"ChatGPT 기업용 플랜을 쓰면 안전한가요?"
보안팀장 이 부장의 질문입니다. 직원들은 업무에 AI가 필요하다고 하고, 경영진은 생산성 향상을 원합니다. 하지만 고객 정보와 영업 기밀이 외부로 유출되면 회사 존립이 위태로워집니다.
ChatGPT Enterprise는 기업 데이터를 학습에 사용하지 않는다고 합니다. SOC 2 Type 2 인증도 있고, 암호화도 제공한다고 합니다. 그렇다면 정말 안전할까요?
이 글에서는 챗GPT 기업용의 실체를 객관적으로 살펴보고, 보안이 중요한 기업에서 안전하게 사용하는 방법, 그리고 더 나은 대안까지 정리합니다.
챗GPT 기업용이란? 플랜별 차이와 기능
ChatGPT에는 두 가지 기업용 플랜이 있습니다.
ChatGPT Business
소규모 팀을 위한 플랜입니다. 2명 이상이면 바로 시작할 수 있습니다.
셀프서브 방식으로 직접 신청하면 즉시 사용할 수 있습니다. 별도의 영업 미팅이나 계약 협의가 필요 없어 빠른 도입이 가능합니다.
비용은 1인당 월 25달러입니다. 연간 결제 시 이 가격이 적용되며, 월간 결제는 더 비쌉니다.
주요 기능으로는 기업 데이터 비학습, 무제한 GPT-4 사용, 32K 컨텍스트(약 2만 4천 단어), 관리자 콘솔이 제공됩니다.
ChatGPT Enterprise
대규모 조직이나 중앙 관리가 필요한 기업을 위한 플랜입니다.
OpenAI 판매팀을 통해 협의해야 하며, 회사 규모와 필요에 따라 맞춤 계약을 진행합니다.
비용은 공개되지 않습니다. 사용자 수, 사용량, 필요한 기능에 따라 개별 견적을 받아야 합니다.
Business에는 없는 추가 기능이 제공됩니다. SSO(Single Sign-On)로 회사 계정 통합 로그인이 가능하고, 도메인 검증으로 회사 이메일만 가입할 수 있습니다. SCIM으로 퇴사자 계정을 자동으로 비활성화하고, 역할 기반 권한으로 팀별·직급별 접근을 제어합니다.
128K 컨텍스트(약 9만 6천 단어)로 더 긴 문서를 처리할 수 있고, 무제한 고속 GPT-4와 사용 현황 분석 대시보드가 제공됩니다. DPA(Data Processing Agreement)로 법적 데이터 처리 계약도 체결할 수 있습니다.
공통 보안 특징
두 플랜 모두 기업 데이터를 모델 학습에 사용하지 않는다고 명시합니다. 전송 중과 저장 중 데이터를 암호화하며, SOC 2 Type 2 인증을 보유하고 있습니다.
주요 활용 방식
문서 요약, 회의록 정리, 제안서 초안, 이메일 작성이 가장 흔한 용도입니다.
Google Drive나 SharePoint를 연결하면 내부 문서를 검색할 수 있습니다. 데이터 분석 보조, 번역, 리서치에도 활용됩니다.
구분 | ChatGPT Business | ChatGPT Enterprise |
|---|---|---|
최소 인원 | 2명 | 협의 |
비용 | $25/인/월 | 맞춤 견적 |
SSO | ✗ | ✓ |
도메인 검증 | ✗ | ✓ |
컨텍스트 | 32K | 128K |
구매 방식 | 셀프서브 | 판매팀 협의 |
챗GPT 기업용, 보안 위험 5가지
OpenAI는 Enterprise 데이터를 학습에 사용하지 않고 암호화를 제공한다고 밝힙니다. 하지만 보안 위험은 제품 자체보다 설정과 운영 방식에서 발생합니다.
민감정보 입력 유출
직원이 프롬프트에 고객 개인정보, 계약서 원문, 소스코드, 재무 정보를 직접 입력하면 유출 위험이 있습니다.
