인공지능(AI) > Microsoft Copilot은 안전한가요?

Copilot은 안전한가요?

Microsoft Copilot은 Windows, Microsoft 365, Teams 및 Edge에 직접 첨부되어 귀하의 데이터에 광범위하게 접근할 수 있도록 합니다. 다른 파일을 공유하거나 다른 대화를 시작하기 전에, 해당 데이터가 어디로 가는지 그리고 그것이 귀하의 개인정보에 어떤 의미인지 이해해야 합니다.

요약하자면

일상적인 작업의 경우, Copilot은 일반적으로 안전하게 사용할 수 있습니다. 하지만 Microsoft의 데이터 수집 관행과 문서화된 개인정보 위험으로 인해, 귀하는 민감한 작업에 Copilot을 사용하는 것을 피해야 합니다.

다음과 같은 작업에 적합할 수 있습니다:

일상적인 메시지 및 이메일 초안 작성
공개적으로 사용 가능한 기사 요약
일반적인 아이디어 브레인스토밍
민감하지 않은 텍스트 생성
대중에게 공개되는 콘텐츠 교정
일반 텍스트 문서의 서식 지정 및 구조 재조정
일반 상식 질문에 답변하기

절대 붙여넣지 마세요:

비밀번호, API 키 또는 자격 증명
개인 데이터(이름, 이메일, ID)
기밀 금융 데이터
의료 기록 또는 건강 정보
법률 문서, 계약서 또는 비공개 통신
독점 제품 로드맵 또는 영업 비밀
직원 또는 인사(HR) 데이터, 급여 정보

Copilot은 사용하기에 안전한가요? 항목별 분석

Copilot의 위험은 귀하가 무료 소비자 버전을 사용하는지, Microsoft 365 기업용 라이선스를 사용하는지, 아니면 내장된 Windows 환경을 사용하는지에 따라 달라집니다. Before choosing any AI tools, including Copilot, ChatGPT, Gemini, Meta AI, and DeepSeek, consider the security and privacy risks involved.

표
위험	잠재적 영향	중요한 이유
AI 모델 학습에 사용되는 데이터	귀하가 적극적으로 옵트아웃하지 않는 한, 귀하의 프롬프트와 대화는 Microsoft의 AI 모델을 학습시키는 데 사용될 수 있습니다	귀하가 공유하는 민감한 콘텐츠는 사람이 검토하거나 향후 출력물에 나타날 수 있습니다.
데이터 보존 및 무기한 저장공간	Copilot 상호작용은 보존 정책 없이 무기한 저장될 수 있습니다.	민감한 데이터가 포함된 과거 프롬프트는 전자 증거 개시를 통해 계속 찾아낼 수 있습니다.
과도한 권한 부여	Copilot은 폴더 및 드라이브를 포함하여 귀하가 접근 권한을 가진 모든 것에 접근합니다.	기밀 문서가 의도치 않게 노출될 수 있습니다.
국경 간 데이터 처리(플렉스 라우팅)	수요가 많은 기간에는 EU/EFTA 테넌트 데이터가 EU 데이터 경계 외부에서 처리될 수 있습니다.	GDPR, DORA 또는 부문별 규정의 적용을 받는 조직은 잠재적인 준수 위반에 직면할 수 있습니다.
데이터가 미국 관할권의 영향을 받음	귀하의 출신 국가나 데이터가 저장된 위치에 관계없이, 미국 당국이 귀하의 데이터에 접근할 가능성이 있습니다	EU에 저장된 데이터조차도 미국 정부의 요청으로부터 자동으로 보호되지 않습니다.
교차 서비스 데이터 수집	Copilot은 기본적으로 Bing, MSN, Edge 및 기타 Microsoft 제품에서 데이터를 가져옵니다.	더 넓은 활동 프로필을 구축하여 재식별 위험을 증가시킵니다.
프롬프트 주입 공격	문서에 첨부된 악성 지침은 Copilot의 응답을 가로챌 수 있습니다	공격자는 문서를 통해 출력물을 조작하거나 내부 데이터를 유출할 수 있습니다.

