본문 바로가기
리뷰/전자기기 사용기

AI 툴에 개인정보 넣어도 될까 안전한 사용법

by 코스티COSTI 2026. 6. 29.

시작하며

AI 툴에 개인정보를 넣어도 되는지 묻는 사람이 많아졌다. 문서 요약, 회의록 정리, 고객 응대 초안, 보고서 작성까지 AI 활용 범위가 넓어지면서 편리함과 불안감이 같이 커진 상황이다.

핵심은 “AI가 위험하니 쓰지 말자”가 아니다. 무엇을 넣으면 안 되는지, 회사 자료를 어디까지 입력해도 되는지, 입력한 데이터가 학습이나 보관에 쓰일 수 있는지를 먼저 구분하는 일이다.

2026년 기준으로 개인정보보호위원회도 생성형 AI 이용 과정에서 발생할 수 있는 위험을 점검하고, 이용자가 학습 활용 여부와 기록 삭제 등을 확인할 필요가 있다고 안내하고 있다.

 

1. AI 툴에 넣으면 안 되는 개인정보부터 구분해야 한다

AI에 입력하면 안 되는 정보는 생각보다 넓다. 이름이나 전화번호처럼 눈에 보이는 개인정보만 조심하면 된다고 생각하기 쉽지만, 실제 업무에서는 문장 속에 섞인 단서가 더 문제다.

예를 들어 “김OO 고객이 지난달 상담에서 환불을 요청했다”는 문장에는 이름, 거래 이력, 상담 내용이 함께 들어간다. 이름을 이니셜로 바꿔도 지역, 날짜, 상품명, 민원 내용이 결합되면 특정될 수 있다.

 

특히 아래 정보는 AI 툴에 그대로 넣지 않는 편이 안전하다.

  • 신원 정보: 이름, 주민등록번호, 여권번호, 운전면허번호, 사번, 고객번호
  • 연락처 정보: 휴대폰 번호, 이메일, 주소, 배송지
  • 금융 정보: 계좌번호, 카드번호, 결제 내역, 대출 정보
  • 민감 정보: 건강 상태, 병력, 종교, 정치 성향, 노조 가입 여부
  • 업무 기밀: 계약서 원문, 견적서, 내부 매출 자료, 미공개 서비스 계획
  • 계정 정보: 아이디, 비밀번호, 인증코드, API 키, 보안 토큰

문제는 “이 정도는 괜찮겠지” 하는 순간에 생긴다. 고객 이름만 지웠는데 주문번호가 남아 있거나, 전화번호는 삭제했지만 상담 녹취 요약에 주소 일부가 남아 있는 식이다.

AI 입력 전에는 문장 전체를 한 번 더 봐야 한다. 개인정보는 칸 안에만 있는 것이 아니라 문맥 안에도 남는다.

 

2. 회사에서 AI를 쓸 때는 사내 보안 기준이 먼저다

개인 사용자는 본인이 감수할 범위를 정하면 되지만, 회사에서는 기준이 다르다. 회사 자료에는 고객 정보, 협력사 정보, 내부 전략, 인사 정보가 섞여 있기 때문이다.

따라서 회사에서 AI를 쓸 때는 기능보다 먼저 사내 보안 정책을 확인해야 한다. 회사가 허용한 AI 서비스인지, 업무용 계정인지, 입력 데이터가 저장되는지, 외부 학습에 쓰이는지부터 봐야 한다.

개인정보보호위원회는 생성형 AI 개발과 활용 과정에서 개인정보 보호법 적용 기준을 안내하는 자료를 공개한 바 있고, 기업과 기관이 자율적으로 법 준수 역량을 높일 필요가 있다고 설명한다.

 

업무에서 최소한 확인할 부분은 다음과 같다.