Enterprise는 학습하지 않는다고 해도, 데이터가 OpenAI 서버로 전송되는 것 자체가 문제입니다. 서버가 해킹당하거나, 내부자가 접근하거나, 법적 요구로 공개될 가능성을 배제할 수 없습니다.
"지난달 고객별 계약 조건 정리해줘"처럼 무심코 민감 정보를 입력하는 순간, 통제권을 잃게 됩니다.
커넥터 권한 과다
Google Drive, Slack, SharePoint 같은 연결 기능을 활성화하면 편리합니다. 하지만 접근 가능한 문서 범위가 넓어져, 권한 설계가 약하면 비인가 열람 위험이 커집니다.
직원이 본인 부서 문서만 봐야 하는데, ChatGPT 커넥터는 전사 Drive에 접근 가능하게 설정되어 있다면 어떻게 될까요? 의도치 않은 정보 유출이 발생합니다.
"우리 회사 모든 계약서 검색해줘"라는 질문 하나로 접근 권한 밖의 문서까지 조회할 수 있습니다.
내부자 오남용
권한이 있는 직원이 검색과 요약 기능을 이용해 대량으로 민감정보를 추출할 수 있습니다.
"우리 회사 전체 직원 연봉 순위", "모든 고객 계약 조건 요약" 같은 질문으로 본인 권한 밖의 데이터를 간접적으로 수집하는 경우입니다.
특히 퇴사를 앞둔 직원이 경쟁사로 이직하기 전에 대량의 정보를 챗GPT로 정리해가는 시나리오는 현실적인 위협입니다.
섀도우 AI
승인되지 않은 개인용 ChatGPT나 다른 AI 도구를 병행 사용하면 중앙 통제가 깨집니다.
직원이 "Enterprise는 불편하니까 개인 계정으로 하자"며 회사 데이터를 개인 ChatGPT에 입력하는 순간, 모든 보안 통제가 무의미해집니다.
관리자는 Enterprise에서만 로그를 확인할 수 있지만, 개인 계정 사용은 추적조차 불가능합니다.
규제 위반
PII(개인식별정보), PHI(건강정보), 개인정보가 AI 응답에 섞여 나오면 GDPR, CCPA, HIPAA 같은 규정 위반 리스크가 생깁니다.
특히 금융권은 금융감독원 규정상 고객 정보를 외부 서버로 전송하는 것 자체가 문제가 될 수 있습니다. 공공기관은 전자정부법과 개인정보보호법의 엄격한 제한을 받습니다.
의료기관이 환자 정보를 ChatGPT에 입력했다가 HIPAA 위반으로 거액의 과징금을 물게 된 사례도 있습니다.
보안 위험 | 발생 경로 | 잠재적 영향 |
|---|---|---|
민감정보 입력 | 직원이 프롬프트에 직접 입력 | 데이터 유출, 법적 책임 |
커넥터 권한 과다 | Drive/Slack 연결 범위 과다 | 비인가 열람, 내부 유출 |
내부자 오남용 | 권한 있는 직원의 대량 추출 | 기밀 유출, 경쟁사 이동 시 위험 |
섀도우 AI | 개인 계정 병행 사용 | 중앙 통제 무력화 |
규제 위반 | PII/PHI 외부 전송 | GDPR/HIPAA 위반, 과징금 |
안전하게 사용하려면? 설정 과정과 대처법
챗GPT 기업용을 안전하게 사용하려면 7가지 필수 설정이 필요합니다.
1단계: 데이터 분류
모든 데이터를 4등급으로 나눕니다.
공개 등급은 외부 공개가 가능한 마케팅 자료, 보도자료입니다. 내부 등급은 직원끼리 공유 가능한 회의록, 일반 보고서입니다. 민감 등급은 부서나 직급에 따라 제한되는 영업 전략, 프로젝트 계획입니다. 극민감 등급은 임원 또는 특정 인가자만 접근 가능한 재무제표, 인사평가, 계약서입니다.
