생성형 AI 개인정보, 61.9점의 경고
내 프롬프트는 지금 학습되고 있습니다
2026년 3월 4일, 개인정보보호위원회가 충격적인 수치를 발표했습니다.
챗GPT·구글 제미나이·네이버 클로바 등 생성형 AI 서비스의 개인정보 처리방침 평균 점수는 고작 61.9점 —
전체 평균보다 9점이나 낮습니다. 오늘 이 글을 읽지 않으면,
당신이 AI에게 입력한 모든 대화가 어디에 쓰이는지 영원히 모를 수 있습니다.
⚠️ 생성형 AI 꼴찌 61.9점
🔒 옵트아웃 방법 수록
📋 4월 개정 지침 예고
61.9점 — 이 숫자가 의미하는 것
개인정보보호위원회(이하 개인정보위)는 매년 커넥티드카·에듀테크·스마트홈·통신 등
주요 7개 분야를 대상으로 ‘개인정보 처리방침 평가’를 실시합니다.
2024년 전체 평균은 57.9점이었고, 2025년 평가에서는 71점으로 13점 이상 상승해
업계 전반이 개선된 것처럼 보였습니다.
2025년 처음 조사 대상에 포함된 생성형 AI 분야의 평균 점수는
61.9점으로, 전체 평균 71점보다 무려 9점 낮았습니다.
적정성(내용 충실도)·가독성(이해 용이성)·접근성(처리방침 열람 편의성)
세 항목 모두에서 ‘미흡’ 판정을 받은 것입니다.
| 분야 | 2024년 | 2025년 | 등락 |
|---|---|---|---|
| 전체 평균 | 57.9점 | 71점 | ▲ 13.1 |
| 생성형 AI | — (첫 조사) | 61.9점 | 전체 -9점 |
| 통신 | 61점 | 75점 이상 | ▲ 대폭 상승 |
| 에듀테크 | 60점 | 74점 이상 | ▲ 상승 |
※ 통신·에듀테크 세부 수치는 공식 발표 자료 참조 / 생성형 AI는 2025년 신규 조사 분야
이 숫자가 단순한 행정 점수로 느껴질 수 있지만, 사실 그 이면에는 수천만 명의
대화 데이터가 어디로 가는지 이용자가 전혀 모른다는 현실이 담겨 있습니다.
서비스를 제공하는 기업이 11개사나 참석한 간담회에서 정부가 직접 개선을 촉구했다는 점 자체가
이 문제의 심각성을 방증합니다.
내 대화는 AI 학습에 쓰이는가? 불편한 진실
생성형 AI 서비스를 사용할 때, 우리는 끊임없이 프롬프트를 입력합니다.
“오늘 발표 자료 초안 써줘”, “이 계약서 검토해줘”, “내 주소는 OO인데 근처 맛집 알려줘” —
이 모든 문장에는 개인의 맥락 정보, 직업, 때로는 민감한 사생활이 담겨 있습니다.
이 프롬프트 입력 정보가 AI 모델 학습에 활용되는지,
얼마나 보관되는지, 제3자에게 제공되는지에 대해
대부분의 생성형 AI 서비스는 처리방침에 명확히 기재하지 않고 있습니다.
옵트인 vs 옵트아웃 — 기본값의 함정
개인정보 수집·활용의 핵심은 ‘기본 설정’에 있습니다.
옵트인(Opt-in)은 이용자가 명시적으로 동의해야 데이터를 수집하는 방식이고,
옵트아웃(Opt-out)은 이용자가 직접 거부 의사를 표시해야 수집을 멈추는 방식입니다.
대부분의 생성형 AI 서비스는 옵트아웃 방식을 채택하고 있어,
설정을 바꾸지 않으면 대화 내용이 학습 데이터로 활용될 수 있습니다.
더 심각한 문제는 이 옵트아웃 절차 자체가 숨겨져 있다는 점입니다.
개인정보위가 이번 평가에서 지적한 것처럼, 일부 서비스는
처리방침을 보려면 로그인이 필요하거나 여러 단계를 거치게 설계되어 있습니다.
