ChatGPT API 를 사용하면 데이터 유출이나 보안이 위험하지 않나요

"ChatGPT API 를 사용하면 데이터 유출이나 보안이 위험하지 않나요?" 항상 먼저 나오는 질문이기도 합니다. 누구는 "위험하다. 그래서 sLLM 써야한다", 또 다른이는 "괜찮다. 써도 된다" 라고 하기 때문에, [Privacy at OpenAI] 을 근거로 정리해 보았습니다. 가장 먼저 등장하는 문구 입니다. "비즈니스 데이터(ChatGPT Team, ChatGPT Enterprise 또는 당사 API 플랫폼의 데이터)에 대해 훈련(Train)하지 않습니다." 여기서 훈련(Train) 하지 않는 데이터는 "유료 과금(구독/종량제)" 정책에 귀속된 계정입니다. - ChatGPT Team(1인당 월 $25) - ChatGPT Enterprise(문의) - ChatGPT API: 종량제 방식 (개발에 활용) *API 방식: 기본 값이 "데이터를 훈련하지 않음" 으로 설정되어 있습니다. 여기서 주의할 점은 대부분의 개인이 구독하는 플랜인 ChatGPT Plus(월 $20) 는 기본 값이 데이터 훈련(Training) 을 허용 한다고, 되어 있습니다. 이는 본인이 "설정" - "데이터 제어" - "모두를 위한 모델 개선" 을 꺼주시지 않으면 "입력한 데이터가 모두 GPT 훈련에 활용" 될 수 있습니다. 여기까지는 "데이터 훈련" 에 대한 이야기 입니다. -------------------------------------------- 다음은 통상 "데이터 유출" 이라고 부르는 데이터 전송 & OpenAI 사의 데이터 보관 관련된 내용을 정리해 봤습니다. 우리가 ChatGPT 서비스를 사용하면서 업로드하는 데이터 / 문서 등은 OpenAI 사의 서버를 거쳐야 합니다. 만약, 데이터가 우리 컴퓨터를 빠져나가는 시점을 "유출" 이라 정의한다면, 유출이라고 볼 수 도 있겠습니다만... 우리가 "네이버 메일" 에 접속하여 메일을 잘 열람하고 있는데, 이러한 "메일" 들도 네이버 메일 서버에 저장되어 있지, 여러분들의 PC 저장되어 있지는 않습니다. 우리가 그렇다고 "네이버 메일이 유출 되었다" 라는 표현을 쓰지는 않습니다. "데이터 유출" 은 OpenAI 서버를 거친다고 하여 유출이 아니라, 데이터의 주체인 나(혹은 기업) 만 데이터를 열람할 수 있다면 "보안" 적인 부분에 대해서는 더이상 우려하지 않아도 된다고 생각합니다. ------------------------ "보안 정책" SOC 2 감사 준수 * SOC 2는 서비스 조직의 정보 보안 관행에 대한 엄격한 감사 프로세스입니다. 이는 해당 조직이 고객 데이터를 안전하게 관리하고 있음을 의미합니다. ChatGPT Enterprise와 API가 이를 준수한다는 것은 그들의 보안 시스템이 독립적인 감사관에 의해 검증되었고 높은 기준을 충족했다는 뜻입니다. 데이터 암호화 * 저장 중 암호화 (AES-256): AES-256은 현재 가장 강력한 암호화 표준 중 하나입니다. 이는 저장된 데이터가 매우 높은 수준으로 보호되고 있음을 의미합니다. * 전송 중 암호화 (TLS 1.2+): TLS 1.2 이상은 데이터가 네트워크를 통해 전송될 때 사용되는 최신 보안 프로토콜입니다. 이는 데이터가 전송 중에 안전하게 보호된다는 뜻입니다. 결론적으로, 높은 보안 표준을 나타냅니다. 데이터의 기밀성, 무결성, 가용성을 보장하기 위한 강력한 조치들이 취해졌음을 의미합니다. ------------------------ 다음은 "데이터 보관" 관련된 내용입니다. ChatGPT Enterprise 플랜에서는 데이터의 보관일을 지정할 수 있습니다. 보관일이 지나면 자동 삭제됩니다. 다음은, 우리가 개발할 때 가장 관심있게 보는 API 관련 보안입니다. ChatGPT API 정책에서 "API 남용" 을 식별하기 위해 API 데이터는 최대 30일 동안 보관될 수 있다고 명시되어 있습니다. 하지만, 30일 이후 별도로 요구하지 않는 한 자동 삭제됩니다. 민감한 애플리케이션을 사용하는 "신뢰할 수 있는 고객"의 경우 데이터를 보존하지 않을 수 있습니다(이를 ZERO RETENTION 이라 부르고 있습니다). ZERO RETENTION 을 지원하는 API 도 별도로 표기되어 있습니다. * 자세한 내용은 https://platform.openai.com/docs/models/how-we-use-your-data 에서 API 별 RETENTION 기간을 확인할 수 있습니다. 대부분 우리가 사용하는 Chat 을 요청하는 completions API 는 "기본 데이터 보관일 30일" 이며, 그 이후에는 "자동 삭제" 되는 개념입니다. *대부분의 API 정책은 기본 보관 30일, 그 이후 자동 삭제 정책이 기본 값으로 설정되어 있습니다. ------------ 이 정도 정책이라면, 믿고 ChatGPT API 로 개발해도 되지 않을까 싶습니다. 혹시 이러한 정책을 가지고 있는데도, 데이터 유출에 대한 우려가 있다면 어떤 이유에서인지 궁금합니다. 의견이 있다면 남겨 주세요! 감사합니다. ✅ 참고 링크 - https://openai.com/enterprise-privacy/ - https://platform.openai.com/docs/models/how-we-use-your-data #chatgpt #api #보안