개인정보 보호 위험

다음은 귀하가 Copilot을 사용할 때마다 감수해야 하는 위험과, 대부분의 사람들이 생각하는 것보다 Microsoft Copilot의 데이터 개인정보 보호에 대해 훨씬 더 면밀한 조사가 필요한 이유입니다.

귀하의 대화는 Microsoft의 AI 모델 학습에 사용될 수 있습니다

기본적으로 개인용 Copilot 버전은 귀하의 프롬프트와 귀하가 받는 응답을 포함하여 AI를 학습시키는 데 귀하의 대화를 사용합니다.

귀하의 개인정보 보호 설정에서 적극적으로 옵트아웃해야 하며, 옵트아웃을 하기 전에 공유된 데이터는 이미 처리되었을 수도 있습니다.

귀하가 업로드하는 사진과 파일은 최대 18개월 동안 저장됩니다.

귀하가 이미지나 문서를 Copilot과 공유하는 경우, Microsoft의 자체 개인정보 FAQ에서는 해당 파일이 자동으로 삭제되기 전까지 최대 18개월 동안 안전하게 저장됨을 확인합니다.

귀하가 Copilot과 공유하는 모든 민감한 이미지, 문서 또는 파일은 Microsoft의 서버에 보존되며 귀하의 통제 범위를 벗어납니다.

귀하의 위치와 관계없이 귀하의 데이터는 미국 법의 적용을 받을 수 있습니다.

Microsoft는 미국 기업이기 때문에 CLOUD법의 적용을 받으며, 이는 귀하가 미국에 거주하지 않더라도 영장 없이 미국 당국이 귀하의 데이터에 접근할 수 있음을 의미합니다.

이는 Microsoft의 EU 데이터 경계(EU Data Boundary) 약속의 적용을 받는 사용자를 포함하여, 미국 외 지역의 사용자에게 근본적인 위험을 초래합니다.

Copilot은 기본적으로 Microsoft 생태계에서 귀하의 데이터를 가져옵니다.

“Microsoft 사용 데이터”는 기본적으로 활성화되어 있는 설정으로, Bing, MSN, Microsoft Edge 및 기타 Microsoft 서비스에서 귀하의 데이터에 접근하여 귀하의 Copilot 환경을 개인화합니다.

ZDNet은(새 창) 이러한 서비스 간 데이터 수집을 거부하려면 명시적으로 옵트아웃해야 한다고 보도했습니다. 그 결과, 귀하가 알지 못하거나 동의하지 않은 상태에서 귀하의 활동, 브라우징 습관 및 상호 작용에 대한 점진적이고 심층적인 프로필이 작성됩니다.

'익명화된' 데이터로 인한 재식별 위험

Microsoft는 모델 학습에 데이터를 사용하기 전에 전화번호를 삭제하고, 얼굴을 흐리게 처리하며, 특정 식별자를 제거하는 방식으로 데이터를 비식별화한다고 명시하고 있습니다.

하지만 익명으로 간주되는 이러한 데이터세트도 타임스탬프, 기기 특성 또는 국가 등의 위치 신호와 결합하면 재식별될 수 있습니다.

Copilot은 Windows, Microsoft 365, Bing 및 Edge를 아우르는 다중 서비스 생태계에 깊이 통합되어 있기 때문에, 시간이 지남에 따라 데이터가 재결합될 위험이 계속해서 증가하고 있습니다.

Microsoft는 이전에 자체적인 '보존 불가' 약속을 번복한 적이 있습니다

Microsoft는 원래 사용자 프롬프트를 보존하지 않는다는 점을 바탕으로 Copilot의 데이터 보호 기능을 홍보했습니다.

그러나 2024년 말, Microsoft는 이 약속을 번복하고(새 창) 규정 준수 및 감사 목적으로 프롬프트 보존 방식을 도입했습니다. 핵심은 무엇일까요?

귀하의 데이터를 제어하는 규칙은 언제든지 변경될 수 있으며, 소스 코드가 공개되지 않은 폐쇄형 소스 제품의 특성상 사후에야 이 사실을 알게 될 수도 있습니다.

비즈니스 위험

귀하의 조직의 기업용 라이선스가 데이터를 안전하게 보호한다고 생각하신다면, 다시 생각해 보세요. 여러 실제 사건들은 유료 기업 고객조차 경고 없이 Copilot의 보안 취약점으로 인해 피해를 입었다는 사실을 보여줍니다.

