웨어 측면에서 4가지 소개합니다.

사내 이용에 관한 가이드라인 수립

ChatGPT의 기업 도입에 있어 개인의 정보 보안 리터러시를 높이고, 사내 리스킬링도 중요하지만, 자사의 ChatGPT 이용 가이드라인을 수립하는 것이 바람직합니다.

2023년(平成35年) 5월 1일, 일반사단법인 일본 딥러닝 협회(JDLA)는 ChatGPT의 윤리적, 법적, 사회적 문제(ELSI)를 정리하고 ‘생성 AI 이용 가이드라인’을 공개했습니다. 산학정 각 분야에서도 가이드라인 수립을 검토하기 시작했습니다.

이를 참고하여 자사의 ChatGPT 이용 규칙을 명문화한 가이드라인을 수립함으로써, 일정한 리스크 회피를 기대할 수 있습니다.

참고: 일반사단법인 일본 딥러닝 협회(JDLA)｜생성 AI 이용 가이드라인[ja]

기밀 정보가 유출되지 않도록 기술 도입하기

기밀 정보 유출의 인적 오류를 방지하기 위한 대책으로, DLP(Data Loss Prevention, 데이터 유출 방지)라 불리는 시스템을 도입함으로써 기밀 정보의 전송 및 복사를 막을 수 있습니다.

DLP는 입력 데이터를 지속적으로 감시하고, 기밀 정보나 중요 데이터를 자동으로 식별하여 보호하는 기능입니다. DLP를 사용하면, 기밀 정보가 탐지되었을 때 알림을 통보하거나 작업을 차단할 수 있습니다. 관리 비용을 절감하면서 내부로부터의 정보 유출을 확실하게 방지할 수 있지만, 보안 시스템에 대한 고도의 이해가 필요하며, 기술 부서가 없는 기업에서의 원활한 도입은 어려울 수도 있습니다.

전용 도구 도입 검토

ChatGPT는 2023년 3월부터 API(Application Programming Interface, 소프트웨어나 프로그램, 웹 서비스 간의 인터페이스를 의미하는 약어)를 활용하여 ChatGPT로 전송된 데이터의 유출을 방지할 수 있게 되었습니다.

API를 통해 전송된 데이터는 학습이나 개선에 사용되지 않지만, ‘부정 사용이나 오용을 방지하기 위한 모니터링’을 목적으로 30일간 보관된 후 삭제되는 것으로 보관 규약이 변경되었습니다. 또한 ‘법적 요구’를 받은 경우 데이터의 보관 기간이 연장될 수 있습니다.

이와 같이 ChatGPT를 학습이나 개선에 사용하지 않도록 설정해도, 일정 기간 서버 측에서 데이터가 저장되므로 이론적으로 정보 유출의 위험이 존재합니다. 따라서 기밀 정보나 개인 정보를 입력할 때는 충분한 주의가 필요합니다.

그러나 OpenAI는 위탁자의 프라이버시와 데이터의 안전성을 중시하며, 엄격한 보안 조치를 시행하고 있습니다. 더 안전하게 사용하고자 한다면, 고도의 보안 조치가 가능한 도구인 ‘Azure OpenAI Service’의 도입을 권장합니다.

기업용으로 특화된 도구인 ‘Azure OpenAI Service’에서 API를 통해 ChatGPT에 입력한 데이터는 수집되지 않습니다. 또한, 옵트아웃을 신청하여 심사에 통과하면 원칙적으로 30일간의 입력 데이터 보유 및 모니터링을 거부할 수 있어 정보 유출의 위험을 피할 수 있습니다.

ChatGPT에 입력한 기밀정보가 학습되지 않도록 설정하는 방법

앞서 언급한 바와 같이, ChatGPT는 옵트인(opt-in)한 콘텐츠를 모두 학습하는 구조이기 때문에, 2023년 4월 25일(2023년)부터는 사전에 옵트아웃(opt-out) 설정을 할 수 있는 기능이 마련되어 있습니다.

직접적인 사전 대책으로서, ChatGPT에 입력한 데이터가 학습이나 개선에 사용되는 것을 거부하고자 할 경우에는 ‘옵트아웃’ 신청을 해야 합니다. ChatGPT에는 ‘옵트아웃’을 위한 Google 폼이 준비되어 있으므로, 반드시 이 절차를 밟아두는 것이 좋습니다. (이메일 주소, 조직 ID, 조직명을 입력하여 전송)

그러나, 이 경우에도 일정 기간(원칙적으로 30일간)은 OpenAI에 의해 감시되며, 서버 측에서 입력 데이터가 저장되는 것에는 변함이 없습니다.

ChatGPT 이용 약관

3.콘텐츠

(c) 서비스 개선을 위한 콘텐츠의 사용

우리는 고객님이 우리의 API에 제공하거나 API로부터 수신한 콘텐츠(‘API 콘텐츠’)를 우리 서비스의 개발이나 개선을 위해 사용하지 않습니다.

우리는 우리의 API 이외의 서비스로부터의 콘텐츠(‘비 API 콘텐츠’)를 우리 서비스의 개발 및 개선에 도움이 되도록 사용할 수 있습니다.

고객님이 비 API 콘텐츠를 서비스 개선을 위해 사용되는 것을 원치 않는 경우, 이 양식[ja]을 작성하여 옵트아웃할 수 있습니다. 단, 경우에 따라 이로 인해 고객님의 특정 사용 사례에 더 적절히 대응하는 우리 서비스의 능력이 제한될 수 있음을 유의해 주십시오.

인용: OpenAI 공식 사이트｜ChatGPT 이용 약관　https://openai.com/policies/terms-of-use[ja]

요약: ChatGPT의 비즈니스 활용은 기밀 정보 관리에 대한 대책이 필수

지금까지 ChatGPT의 비즈니스 활용에서 발생할 수 있는 기밀 정보 유출 위험과 그 대책에 대해 사례를 들어 설명드렸습니다.

ChatGPT와 같이 급속도로 발전하는 AI 비즈니스는 내부 사용에 대한 가이드라인 수립부터 비즈니스 모델의 적법성 검토, 계약서 및 이용 약관 작성, 지적 재산권 보호, 프라이버시 대응 등 전문가와의 대책이 없으면 안 됩니다.

관련 기사: Web3에 관한 법률은 무엇인가? 시장에 진입하는 기업이 알아야 할 포인트에 대해서도 설명합니다[ja]

우리 사무소의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법률사무소입니다. AI 비즈니스에는 많은 법적 리스크가 수반되며, AI 관련 법적 문제에 정통한 변호사의 지원이 필수적입니다.

우리 사무소는 AI에 정통한 변호사와 엔지니어 등의 팀으로, ChatGPT를 포함한 AI 비즈니스에 대해 계약서 작성, 비즈니스 모델의 적법성 검토, 지적재산권 보호, 프라이버시 대응 등 고도의 법적 지원을 제공하고 있습니다. 아래 기사에서 자세한 내용을 확인하실 수 있습니다.

모노리스 법률사무소의 취급 분야: AI(ChatGPT 등) 법무[ja]