이용자가 자신의 권리를 행사하려 해도 구조 자체가 방해하고 있는 셈입니다.
개인정보위가 적발한 5가지 심각한 문제
개인정보위는 이번 간담회에서 구체적인 적발 사례를 공개했습니다.
단순한 행정적 미흡이 아니라, 이용자의 권리를 실질적으로 침해하는 문제들입니다.
포괄적 기재 — “텍스트, 이미지 등 서비스 이용 과정에서 수집되는 정보”
처리하는 개인정보 항목을 너무 광범위하게 표현해, 실제로 어떤 데이터를
수집하는지 이용자가 파악할 수 없게 만든 경우입니다.
음성·위치·행동 패턴까지 포함될 수 있지만, 처리방침에는 뭉뚱그려져 있습니다.
법적 근거 미기재 — 프롬프트 입력 정보의 처리 근거가 없다
개인정보 처리의 법적 근거(동의, 계약 이행, 정당한 이익 등)를 구체적으로
명시하지 않은 사례가 적발됐습니다.
특히 프롬프트 데이터가 모델 학습에 활용될 때의 법적 근거가 빠진 경우가 많았습니다.
보유 기간 모호 — “서비스 제공 기간 동안”이라는 표현의 함정
개인정보 보유·이용기간을 “서비스 이용 목적이 달성될 때까지”처럼
모호하게 표현한 사례가 다수 확인됐습니다.
실제로 데이터가 언제 삭제되는지 이용자가 전혀 예측할 수 없는 구조입니다.
제3자 제공 불투명 — “협력업체”가 누구인지 알 수 없다
개인정보를 제3자에게 제공하면서 수신자를 “협력업체”, “서비스 제공업체” 등
추상적 용어로만 기재한 경우입니다.
내 데이터가 어느 회사로, 어떤 목적으로 넘어가는지 사실상 파악이 불가능합니다.
접근성 차단 — 영문 안내, 로그인 장벽, 번역투 문장
정보주체의 권리 행사 방법을 영문으로만 안내하거나,
모바일 앱에서 처리방침을 보려면 로그인을 먼저 요구하는 사례가 적발됐습니다.
번역 소프트웨어를 통한 어색한 번역투 문장 역시 이용자의 이해를 가로막는
주요 원인으로 지목됐습니다.
챗GPT·제미나이·클로바 별 학습 거부 방법
지금 당장 할 수 있는 가장 중요한 조치는 각 서비스에서 학습 데이터 제공을
거부(옵트아웃)하는 것입니다.
서비스별로 절차가 다르므로, 반드시 직접 확인하고 설정을 변경하시기 바랍니다.
① ChatGPT (OpenAI) — 설정 → 데이터 제어
모델 학습을 위한 데이터 개선 항목 OFF
이 옵션을 끄면 이후 대화는 학습 데이터로 활용되지 않습니다.
단, 이미 입력된 과거 대화 데이터 삭제는 별도로 개인정보 포털에 삭제 요청을 해야 합니다.
② Google Gemini — 내 활동 관리
구글은 Gemini 앱 활동이 켜져 있을 때 인간 검토자가 대화 내용을 검토할 수 있다고 밝히고 있습니다.
활동 내역을 삭제해도 이미 학습에 활용된 데이터는 별도 요청이 필요합니다.
③ 네이버 CLOVA X — 개인정보 설정
국내 서비스답게 한국어 안내가 제공되지만,
개인정보위 평가에서 접근성 개선이 필요하다는 지적을 받은 만큼
정확한 메뉴 위치를 직접 확인하시기 권고합니다.
옵트아웃 설정은 미래 데이터에만 적용됩니다.
이미 입력한 데이터의 삭제를 원하신다면 각 서비스의 개인정보 처리방침에 명시된
삭제 요청 절차를 별도로 진행하셔야 합니다.