Copilot은 제한된 파일에 대한 접근을 포함하여 사용자의 모든 권한을 그대로 적용합니다.

Microsoft 365에서 Copilot 에이전트를 실행하는 경우, 사용자가 가진 모든 것에 접근할 수 있는 권한을 부여하게 됩니다. 여기에는 광범위하게 접근할 수 있도록 의도되지 않은 민감한 내부 파일도 포함됩니다.

Metomic의 연구(새 창)에 따르면 비즈니스에 핵심적인 파일 중 15% 이상이 과도한 공유 위험에 처해 있으며, 민감한 비즈니스 데이터의 3% 이상이 적절한 통제 없이 조직 전체에 공유된 것으로 나타났습니다.

Copilot 사용자가 민감한 정보에 접근할 수 있는 경우, Copilot도 이와 동일한 접근 권한을 얻게 됩니다. Copilot이 잠재적으로 모델을 학습시키고 해당 데이터를 출력물로 유출할 수 있으므로, 이는 민감한 정보 노출로 이어질 수 있습니다.

플렉스 라우팅(Flex routing)은 EU 데이터를 EU 데이터 경계 외부로 전송합니다.

Microsoft는 2026년 4월부터 모든 EU 및 EFTA 테넌트에 대해 기본적으로 플렉스 라우팅(새 창)을 활성화할 예정입니다.

트래픽이 몰리는 피크 시간대에는 Copilot 프롬프트 및 데이터가 미국이나 호주를 포함하여 EU 외부의 처리 인프라로 라우팅될 수 있으며, 이는 GDPR, NIS2 또는 DORA 규제를 받는 조직에 규정 준수 문제를 야기할 수 있습니다.

중요한 점은 플렉스 라우팅이 옵트인이 아닌 기본적으로 옵트아웃 방식으로 제공된다는 점입니다.

프롬프트 주입 공격은 이메일과 문서를 무기화할 수 있습니다.

프롬프트 주입을 통해 공격자는 이메일이나 문서 내에 숨겨진 지침을 첨부할 수 있으며, 이 지침이 Copilot에 의해 처리될 때 AI를 속여 내부 데이터를 반출하도록 만들 수 있습니다.

해당 EchoLeak 취약점(새 창)은 사용자의 아무런 행동이 없어도 공격자가 사용자의 Microsoft 365 환경에서 데이터를 훔칠 수 있는 이러한 방식을 대규모로 입증했습니다.

귀하의 기밀 데이터가 잠재적으로 노출될 수 있습니다.

2026년 초, Microsoft는 소프트웨어 버그로 인해 Copilot이 사용자의 기밀 이메일을 읽고 요약할 수 있었으며, 이는 조직이 민감한 정보를 보호하기 위해 의존하는 데이터 손실 방지 정책을 우회한 것임을 확인했습니다.

해당 버그는 수주 동안 활성화되어 있었습니다(새 창) before Microsoft acted, with security experts noting how it demonstrates a fundamental weakness in the “trust boundary” Microsoft had promised enterprise customers: Copilot has the potential to access protected emails even when companies had explicitly configured it not to.

투명성 부족

Microsoft Copilot은 클로즈드 소스 소프트웨어입니다. 모델 아키텍처, 학습 데이터 및 데이터 흐름 경로는 독립적으로 검사하거나 감사할 수 없으므로, 귀하는 Microsoft의 보장을 그대로 받아들여야 합니다.

데이터 처리 주장에 대한 독립적인 검증 불가

Microsoft는 Copilot이 데이터를 처리하는 방식에 대한 문서를 게시하지만, 독립적인 연구원, 감사인 또는 규제 기관은 실제 소스 코드를 검사하여 해당 주장을 검증할 수 없습니다. 개인정보 보호 인증은 유용한 지표이지만 독립적으로 감사 가능한 오픈 소스 코드를 대체할 수는 없습니다.

사용자 동의 없이 정책 변경이 발생할 수 있습니다.

