생성형 AI를 업무에 활용하며 개인정보와 기밀정보 유출 위협이 심화되고 있다는 내용은 다들 아실 겁니다.
이 소식을 들은 대다수의 분들은 아마 이렇게 생각하셨을 겁니다.

“대체 누가 생성형 AI에 개인정보랑 기밀정보를 올려???”

저는 생성형 AI 데이터 보안 솔루션 ‘Sphinx AI(스핑크스 에이아이)’를 기획하며
‘생성형 AI 사용자가 어떻게 개인정보와 기밀정보를 유출하게 될까?’​에 대해 정말 많이 고민했는데요.​

이 과정에서 여러 개발자 및 기획자들과 논의하며 ‘그렇게도 유출될 수 있겠다’하는 다양한 사례를 접할 수 있었습니다.

그 와중에 ‘어.. 나도 GPT에 그렇게 물어본 적 있는데..’ 라고 답하는 분도 있었습니다.

여러분들의 좀 더 안전한 생성형AI 활용을 위해
생성형 AI 데이터 유출 사례들을 공유해볼까 합니다.​

※ 아래 사례에 나오는 개인정보·기밀정보는 모두 예시를 보여드리기 위해 조작된 정보입니다.

​사실 처음부터 생성형 AI에 개인정보·민감정보를 입력하는 사람은 없습니다. 어 이것도 되네? 저것도 되네? 하다가 생성형AI가 주는 편리함에 취해 모든 것을 프롬프트에 올려버리는 불상사가 일어나 버리고 마는 것인데요.

사례로 하나씩 만나보시죠.

생성형AI가 가장 잘하는 것 중 하나가 바로 데이터 정리 아닐까 싶습니다. 엑셀에서 복잡한 함수를 적용해야 하는 작업도, 생성형 AI에게는 한 마디만 하면 간편하게 해결할 수 있어 많은 분들이 활용하고 계시죠.

하지만 이 과정에서 개인정보와 기밀정보가 유출되는 사례가 많습니다.

간단한 예로, 고객의 이름과 주민번호를 프롬프트에 그대로 올리고 연령대를 구분해달라고 요청하는 사례가 있을 수 있습니다.
혹은 주소를 모두 올리고 시,도 당 몇 개인지 통계를 묻는다는지 서식을 정리해달라고 하는지 등의 요청을 할 수 있겠죠.

또다른 예로는 제안서 작성할 때, 근속일수 많이 계산하실텐데요. 이때 생성형 AI에 질문하면 간편하게 해결할 수 있지만, 개인정보 및 기업정보 유출 위험이 발생할 수 있습니다.

​여기서 ‘아니, 이름이랑 입사일 정도 입력하는 게 개인정보 유출이야?’ 라고 생각하실 수 있는데요. 입사일과 이름은 개별적으로 보면 개인정보가 아닐 수 있지만, 결합 시 특정인으로 식별 가능하기 때문에 개인정보로 간주될 수 있습니다.

즉, <김길동> <2005년 3월 16일 입사> 라는 두개의 개별적인 정보는 개인정보가 아닙니다. 하지만, <2005년 3월 16일에 ABC회사에 입사한 김길동씨> 는 특정인으로 쉽게 식별될 수 있으므로 개인정보로 인정될 가능성이 큽니다.

생성형 AI를 번역기로 활용하는 분들이 정말 많습니다. 하지만 번역 과정에서 개인정보 유출 위험이 있다는 점을 간과하는 경우가 많죠.

특히, 번역이란 모르는 언어를 AI에 입력하는 과정이다 보니, 사용자가 별다른 경각심 없이 기밀 정보나 개인정보가 포함된 문장을 그대로 입력하는 일이 흔합니다

한 글로벌 기업의 고객센터 직원이 해외 고객의 문의 내용을 번역하려고 생성형 AI에 입력한 사례입니다. 해당 입력 프롬프트에는 은행명, 계좌명 등의 민감한 정보가 다량 포함되어 있었습니다. 고객의 금융정보 유출 사고가 발생한 것입니다. 실제 사례였다면, 위 회사는 법적 책임을 물을 수 있었겠죠.

이 밖에 해외 채용 시 지원자 이력서 번역 요청, 기업 중요 문서 번역 요청 등의 유출 사례가 있을 수 있습니다. 이러한 경우 거의 문서를 통으로 올려 번역을 요청하기 때문에 개인정보 및 기밀정보의 유출범위가 큽니다.

또 번외로 여러분들 요즘 해외여행 많이 가시죠? 숙소나 액티비티 등 예약하면서 바우처들 메일로 많이 주고 받으실텐데, 생성형 AI에 번역 요청 시 이름, 예약번호, 날짜 등 개인정보가 될만한 것들 모두 제외하고 올리시길 바랍니다. 😱

성형 AI로 PR이나 SNS 포스팅 글을 많이 작성하실텐데요. 하지만, 이 과정에서 ​기업명, 출시 전 제품 정보, 내부 전략 등이 필터링 없이 포함된다면 기밀정보 유출 위험이 발생할 수 있습니다.

위 사례는 단순한 예시이므로 위험도가 낮아 보일 수 있지만,

📍 만약 기업의 주요 사업 계획이었다면?
📍 공무원이 정부 정책 초안을 AI에 입력했다면?
📍 내부 기획 단계의 신규 투자전략 정보였다면?

이런 기밀 정보가 사전 유출될 경우, 기업의 경쟁력 손실, 법적 문제, 시장 혼란 등이 발생할 수 있습니다.

생성형 AI 데이터 보안 솔루션, Sphinx AI (스핑크스 에이아이)를 소개합니다.

Sphinx AI는 기업 내 생성형 AI 활용 시 발생 가능한 개인정보·기밀정보 유출 위험을 사전에 차단하고, 보안성을 강화하는 솔루션입니다.

ChatGPT, Gemini, Claude 등의 상용 LLM과의 연동을 중계하며, 기업이 생성형 AI를 활용하며, 개인정보와 기밀정보 유출을 방지할 수 있도록 합니다. Sphinx AI가 제공하는 주요 기능은 아래와 같습니다.

• 프롬프트에 입력되는 개인정보 및 기밀정보(이름, 주민번호, 계좌번호, 주소, 기업 기밀 정보 등) 자동으로 감지
• 민감정보에 대해 입력 차단, 마스킹 등 정책 설정 가능​

• 첨부파일 및 이미지 업로드 원천 차단부터 특정 확장자만 업로드 허용 등 유연한 정책 설정

• 첨부파일 내 개인정보 존재 여부를 자동으로 분석하고 확인할 수 있는 기능 제공

• 사내에서 발생한 프롬프트 이슈데이터에 대해 로그를 남겨 모니터링 가능
• 보다 원활한 모니터링을 위한 대시보드 제공

생성형 AI의 혁신, 이제 보안과 함께하세요. ​Sphinx AI는 프롬프트에 개인정보와 기밀 정보 입력을 사전에 차단해, 기업이 안심하고 생성형 AI를 활용할 수 있도록 지원합니다.

👉 Sphinx AI 자세히 보기
👉 제품 문의하기

#생성형AI보안 #생성형AI데이터보안 #LLM데이터보안 #LLM보안 #ChatGPT보안 #챗지피티보안 #생성형AI데이터유출방지 #생성형AI정보유출방지 #프롬프트유출 #프롬프트인젝션 #생성형AI보안솔루션 #AI데이터유출방지 #AI솔루션관리 #생성형AI데이터관리 #RAG #기업용생성형AI보안솔루션 #DLP #이원화정책 #AI망분리보안 #생성형AI콘텐츠모니터링 #생성형AI리스크관리