또한 유료 플랜(ChatGPT Team·Enterprise 등)의 경우 기본값으로 학습에 활용되지 않는
경우도 있으니, 자신의 플랜 유형을 먼저 확인하세요.
4월 개정 지침 — 무엇이 바뀌는가
개인정보위는 이번 간담회를 바탕으로 2026년 4월 중 개인정보 처리방침
작성 지침 개정본을 발간할 계획임을 공식 발표했습니다.
단순한 가이드라인 보완이 아니라, 생성형 AI 서비스에 특화된 구체적 기준이
처음으로 마련된다는 점에서 산업 전반에 상당한 파급력이 예상됩니다.
개정 지침에 담길 핵심 내용 (예정)
예상되는 항목들을 정리하면 다음과 같습니다.
- 프롬프트 입력 정보의 학습 활용 여부 — 반드시 명시적으로 기재
- 데이터 보유 기간 — 구체적 일수 또는 삭제 조건 명시
- 옵트아웃 절차 — 이용자가 직관적으로 접근할 수 있는 위치에 안내
- 제3자 제공 대상 — 추상적 용어 금지, 구체적 수신자 명시
- 처리방침 언어 — 한국 이용자 대상 서비스는 한국어 안내 의무화 방향
- AI 에이전트 확산 대응 — 자동화 의사결정 처리 기준 포함
특히 ‘AX 혁신 지원 헬프데스크’ 운영도 함께 예고됐습니다.
이는 AI 서비스 기획 단계부터 프라이버시 리스크를 함께 점검할 수 있는
전문 지원 창구로, 중소 AI 스타트업에게는 규정 준수 부담을 줄이는
실질적 도움이 될 것으로 기대됩니다.
그러나 한 가지 중요한 사실이 있습니다.
이번 지침은 강제 규정이 아닌 가이드라인입니다.
즉, 준수 여부는 기업의 자율에 맡겨지는 만큼, 이용자 스스로가 서비스를
선택할 때 개인정보 처리방침을 꼼꼼히 확인하는 습관이 더욱 중요합니다.
전문가 시각 — 진짜 문제는 따로 있다
이번 개인정보위 발표를 그저 “정부가 기업에게 잘 써라고 한 것”으로 보면
본질을 놓치게 됩니다.
필자가 주목하는 진짜 문제는 세 가지입니다.
첫째, 글로벌 본사 정책과의 충돌
오픈AI, 구글, 메타 등 해외 기업들은 간담회에서 “글로벌 본사 정책과의 조율이 어렵다”고
고충을 토로했습니다. 이는 단순한 변명이 아닙니다.
실제로 미국 본사의 처리방침이 한국 개인정보보호법(개보법) 기준보다 낮을 경우,
국내에서 서비스를 제공하면서도 한국법 기준을 충족시키기 어렵습니다.
정부가 이를 알고도 강제력 없는 가이드라인으로 접근한다는 점에서 실효성 논란은 계속될 것입니다.
둘째, AI 에이전트 시대의 개인정보는 차원이 다르다
2026년 현재, AI는 단순 챗봇을 넘어 ‘에이전트’로 진화하고 있습니다.
에이전트 AI는 이메일을 읽고, 캘린더를 수정하고, 결제를 대신하는 수준에 이르렀습니다.
이 경우 수집되는 개인정보의 범위와 민감도는 기존 텍스트 프롬프트와 비교할 수 없을 만큼 방대합니다.
현재 처리방침 기준이 이 수준의 변화를 따라가지 못하고 있다는 것이 핵심 문제입니다.
셋째, 이용자의 무지가 가장 큰 취약점
아무리 좋은 지침이 나와도, 이용자가 자신의 권리를 모른다면 무의미합니다.
챗GPT 유료 구독자 중 학습 거부 옵션을 켠 사람이 얼마나 될까요?
개인정보위의 이번 발표가 진정한 의미를 갖기 위해서는
기업 대상 가이드라인과 동시에 이용자 대상 권리 고지 캠페인이 병행되어야 합니다.
