美 직장인 4명 중 1명, AI에 민감정보 무분별 입력… “보안 사각지대 심각”

챗GPT와 제미나이 같은 생성형 AI 도구가 직장에서 필수 도구로 자리 잡았지만, 많은 직장인들이 회사의 민감한 데이터를 무심코 AI에 입력하며 보안 위험을 키우고 있다는 조사 결과가 나왔다. PDF 중심의 온라인 생산성 SaaS 회사 스몰PDF(Smallpdf)가 미국 직장인 1,000명을 대상으로 실시한 설문조사에 따르면, AI 도입 속도가 기업의 보안 대책을 크게 앞지르면서 기업들이 데이터 유출과 규정 위반에 무방비로 노출된 것으로 드러났다.

미국 직장인 78%, 주 1회 이상 업무에 AI 활용

조사에 따르면 미국 직장인 4명 중 3명 이상인 78%가 최소 주 1회 이상 업무에 생성형 AI 도구를 사용하는 것으로 나타났다. 가장 많이 사용되는 업무용 생성형 AI 도구로는 챗GPT가 68%로 압도적이었고, 코파일럿(Copilot)과 제미나이가 각각 12%로 뒤를 이었다.

업종별로는 기술, 교육, 헬스케어, 금융, 제조업 순으로 AI를 주간 단위 이상 활용하는 비율이 높았다. 부서별로는 마케팅·광고·커뮤니케이션 부서가 86%로 가장 높았고, IT 또는 소프트웨어 개발 부서도 86%, HR 또는 인사 운영 부서가 85%로 뒤를 이었다. 직급별로는 고위 관리자의 90%가 주 여러 차례 이상 AI를 사용해 가장 높은 활용도를 보였고, 중간 관리자 85%, 초급 관리자 81%, 임원 및 고위 리더십 81% 순이었다.

직장인 26%, 민감 정보를 AI에 입력… 독점 제품 정보 38%로 가장 많아

미국 직장인 4명 중 1명 이상인 26%가 업무용 생성형 AI 도구에 민감 정보를 입력한 경험이 있는 것으로 나타났다. AI 도구를 사용하는 직장인들이 입력한 민감 정보의 유형을 살펴보면, 독점 제품 정보가 38%로 가장 높았다. 개인 직원 세부 정보와 실명이 포함된 계약 세부 사항도 각각 38%를 기록했다. 이어 내부 회사 재무 정보가 28%, 로그인 자격 증명이나 비밀번호가 19%, 비공개 건강 또는 의료 기록이 16%였다.

더욱 우려스러운 점은 직장인 5명 중 1명에 가까운 17%가 민감한 세부 정보를 제거하거나 익명화하지 않은 채 AI 도구에 입력한다고 응답했다는 사실이다. 또한 직장인 5명 중 1명에 가까운 18%가 실제 고객이나 클라이언트의 이름을 AI 도구에 입력했다고 답했다. 이는 많은 직장인들이 AI 프롬프트에 정보를 입력할 때 보안 위험을 제대로 인식하지 못하고 있음을 보여준다.

브레인스토밍에 62% 활용… 고객 이메일 작성에도 39% 사용

직장인들의 AI 활용 방식도 다양하게 나타났다. 아이디어 브레인스토밍이나 창의적 콘텐츠 생성이 62%로 가장 많았고, 회의록이나 녹취록 요약이 43%, 고객 이메일 초안 작성이 39%, 내부 메모나 보고서 작성이 33%로 뒤를 이었다. 전략 문서나 제안서 작성 28%, 코드나 스크립트 생성 24%, 계약서나 법률 문서 작성 10% 순이었다.

특히 고객 이메일 초안 작성에 39%가 AI를 활용하고 있다는 점은 주목할 만하다. 이 과정에서 고객 정보나 거래 내용 등 민감한 정보가 AI에 입력될 가능성이 높기 때문이다. 이처럼 다양한 업무에서 AI를 활용하면서 민감 정보 노출 위험도 함께 커지고 있는 상황이다.

5명 중 1명, 로그인 정보까지 AI에 입력

직장인 5명 중 1명에 가까운 19%가 로그인 자격 증명을 생성형 AI 도구에 입력한 적이 있다고 답했다. 로그인 자격 증명을 AI 도구에 입력한 직장인들 중에서 가장 많이 입력한 정보는 개인 이메일로 47%를 차지했다. 업무용 이메일도 43%로 바로 뒤를 이었으며, 소셜미디어 계정 27%, 구글 드라이브나 드롭박스 같은 클라우드 스토리지 25%, 세일즈포스나 지라, 슬랙 같은 회사 소프트웨어 도구 22%가 그 뒤를 이었다. 은행이나 금융 계정 정보를 입력한 경우도 18%에 달했으며, 사내 포털 로그인 정보를 입력한 경우도 15%나 됐다.

AI 도구별로 민감한 세부 정보를 제거하지 않고 업무 관련 프롬프트를 입력하는 비율을 살펴보면, 제미나이와 클로드 사용자가 각각 23%로 가장 높았다. 챗GPT는 17%, 코파일럿은 10%, 퍼플렉시티(Perplexity)는 8% 순이었다.

회사 AI 정책 없는 곳 44%… 직장인 70%는 안전 교육받지 못해

기업의 AI 사용 정책 현황도 우려스러운 수준이다. 직장에서 생성형 AI 도구 사용에 대한 공식 정책이 있는지 묻는 말에 44%가 정책이 없다고 답했으며, 12%는 잘 모르겠다고 응답했다. 정책이 있다고 답한 응답자 중에서도 37%만이 정책을 실제로 읽었다고 답했고, 7%는 정책이 있지만 읽지 않았다고 시인했다.

