AI를 사용할 때의 보안 대책

프로젝트(특히 업무 위탁이나 수탁 개발)에서 AI를 이용할 경우, 개인의 취미 활동과는 비교할 수 없을 정도로 엄격한 「정보 관리」가 요구됩니다.

클라이언트에게 "이 엔지니어에게 맡겨도 괜찮다"라는 확신을 주기 위한, 구체적이고 실천적인 보안 대책을 3가지 레이어로 정리했습니다.

AI 모델을 제공하는 회사가 "입력한 데이터를 마음대로 AI의 재학습에 사용하지 않는가"를 100% 보장하는 환경을 만듭니다.

ChatGPT의 브라우저 버전(무료/Plus)은 설정을 끄지 않는 한 학습되지만, OpenAI나 Claude의 「API」를 통해 입력한 데이터는 원칙적으로 재학습에 사용되지 않는다고 약관에 명시되어 있습니다.

기업 프로젝트에서는 이러한 대형 클라우드 경유의 AI를 사용하는 것이 가장 안전합니다. 「데이터는 고객의 전용 영역을 벗어나지 않는다」는 점이 계약상 보장되어 있습니다.

Cursor나 GitHub Copilot 등을 사용할 때는 설정 화면에서 「Don't training on my code (코드를 학습에 사용하지 않음)」 항목에 반드시 체크를 합니다.

애초에, 「유출되면 곤란한 정보는 AI에 보내지 않는다」라는 운용 규칙을 철저히 합니다.

고객의 개인 성함, 주소, 전화번호, 사외비 프로젝트명 등은 User_A나 Company_X와 같이 적절한 대명사로 치환한 후 프롬프트(Prompt)에 던집니다.

.env에 작성하는 API 키, DB 비밀번호, 비밀키(Secret Key)가 포함된 코드를 그대로 AI에 붙여넣지 않도록, 복사 및 붙여넣기 전에 반드시 확인합니다.

AI가 생성한 코드를 그대로 납품하는 것은 보안상의 큰 리스크입니다.

AI가 "존재하지 않는 편리한 라이브러리"를 제안하고, 공격자가 이를 선점하여 악의적인 코드로 공개하고 있는 사례가 있습니다. 「AI가 제안한 npm 패키지가 실재하며, 신뢰할 수 있는가」를 확인하는 것은 필수입니다.

AI는 동작하는 코드를 작성하지만, SQL 인젝션(SQL Injection)이나 크로스 사이트 스크립팅(XSS)을 고려하지 않을 때가 있습니다. 납품 전에 반드시 엔지니어 자신의 눈으로 보안 리뷰를 수행합니다.

회사 측에서도 미리 자신들만의 「AI 이용에 관한 계약(NDA)」을 작성하여, 프리랜서 등에게 보안 대책을 의무화하는 것도 좋겠다는 생각이 들었습니다.