이것이 이 글을 쓰는 가장 큰 이유이기도 합니다.
Q&A — 실제로 가장 많이 묻는 질문 5가지
챗GPT에 입력한 내 대화는 지금 학습에 쓰이고 있나요?
대화 내용이 OpenAI의 모델 학습에 활용될 수 있습니다.
설정 → 데이터 제어 메뉴에서 해당 옵션을 끄면 이후 대화는 학습에 사용되지 않습니다.
ChatGPT Team 및 Enterprise 플랜의 경우 기본적으로 학습에 활용되지 않도록 설정되어 있습니다.
정확한 최신 정책은 OpenAI 개인정보처리방침에서 확인하세요.
이미 입력한 대화 내용을 삭제할 수 있나요?
학습 데이터 삭제를 원하신다면 각 서비스의 개인정보 처리방침에 명시된 ‘데이터 삭제 요청’ 절차를
통해 별도로 신청해야 합니다.
ChatGPT의 경우 OpenAI 개인정보 포털에서 삭제 요청이 가능하며,
처리에 수 주가 소요될 수 있습니다.
개인정보위 평가 61.9점은 어떤 기준으로 산정됐나요?
세 가지 항목을 기준으로 100점 만점 체계로 평가합니다.
2024년 첫 조사에서 전체 평균은 57.9점이었고,
2025년 평가에서 전체 평균은 71점으로 상승했지만
생성형 AI 분야는 61.9점으로 최하위를 기록했습니다.
구글 제미나이에서 학습을 거부하는 방법은 무엇인가요?
자동 삭제 기간을 단축하면 됩니다.
민감한 정보 입력 전 반드시 설정을 확인하세요.
정확한 최신 경로는 구글 계정 도움말에서 ‘Gemini 앱 활동’으로 검색하면 확인할 수 있습니다.
4월 개정 지침이 나오면 서비스가 의무적으로 바뀌나요?
따라서 기업이 즉시 의무적으로 처리방침을 변경해야 하는 것은 아닙니다.
그러나 향후 개인정보 보호법 위반 여부 판단 시 이 지침을 참고 기준으로 삼을 수 있어,
실질적인 규범력을 갖습니다.
장기적으로는 법적 의무 조항으로 격상될 가능성도 배제할 수 없습니다.
🔍 마치며 — AI 신뢰는 투명성에서 시작된다
61.9점. 이 숫자가 뜻하는 것은 단순히 “서류 작성이 부족하다”가 아닙니다.
수천만 명이 매일 AI에 털어놓는 대화, 업무 자료, 개인 고민이
어디에 어떻게 쓰이는지 이용자가 알 권리를 보장받지 못하고 있다는 의미입니다.
개인정보위의 이번 발표는 의미 있는 첫걸음이지만, 강제력 없는 가이드라인으로는
글로벌 AI 기업들의 구조적 문제를 해결하기 어렵다는 한계도 분명합니다.
AI 에이전트가 내 이메일을 읽고 결제를 대행하는 시대, 지금의 처리방침 기준은
이미 구식(outdated)이 될 위기에 놓여 있습니다.
결국 가장 효과적인 보호는 이용자 스스로가 설정을 확인하고 권리를 행사하는 것입니다.
지금 바로 챗GPT 설정에 들어가 학습 옵션을 끄고, 제미나이 활동 내역을 점검하는
10분이, 향후 수년간 당신의 데이터를 지키는 가장 확실한 방법입니다.
4월 개정 지침 발표 이후의 변화도 예의 주시해야 할 것입니다.
본 콘텐츠는 2026년 3월 6일 기준 공개된 정보를 바탕으로 작성되었으며,
각 서비스의 개인정보 처리방침 및 설정 경로는 서비스 업데이트에 따라
변경될 수 있습니다. 정확한 최신 정보는 각 서비스 공식 사이트에서 확인하시기 바랍니다.
본 글은 법률·법무 자문이 아니며, 구체적인 개인정보 침해 사안은 전문가 상담을 권고합니다.
댓글 남기기