확인 항목 봐야 할 내용 조심할 상황
사용 계정 개인 계정인지 회사 승인 계정인지 개인 계정으로 회사 자료 입력
데이터 저장 대화 기록 저장 여부 자동 저장을 켜둔 상태
학습 활용 입력 내용이 모델 개선에 쓰이는지 설정을 확인하지 않은 상태
접근 권한 누가 대화 기록을 볼 수 있는지 팀 공유 공간에 민감 자료 입력
외부 전송 데이터가 해외 서버로 전송되는지 고객 정보나 계약서 원문 업로드

 

회사에서 AI를 쓰는 사람에게 가장 현실적인 기준은 단순하다. “이 내용을 외부 협력사 메신저에 그대로 보내도 되는가?”라고 생각해 보면 된다. 망설여진다면 AI에도 그대로 넣지 않는 편이 맞다.

AI 보안 플랫폼이나 데이터 보호 솔루션을 도입하는 회사도 늘고 있다. 다만 도구만 있다고 안전해지는 것은 아니다. NIST의 AI 위험관리 프레임워크도 AI가 개인, 조직, 사회에 줄 수 있는 위험을 관리하는 체계가 필요하다는 방향을 제시한다.

결국 실무에서는 기술보다 습관이 먼저다. 복사해서 붙여넣기 전, 문서 안의 개인정보와 회사 기밀을 지우는 절차가 있어야 한다.

 

3. 안전하게 AI를 쓰는 입력 방법

AI를 안전하게 쓰려면 “입력하지 않기”만으로는 부족하다. 업무 효율을 위해 활용하되, 원문을 줄이고 바꾸고 분리하는 방식이 필요하다.

가장 쉬운 방법은 익명화, 요약 입력, 가상 사례 전환이다.

  • 익명화하기: 이름, 전화번호, 주소, 회사명, 계좌번호를 삭제하거나 A고객, B회사처럼 바꾼다.
  • 세부 숫자 줄이기: 정확한 매출액, 견적 금액, 계약 조건은 범위나 예시 숫자로 바꾼다.
  • 원문 대신 상황만 쓰기: 계약서 전체를 붙여넣기보다 “환불 조건을 쉽게 설명하는 문구가 필요하다”처럼 요청한다.
  • 고객 사례를 가상화하기: 실제 상담 내용을 그대로 넣지 않고 비슷한 상황의 예시로 바꾼다.
  • 파일 업로드 전 점검하기: PDF, 엑셀, 이미지 안에 숨은 이름, 메모, 작성자 정보까지 확인한다.

예를 들어 고객 민원 답변문을 만들고 싶다면 이렇게 바꾸는 것이 낫다.

나쁜 입력 예시는 “홍길동 고객이 2026년 5월 12일 010으로 시작하는 번호로 문의했고, 35만원 결제 건을 취소하고 싶어 한다”이다.

안전한 입력 예시는 “한 고객이 최근 결제한 서비스의 환불 가능 여부를 문의했다. 약관상 사용 이력이 있으면 전액 환불이 어렵다. 정중한 안내문 초안을 작성해 달라”이다.

결과물도 그대로 쓰면 안 된다. AI가 만든 문장은 그럴듯해 보이지만 약관, 법령, 회사 정책과 다를 수 있다. 특히 환불, 계약, 개인정보, 보안 사고, 세금, 금융 관련 답변은 담당 부서나 공식 안내와 맞춰 봐야 한다.

 

4. 데이터 유출을 줄이려면 설정과 기록 관리도 봐야 한다

AI 사용에서 놓치기 쉬운 부분이 대화 기록이다. 입력한 내용은 화면에서 사라져도 서비스 정책에 따라 일정 기간 보관될 수 있다. 자동 저장, 학습 활용, 대화 기록 삭제 메뉴가 따로 있는 경우도 많다.

 

앱이나 웹에서 AI를 쓸 때는 아래 설정을 확인하는 습관이 필요하다.

