최근 AI 인재 매칭 플랫폼 머코(Mercor)가 대규모 보안 사고를 당했습니다. 100억 달러 규모로 평가받는 이 스타트업은 공급망 공격을 받아 사용자 데이터가 유출될 위험에 노출됐어요.

이번 사고는 LiteLLM이라는 AI 모델 관리 도구를 통해 발생했습니다. 해커들이 이 도구에 악성 코드를 심어 연결된 여러 AI 서비스에 동시에 영향을 미쳤거든요.

대형 AI 기업도 이런 사고를 피할 수 없다는 게 드러났습니다. 그렇다면 일반 사용자인 우리는 어떻게 대비해야 할까요?

AI 서비스마다 개인정보 처리 방식이 다릅니다. 먼저 각 서비스의 개인정보 처리방침을 확인해보세요.

ChatGPT는 대화 내용을 모델 학습에 사용할 수 있다고 명시하고 있어요. 반면 Claude는 사용자가 명시적으로 허용하지 않으면 학습에 사용하지 않습니다.

구글 바드나 빙 챗 같은 서비스는 각각 구글과 마이크로소프트의 데이터 정책을 따릅니다. 서비스 약관에서 '데이터 보존 기간'과 '제3자 공유 여부'를 특히 주의 깊게 봐야 해요.

• 서비스 설정에서 '데이터 사용 동의' 항목 확인하기
• 대화 기록 자동 저장 여부와 보존 기간 살펴보기
• 모델 학습 데이터 사용 허용 여부 설정 변경하기

AI 서비스를 쓸 때 개인정보를 최소한으로 입력하는 게 가장 확실한 보안 방법입니다. 실명 대신 가명을 쓰고, 구체적인 회사명이나 프로젝트명은 'A회사', 'B프로젝트' 같은 식으로 바꿔서 질문하세요.

문서 작업을 할 때도 민감한 정보는 미리 제거하고 업로드합니다. 주민번호, 전화번호, 이메일 주소 같은 개인식별정보는 절대 입력하지 마세요.

질문을 할 때도 '우리 회사 직원 김철수가...' 대신 '한 직장인이...' 같은 식으로 일반화해서 물어보면 됩니다. AI는 맥락을 충분히 이해하면서도 개인정보는 보호할 수 있어요.

• 실명 대신 가명이나 이니셜 사용하기
• 회사명, 제품명 등은 알파벳이나 가명으로 대체
• 구체적인 금액, 날짜, 위치 정보 최소화하기
• 문서 업로드 전 개인식별정보 삭제 확인

보안을 우선시한다면 로컬에서 실행되는 AI 도구를 고려해보세요. 올라마(Ollama) 같은 도구로 컴퓨터에서 직접 AI 모델을 실행하면 데이터가 외부로 전송되지 않습니다.

클라우드 기반 서비스 중에서는 유럽 GDPR 준수 여부를 확인하는 게 좋아요. GDPR을 따르는 서비스는 상대적으로 엄격한 개인정보 보호 기준을 적용하거든요.

기업용 버전이 있는 AI 서비스는 개인용보다 보안 기능이 강화된 경우가 많습니다. ChatGPT Plus나 Claude Pro 같은 유료 서비스가 무료 버전보다 데이터 보호 옵션이 더 많아요.

• 로컬 실행 가능한 오픈소스 AI 모델 활용
• GDPR, SOC 2 같은 보안 인증 보유 여부 확인
• 데이터 암호화와 접근 제어 기능 지원 여부

AI 서비스에서 보안 사고가 발생했다는 소식을 들으면 즉시 비밀번호를 변경하세요. 특히 다른 서비스와 같은 비밀번호를 쓰고 있다면 모두 바꿔야 합니다.

해당 서비스의 대화 기록이나 업로드한 파일을 삭제할 수 있다면 바로 삭제하세요. 대부분의 AI 서비스는 사용자가 직접 데이터를 지울 수 있는 기능을 제공해요.

신용카드나 계좌 정보를 입력했다면 카드사나 은행에 연락해서 모니터링을 강화해달라고 요청하는 것도 방법입니다. 이상 거래가 발생하면 즉시 알림을 받을 수 있거든요.

• 비밀번호 즉시 변경 (다른 서비스 포함)
• 저장된 대화 기록과 업로드 파일 삭제
• 금융 정보 입력했다면 카드사/은행에 모니터링 요청
• 2단계 인증 활성화로 계정 보안 강화

새로운 AI 서비스를 시작하기 전에 5분만 투자해서 보안 설정을 확인하는 습관을 만드세요. 대화 기록 저장 여부, 데이터 학습 사용 동의, 제3자 공유 설정 등을 미리 점검하면 됩니다.

정기적으로 사용하지 않는 AI 서비스 계정을 정리하는 것도 중요해요. 방치된 계정은 보안 위험이 될 수 있거든요.

AI 서비스 관련 보안 뉴스를 주기적으로 확인하는 것도 좋습니다. 새로운 취약점이나 사고 소식을 빨리 알면 그만큼 빨리 대응할 수 있어요.