민감 이상 등급은 ChatGPT 입력 금지가 원칙입니다.
2단계: SSO, MFA, SCIM 설정
SSO(Single Sign-On)로 회사 계정으로만 로그인하게 합니다. 개인 이메일로 가입하는 것을 원천 차단합니다.
MFA(다중인증)로 비밀번호와 인증앱을 함께 사용합니다. 계정 탈취 위험을 크게 낮춥니다.
SCIM으로 퇴사자 계정을 자동으로 비활성화합니다. HR 시스템에서 퇴사 처리하면 ChatGPT 접근도 자동으로 차단됩니다.
이 설정이 없으면 퇴사자가 계속 접근하거나, 개인 계정으로 우회 사용할 수 있습니다.
3단계: 커넥터 최소권한 설정
기본은 모든 커넥터 비활성화입니다. Google Drive, SharePoint, Slack 연결을 모두 끄고 시작합니다.
꼭 필요한 저장소만 허용하고, 각 저장소의 권한도 최소권한으로 재설계합니다.
예를 들어 영업팀은 영업 Drive만, 인사팀은 인사 Drive만 연결하는 방식입니다. 전사 Drive를 통째로 연결하면 안 됩니다.
4단계: GPT 공유와 외부 액션 통제
승인된 도메인 목록을 작성합니다. 우리 회사 도메인과 협력사 도메인만 허용하고, 나머지는 차단합니다.
그룹별 GPT 생성과 공유 권한을 분리합니다. 모든 직원이 GPT를 만들고 공유할 수 있게 하면 통제가 어렵습니다.
Third-party GPT 사용 시 관리자 승인을 필수로 합니다. 외부에서 만든 GPT는 어떤 데이터를 어디로 전송하는지 알 수 없기 때문입니다.
5단계: 보관과 삭제 정책 명문화
데이터 보관 기간을 정의합니다. 대화 내역을 얼마나 보관할 것인지, 언제 삭제할 것인지 명확히 합니다.
삭제 요청 처리 절차를 만듭니다. 직원이나 고객이 데이터 삭제를 요청하면 어떻게 처리할 것인지 문서화합니다.
로그 감사 범위와 주기를 정합니다. 누가 언제 무엇을 조회했는지 정기적으로 점검하는 절차가 필요합니다.
법무팀, 보안팀, IT팀이 함께 문서화해야 합니다.
6단계: DLP와 감사 로그 연동
DLP(Data Loss Prevention)를 설정합니다. 프롬프트와 출력에서 주민번호, 카드번호, 소스코드 핵심, 계약 문구가 나가면 차단 또는 경고가 뜨게 설계합니다.
정규식으로 주민번호 패턴(000000-0000000)을 감지하거나, 키워드로 "계약서", "기밀" 같은 단어를 필터링합니다.
감사 로그를 주기적으로 점검합니다. 누가 어떤 질문을 했는지, 어떤 문서에 접근했는지 리뷰하는 절차가 필요합니다.
7단계: 파일럿으로 시작
비민감 업무부터 1개 팀(5~10명)에서 검증한 뒤 전사 확대하는 방식이 사고를 줄입니다.
회의록 정리, 공개 자료 리서치, 초안 작성처럼 민감하지 않은 업무로 시작합니다. 3개월 정도 운영하면서 문제점을 파악하고 보완합니다.
검증이 끝난 후에야 전사로 확대합니다.
허용 업무 vs 금지 업무
허용 | 금지 |
|---|---|
회의록 정리 | 고객 원장 입력 |
비식별 문서 요약 | 주민등록번호 입력 |
공개 자료 리서치 | 의료기록 입력 |
초안 작성 | 핵심 소스코드 입력 |
번역 | 계약서 원문 입력 |
현실: 이 모든 과정이 번거롭습니다
SSO 설정, 커넥터 권한 재설계, DLP 연동, 로그 감사 체계 구축... 전문 인력과 시간이 필요합니다.