더욱 심각한 점은 직장인 10명 중 7명인 70%가 고용주로부터 AI 도구의 안전한 사용에 대한 공식 교육을 받지 못했다는 사실이다. 또한 직장인 4명 중 1명에 가까운 24%는 AI 프롬프트가 자신과 회사에 비공개로 유지된다고 잘못 믿고 있는 것으로 나타났다. 이는 많은 직장인들이 AI 플랫폼의 데이터 처리 방식을 제대로 이해하지 못한 채 사용하고 있음을 보여준다.

직장인 10명 중 1명 “AI 사용 거짓 보고”… 5%는 징계받기도

AI 보안에 대한 인식 부족은 더욱 심각한 수준으로 나타났다. 직장인 10명 중 거의 1명인 8%가 고용주에게 AI 사용에 대해 거짓말을 한 적이 있다고 시인했다. 또한 10명 중 1명은 회사 정책을 위반하거나 데이터 보안을 위협하지 않으면서 AI 도구를 사용할 능력에 대해 확신이 거의 없거나 전혀 없다고 답했다. 실제로 20명 중 1명인 5%는 업무에서 AI를 사용한 방식 때문에 경고나 징계 조치를 받은 경험이 있다고 밝혔다.

더욱 놀라운 점은 직장인 5명 중 1명 이상인 20%가 생성형 AI 도구가 입력한 모든 프롬프트를 저장하지 않는다고 믿고 있다는 사실이다. 하지만 현실은 정반대다. 대부분의 AI 플랫폼은 사용자가 입력한 프롬프트를 저장하며, 이는 서비스 개선이나 학습 목적으로 활용될 수 있다. 그럼에도 불구하고 4명 중 3명인 75%는 모든 프롬프트가 영구적으로 저장된다는 사실을 알더라도 여전히 업무에 AI 도구를 사용하겠다고 답했다. 또한 10명 중 거의 1명인 7%는 사용하지 말라는 지시를 받았음에도 불구하고 챗GPT를 업무 작업에 사용했다고 인정했다.

IBM 보고서 “AI 거버넌스 부재 시 침해율과 비용 대폭 증가”

IBM과 포네몬 연구소가 발표한 ‘2025 데이터 침해 비용’ 보고서는 이러한 위험을 명확히 뒷받침한다. 보고서에 따르면 강력한 보안과 거버넌스 없이 AI를 서둘러 도입한 조직들은 적절한 통제가 있는 조직에 비해 훨씬 높은 침해율과 비용을 경험한다. 특히 직원들이 교육과 감독을 받지 못할 때 거버넌스가 없는 AI 시스템이 취약성을 증가시킨다는 점을 명확히 했다.

데이터가 플랫폼에 입력되면 사용자가 통제할 수 없는 방식으로 저장되거나 공유되거나 노출될 수 있다. 유출된 고객 정보는 프라이버시 침해를 초래하고 신뢰를 약화시킬 수 있다. 로그인 자격 증명을 입력하면 클라우드 스토리지에서 금융 계정에 이르는 중요한 비즈니스 시스템에 대한 사기와 무단 접근 위험이 발생한다. 보안되지 않은 AI 도구를 통해 내부 문서를 공유하면 지적 재산이 노출되어 회사가 경쟁업체나 악의적인 행위자에게 취약해질 수 있다. 이러한 결과는 규제 벌금과 규정 위반에서부터 평판 손상과 장기적인 고객 신뢰 상실에까지 이른다.

FAQ (※ 이 FAQ는 본지가 리포트를 참고해 자체 작성한 내용입니다.)

Q. 생성형 AI에 입력한 정보는 어떻게 활용되나요?

A. 대부분의 생성형 AI 플랫폼은 사용자가 입력한 프롬프트를 저장하며, 이는 서비스 개선이나 AI 모델 학습에 활용될 수 있습니다. 한번 입력된 정보는 사용자가 통제할 수 없는 방식으로 저장, 공유, 노출될 가능성이 있어 민감 정보 입력 시 각별한 주의가 필요합니다.

Q. 업무에서 AI를 안전하게 사용하려면 어떻게 해야 하나요?

A. 고객 이름, 금융 데이터, 로그인 정보 같은 민감 정보는 절대 입력하지 말아야 합니다. 불가피하게 사용해야 할 경우 식별 가능한 세부 정보를 제거하거나 익명화한 후 입력하고, 회사의 IT 부서가 승인한 AI 플랫폼만 사용하며 내부 데이터 보안 규칙을 준수해야 합니다.

Q. 회사에서 직원의 AI 사용을 관리하려면 무엇이 필요한가요?

A. 명확한 AI 사용 정책을 수립하고 직원들에게 정기적인 보안 교육을 제공해야 합니다. 조사에 따르면 직장인 70%가 AI 안전 사용에 대한 공식 교육을 받지 못했으며, 44%는 회사에 AI 사용 정책 자체가 없다고 답했습니다. IT 부서가 승인한 안전한 AI 도구만 사용하도록 제한하고, 안전한 문서 관리 도구를 함께 활용하는 것이 좋습니다.

해당 기사에 인용된 보고서 원문은 SmallPDF 블로그에서 확인 가능하다.

보고서명: Leaking at the Prompt: How Many Professionals Are Entering Sensitive Info Into GPT?

이미지 출처: SmallPDF

해당 기사는 챗GPT와 클로드를 활용해 작성되었습니다.