ChatGPT/Claude에 회사 코드 붙여넣는 거 법적으로/보안상 진짜 괜찮은가요?
팀에서 다들 막히면 외부 LLM 웹/앱에 코드를 그냥 복붙해서 디버깅합니다. 저도 그러고 있고요. 그런데 보안팀에서 "회사 코드를 외부에 보내는 거 학습에 쓰이는 거 아니냐"고 제동을 걸었습니다.
궁금한 점:
- 입력한 데이터가 모델 학습에 쓰이나요? 웹 UI랑 API랑 다른가요?
- 기업용(Team/Enterprise) 요금제면 다른가요?
- 우리가 실무에서 지켜야 할 현실적인 가이드라인은 뭔가요?
무조건 금지하면 생산성이 죽고, 무조건 허용하면 보안팀이 못 받아들이고... 절충안이 필요합니다.
답변 2개
- 채택된 답변에디터 검증
오해가 많은 주제라 핵심부터. "학습에 쓰이냐"는 제품/요금제/설정에 따라 다릅니다. 한 마디로 일반화하면 안 돼요.
웹/앱 무료·개인 요금제: 제공사마다 다른데, 입력을 모델 개선에 쓸 수 있는 경우가 있고 보통 설정에서 끄는 옵션을 줍니다. 문제는 기본값이 켜져 있냐 꺼져 있냐가 제품마다 다르다는 거예요. 본인이 쓰는 제품 설정 직접 들어가서 확인하세요(ChatGPT는 'Improve the model for everyone' 토글 같은 거).
API: 주요 제공사 API는 대체로 input/output을 기본 학습에 안 쓴다는 정책입니다. 다만 약관 원문 봐야 하고, 남용 모니터링 목적의 일시 보관 조항은 별개로 있을 수 있어요.
기업용(Team/Enterprise): 보통 학습 미사용이 기본 + 보관기간 축소 + 관리자 통제가 붙습니다. 회사가 계약한 플랜이면 이게 제일 안전.
현실적 가이드라인:
- 개인 무료 계정으로 회사 코드 붙여넣기 금지. 옵트아웃을 개인이 알아서 관리하게 두면 언젠가 사고 납니다.
- 회사 계약 기업용 플랜이나 API 기반 사내 도구로 창구를 하나로 모으기.
- 비밀키·인증정보·고객 데이터는 어떤 플랜이든 절대 붙여넣지 않기(학습 여부랑 무관하게 전송 자체가 위험).
- 약관은 바뀌니까 도입 시점에 법무가 해당 플랜 DPA 검토.
절충안의 핵심은 "금지"가 아니라 "안전한 창구를 만들어 그쪽으로 유도"입니다. 막기만 하면 다들 개인 계정으로 몰래 써요(섀도우 AI). 그게 제일 위험합니다.
위 답변 보강. 코드냐 아니냐보다 뭘 같이 붙여넣느냐가 더 큰 문제예요.
학습 여부 떠나서, 코드에 하드코딩된 API 키, DB 접속 문자열, 내부 엔드포인트, 고객 샘플 데이터가 딸려 들어가는 게 진짜 사고입니다. 학습에 안 써도 전송 과정/로그/캡처에서 샐 수 있어요.
그래서 사내 정책은 "외부 LLM 금지/허용" 이분법보다 "붙여넣기 전 시크릿 스캔"을 습관화하는 게 실효성 있습니다. git pre-commit에 gitleaks/trufflehog 거는 것처럼, 입력 단에서 키 패턴 잡아주는 사내 도구나 브라우저 확장 두는 팀도 있고요. 어차피 사람들은 붙여넣을 거라, 막는 것보다 'sk-...' 같은 패턴 들어가면 경고 뜨게 하는 게 현실적입니다.