보안팀은 정책을 만들고, IT팀은 기술을 구현하고, 법무팀은 계약을 검토해야 합니다. 중소기업에는 부담스러운 수준입니다.
더 큰 문제는 실시간 데이터입니다. ChatGPT는 Drive와 SharePoint를 읽을 수 있지만, ERP나 MES 같은 사내 시스템과 직접 연결하기는 어렵습니다.
"지난달 서울 지역 매출"을 물어도, ChatGPT는 ERP DB를 직접 조회할 수 없습니다. 누군가 수동으로 데이터를 추출해 Drive에 올려야 합니다.
이런 기업이라면? 다비스(DARVIS)를 고려하세요
세 가지 질문을 던져보세요.
첫째, 우리 회사는 데이터가 외부 서버로 나가는 것 자체를 허용할 수 없는가?
둘째, ERP, MES, HR 같은 실시간 사내 데이터를 AI가 직접 조회해야 하는가?
셋째, 복잡한 커넥터 설정과 DLP 구축이 부담스러운가?
세 가지 모두 YES라면, 다비스(DARVIS)가 정답입니다.
데이터가 외부로 나가지 않습니다
ChatGPT Enterprise는 클라우드 기반입니다. 데이터를 학습하지 않아도 OpenAI 서버로 전송됩니다. 아무리 암호화를 해도 데이터가 회사 밖으로 나가는 것은 변하지 않습니다.
다비스(DARVIS)는 온프레미스입니다. 사내 폐쇄망에 설치되어 데이터가 물리적으로 외부로 나갈 수 없습니다. 망 분리가 의무인 금융권, 공공기관, 국방 관련 기업에서도 안심하고 사용할 수 있습니다.
실시간 사내 데이터를 바로 조회합니다
ChatGPT는 커넥터로 Drive, SharePoint를 읽지만 ERP, MES는 직접 연결이 어렵습니다. 누군가 데이터를 추출해 문서로 만들어야 합니다.
다비스(DARVIS)는 txt2SQL로 "지난달 A라인 불량률"처럼 자연어 질문을 즉시 SQL 쿼리로 변환해 실시간 DB를 조회합니다. 3초 이내에 정확한 수치를 제공합니다.
"이번 주 서울 지역 A제품 판매량"을 물으면, 다비스(DARVIS)가 ERP 서버로 직접 가서 데이터를 읽어옵니다. 수동 작업이 필요 없습니다.
복잡한 설정 없이 기존 권한 체계를 그대로 사용합니다
ChatGPT는 커넥터마다 권한을 다시 설정해야 합니다. Drive 권한, SharePoint 권한, Slack 권한을 각각 관리해야 하고, 이 과정이 매우 복잡합니다.
다비스(DARVIS)는 기존 ERP, HR 시스템의 권한 체계를 그대로 유지합니다. 사원은 사원 데이터만, 팀장은 팀 데이터만 자동으로 조회됩니다. 새로운 권한 체계를 만들 필요가 없습니다.
데이터를 저장하지 않고 즉시 폐기합니다
ChatGPT는 대화 내역이 서버에 보관됩니다. 삭제 요청을 해도 즉시 삭제되는지, 백업에는 남아있는지 확실하지 않습니다.
다비스(DARVIS)는 조회 후 결과만 전달하고 원본 데이터는 즉시 폐기합니다. "지난달 매출은 3억입니다"라는 답변만 남고, 그 과정에서 읽어온 원본 데이터는 흔적 없이 사라집니다.
GUARDIA 보안 시스템으로 모든 접근 이력을 감사 로그에 투명하게 기록합니다. 누가, 언제, 어떤 데이터를 조회했는지 100% 추적 가능합니다.
평균 1.5개월이면 전사 적용이 가능합니다
ChatGPT는 SSO 설정, 커넥터 권한 재설계, DLP 연동, 파일럿 검증에 시간이 오래 걸립니다. 빠르면 3개월, 길면 6개월 이상 소요됩니다.
