ChatGPT 통한 기업 정보 유출 사고 — 국내 대기업 2곳, "Free 플랜 학습 옵션이 원인"

핵심 요약

국내 대기업 2곳에서 임직원이 ChatGPT Free 플랜에 회사 내부 정보를 입력한 결과, 해당 정보가 OpenAI 학습 데이터로 활용되어 다른 사용자의 답변에 단편적으로 노출된 사고가 5월 12일 공식 확인됐다. KISA·해당 기업·OpenAI가 합동 조사 중이며, OpenAI는 "Free 플랜 학습 옵트아웃을 더 강하게 표시하겠다"고 발표했다.

• 피해 기업: 국내 대기업 A (반도체), B (이커머스) — 회사명 비공개
• 유출 형태: 내부 코드 일부, 계약 관련 텍스트 단편
• 원인: 직원이 Free 플랜 사용 + 학습 옵트아웃 미설정
• OpenAI 대응: 학습 데이터에서 해당 데이터 제거 + 5월 31일까지 모든 모델 재학습

어떻게 노출됐나

OpenAI의 ChatGPT Free·Plus 플랜은 기본적으로 사용자 입력을 학습 데이터로 활용할 수 있다(옵트아웃 가능). 반면 Team·Enterprise 플랜은 학습 사용 안 함이 디폴트.

이번 사고는 (1) 임직원이 Free 또는 Plus 사용, (2) 회사 내부 코드·문서 입력, (3) 학습 옵트아웃 미설정 — 세 조건이 모두 충족된 경우 발생했다.

유출 사례

• 사례 1 — 코드 단편 노출: 다른 사용자가 비슷한 코딩 질문을 하자 모델이 A사 내부 함수명·내부 상수값을 답변에 포함
• 사례 2 — 계약 문구: 한 외주 개발자가 "샘플 계약서"를 요청했을 때 B사 계약서 일부 표현이 그대로 등장

두 사례 모두 "전체 문서 통째"가 아닌 "단편적 텍스트"이지만, 보안 관점에선 명백한 사고다.

OpenAI 입장

OpenAI Korea는 5월 12일 오후 공식 입장문을 냈다.

"이번 사고는 두 회사 사용자가 학습 옵트아웃을 설정하지 않은 상태에서 민감 정보를 입력해 발생했습니다. OpenAI는 학습 데이터에서 해당 데이터를 즉시 제거하고, 5월 31일까지 모든 ChatGPT 모델을 재학습합니다. 또한 Free·Plus 플랜에서 '학습 사용 안 함' 옵션을 사용자 가입 시 첫 화면에 명시적으로 안내하도록 변경합니다."

해당 기업 입장

• A사 (반도체): "내부 코드 일부가 외부로 갔다. 임직원의 ChatGPT 사용 정책을 전면 재검토하고, 사내 LLM(이미 운영 중)으로 일원화하기로 했다"
• B사 (이커머스): "단편 텍스트라 비즈니스 영향은 없으나, 직원 교육 미흡을 인정. 외부 LLM 사용 시 Team 플랜 이상으로 통일하는 방침"

각 플랜의 학습 정책 (2026년 5월 기준)

업계 반응

이 사고로 한국 기업의 "임직원 AI 사용 정책" 점검이 빠르게 이뤄지고 있다.

• 네이버·카카오: 임직원의 외부 AI 도구 사용을 사내 LLM으로 일원화하는 정책 강화
• 삼성·LG: 이미 작년부터 외부 AI 사용 통제 — 이번 사고로 정책 정당화
• 토스·당근·라인: ChatGPT Team/Enterprise 또는 Anthropic API 사용 의무화
• 중견·중소: 외부 AI 사용 가이드라인 부재가 가장 큰 문제로 부각

전문가 코멘트

박종승 KISA 책임연구원은 "이번 사고는 OpenAI의 정책 변경만으로 해결되지 않는다. 핵심은 '직원이 어떤 도구에 무엇을 입력하는지'에 대한 기업 차원의 통제"라며 "외부 AI 사용 정책·내부 LLM 운영·DLP(Data Loss Prevention) 도구의 조합이 필수"라고 강조했다.

실무 권고

• 회사 정책: 외부 AI 도구 사용 가이드라인 명문화 (어떤 데이터를 어디까지 입력 가능한지)
• 플랜: 기업은 반드시 Team 이상 또는 API 사용 (학습 미사용 기본)
• 교육: 임직원에 학습 옵트아웃 설정법 교육
• 모니터링: 사내 네트워크에서 LLM 도구로 가는 트래픽 모니터링 (DLP)
• 대안: 사내 LLM(Claude Workspaces, Enterprise GPT, 또는 자체 호스팅) 우선 권장