  1. 대화 기록 저장 여부를 확인한다. 기록 저장을 끄는 기능이 있는지 본다.
  2. 모델 학습 활용 설정을 확인한다. 입력 내용이 서비스 개선에 쓰이는지 확인한다.
  3. 공유 링크 생성 여부를 확인한다. 대화 링크를 만들면 외부에 노출될 수 있다.
  4. 파일 업로드 기록을 확인한다. 업로드한 문서가 계정에 남아 있는지 본다.
  5. 퇴사자와 외부 인력 권한을 확인한다. 사내 AI 도구라면 접근 권한 정리가 중요하다.

여기서 헷갈리는 부분은 삭제와 저장 중지의 차이다. 삭제는 이미 저장된 기록을 지우는 것이고, 저장 중지는 앞으로 기록이 쌓이지 않게 막는 것이다. 자동 삭제 설정도 즉시 삭제가 아니라 일정 기간이 지난 뒤 정리되는 방식일 수 있다.

시크릿 모드도 만능이 아니다. 브라우저에 기록이 남지 않을 수는 있지만, 회사 네트워크나 학교 네트워크, 서비스 제공자 쪽 기록까지 모두 사라진다는 뜻은 아니다.

개인정보보호위원회가 생성형 AI 이용자를 위한 가이드를 따로 발간한 이유도 여기에 있다. 이용자가 개인정보 처리 과정을 직접 확인하기 어렵기 때문에, 학습 활용 여부와 기록 삭제 같은 항목을 스스로 점검하는 과정이 필요하다.

 

5. AI 보안 플랫폼을 볼 때도 기본 기준이 있다

AI 보안 플랫폼, 데이터 보호 솔루션, DLP, 접근권한 관리 같은 말이 자주 보인다. 회사 입장에서는 이런 도구가 필요할 수 있다. 다만 도입 전에는 무엇을 막고 싶은지부터 정리해야 한다.

 

보안 도구를 볼 때는 기능 이름보다 실제 통제 범위를 봐야 한다.

  • 입력 차단: 주민등록번호, 계좌번호, 카드번호 같은 민감 정보 입력을 막는지
  • 마스킹 처리: 이름, 연락처, 주소를 자동으로 가려 주는지
  • 접근 권한 관리: 부서, 직급, 프로젝트별로 사용 범위를 나눌 수 있는지
  • 로그 기록: 누가 어떤 자료를 입력했는지 추적할 수 있는지
  • 외부 전송 통제: 승인되지 않은 AI 서비스 사용을 제한할 수 있는지

하지만 모든 회사가 처음부터 거창한 플랫폼을 도입해야 하는 것은 아니다. 작은 조직이라면 먼저 “입력 금지 정보 목록”, “허용된 AI 서비스 목록”, “파일 업로드 금지 기준”, “결과물 검토 책임자”만 정해도 위험을 꽤 줄일 수 있다.

AI 보안의 핵심은 AI를 막는 것이 아니라, AI에 들어가는 데이터를 관리하는 데 있다. 데이터가 정리되지 않은 상태에서 도구만 늘리면 오히려 어디에 무엇이 들어갔는지 추적하기 더 어려워진다.

 

마치며

AI 툴에 개인정보를 넣어도 되는지 고민된다면 기준은 하나다. 외부로 나가면 곤란한 정보는 원문 그대로 넣지 않는다는 원칙이다.

개인정보보호위원회 안내처럼 학습 활용 여부, 기록 삭제, 데이터 보관 조건은 서비스마다 다를 수 있다. 업무에 쓰는 경우라면 회사 보안 정책과 개인정보보호위원회 공식 안내를 함께 확인한 뒤, 필요한 정보만 익명화해서 입력하는 습관이 가장 현실적인 안전장치다.

사업자 정보 표시
코스티(COSTI) | 김욱진 | 경기도 부천시 부흥로315번길 38, 루미아트 12층 1213호 (중동) | 사업자 등록번호 : 130-38-69303 | TEL : 010-4299-8999 | 통신판매신고번호 : 2018-경기부천-1290호 | 사이버몰의 이용약관 바로가기