다비스(DARVIS)는 기존 시스템을 건드리지 않고 논리적으로만 연결하므로 구축이 빠릅니다. 데이터를 옮기지 않으니 마이그레이션 작업이 필요 없고, 기존 인프라를 그대로 활용합니다.
구분 | ChatGPT Enterprise | 다비스(DARVIS) |
|---|---|---|
설치 방식 | 클라우드 (SaaS) | 온프레미스 |
데이터 전송 | OpenAI 서버로 전송 | 외부 전송 없음 |
실시간 DB 조회 | 제한적 (커넥터 필요) | txt2SQL 직접 조회 |
권한 관리 | 커넥터별 재설정 | 기존 체계 유지 |
데이터 보관 | 서버에 대화 기록 | 즉시 폐기 (휘발성) |
구축 기간 | 3~6개월 | 평균 1.5개월 |
감사 로그 | 제한적 | 100% 투명 기록 |
금융/공공 적합성 | 규정 확인 필요 | 망 분리 환경 가능 |
우리 회사에 맞는 선택은?
ChatGPT Enterprise가 적합한 경우
보안 규제가 상대적으로 낮은 업종입니다. IT 서비스, 일반 제조, 유통 등 외부 서버 전송에 큰 제약이 없는 기업입니다.
Google Drive, SharePoint 중심 업무라면 연동이 쉽습니다. 문서 작성, 요약, 번역이 주 목적이고 실시간 DB 조회가 필요 없는 경우입니다.
클라우드 서비스에 거부감이 없고, 이미 Google Workspace나 Microsoft 365를 클라우드로 사용 중이라면 ChatGPT도 자연스럽게 도입할 수 있습니다.
범용 문서 작성과 요약이 주 목적이고, 특정 시스템과의 깊은 통합이 필요 없다면 적합합니다.
다비스(DARVIS)가 적합한 경우
금융, 제조, 공공기관처럼 보안 규제가 엄격한 업종입니다. 금융감독원, 개인정보보호위원회, 전자정부법의 제약을 받는 기업입니다.
데이터 외부 전송 자체가 규정 위반입니다. 망 분리가 의무이거나, 고객 정보를 외부 서버로 보낼 수 없는 경우입니다.
ERP, MES 같은 실시간 사내 데이터 조회가 핵심입니다. "지난주 생산량", "이번 달 매출", "현재 재고" 같은 질문에 즉시 답변받아야 하는 기업입니다.
복잡한 커넥터 설정과 DLP 구축이 부담스럽습니다. IT 인력이 부족하거나, 빠른 도입이 필요한 중소·중견 기업입니다.
망 분리 환경에서 운영해야 합니다. 외부 인터넷과 완전히 차단된 폐쇄망에서 AI를 써야 하는 기업입니다.
우리 회사에 던져야 할 질문
"우리 회사 데이터가 외부 서버로 전송되어도 괜찮은가?"
이 질문에 NO라면, 다비스(DARVIS)를 선택하세요.
보안은 타협의 대상이 아닙니다. 가장 안전한 데이터는 움직이지 않는 데이터입니다.
챗GPT 기업용은 분명 강력한 도구입니다. 하지만 클라우드 기반이라는 근본적 한계가 있습니다. 보안이 최우선인 기업이라면, 온프레미스 기반의 다비스(DARVIS)가 더 안전한 선택입니다.
실용적인 AI 활용 인사이트 및 최신 트렌드를 알아보고 싶으시다면 디피니트 다비스(DARVIS) 블로그를 구독해 보세요. AI 활용 노하우와 실제 사례를 통해 업무 생산성을 높이는 방법을 공유합니다.
더 많은 AI 인사이트를 보고 싶으시다면 'AI 인사이트 더 보러가기'를 통해 둘러보시면 도움이 되실 겁니다. 감사합니다.