Microsoft는 귀하의 데이터가 처리되는 약관을 제어하며, 이전에도 이를 변경한 적이 있습니다. 2024년 프롬프트 보존 약속 번복과 2026년 다중 서비스 데이터 확장이 대표적인 두 가지 사례입니다. 민감한 업무에 Copilot을 사용하는 기업은 통제하거나 예측할 수 없는 규정 준수 기준선에 노출됩니다.

Copilot 사용 시 안전을 유지하는 방법

AI 도구의 사용을 전면 포기할 필요는 없지만, Copilot을 계속 사용해야 한다면 다음 조치를 통해 노출 위험을 유의미하게 줄일 수 있습니다.

Copilot의 AI 모델 학습에 귀하의 프롬프트가 사용되지 않도록 옵트아웃하십시오.

서비스 간 데이터 공유 설정을 끕니다.

사진과 문서를 포함한 어떠한 종류의 개인 데이터도 업로드하지 마세요.

AI 채팅은 다른 사람도 볼 수 있다는 가정하에 다루어야 합니다.

EU 또는 EFTA 지역의 기업은 플렉스 라우팅 사용을 거부하시기 바랍니다.

기업의 경우, Copilot 접근 권한을 부여하기 전에 폴더 및 드라이브 권한을 감사하시기 바랍니다.

개인 AI 어시스턴트로 전환하기

Lumo는 신뢰할 수 있는 AI 비서를 원하는 사람들을 위해 설계되었습니다. Lumo는 귀하의 채팅 내용을 학습에 사용하지 않고 로그를 보관하지도 않으므로 귀하의 데이터를 완벽하게 개인 정보로 보호합니다. Proton조차 이에 접근할 수 없습니다.

지금 Lumo 사용해 보기 Lumo for Business 사용하기

Copilot의 안전성에 대해 자주 묻는 질문

Copilot은 기밀 정보에 안전한가요?: 아니요, Copilot은 기밀 정보, 민감한 정보 또는 규제 대상 정보에 안전한 환경이 아닙니다. 개인 계정의 경우 AI 학습이 기본으로 활성화되어 있으며, 파일은 최대 3년 동안 저장될 수 있고, 정부 기관과 같은 제3자뿐만 아니라 Microsoft도 귀하의 저장된 대화에 접근할 수 있습니다.
Copilot은 종단간 암호화됩니까?: 아니요, 종단 간 암호화(E2EE)는 현재 기술로는 실용적이지 않습니다. Microsoft Copilot은 TLS/IPsec을 사용하여 전송 중인 데이터를 암호화하고, AES-256 및 BitLocker를 사용하여 저장 데이터를 암호화합니다. 그러나 진정한 종단 간 암호화는 서비스 제공업체가 아닌 보낸 사람과 수신인만 콘텐츠를 읽을 수 있음을 의미합니다.
서비스 제공업체인 Microsoft는 복호화 키를 보유하고 있으므로 규정 준수, 감사 및 법적 보존 목적으로 콘텐츠에 접근할 수 있으며, 이는 E2EE를 사용하지 않음을 의미합니다. Copilot과 Lumo의 차이점은 Microsoft가 귀하의 데이터와 복호화 키를 보유하는 반면, Lumo는 로그를 보존하지 않으며 귀하만이 복호화 키를 가질 수 있도록 대화 기록을 보호하기 위해 제로 액세스 암호화를 사용한다는 점입니다.
Microsoft Copilot을 사용하는 데 따른 위험은 무엇인가요?: 일반적으로 Microsoft Copilot은 귀하의 데이터가 보존되고 Copilot의 AI 모델을 학습시키는 데 사용될 수 있기 때문에 다양한 개인정보 및 보안 위험을 초래합니다. 이는 귀하가 알지 못하거나 동의하지 않은 상태에서 귀하의 채팅, 업로드된 파일, 연결된 드라이브 또는 폴더가 제3자에게 노출되거나 공유될 수 있음을 의미합니다.
Copilot에게 절대 말해서는 안 되는 5가지는 무엇인가요?: 비밀번호, API 키 및 자격 증명
이름, 이메일 주소, 식별 번호를 포함한 개인 식별 데이터
수익 예측, 급여 데이터 또는 미공개 재무 결과와 같은 기밀 재무 정보
귀하 본인 또는 타인의 개인 의료 및 건강 정보
법적 전문직 특권(변호사-의뢰인 비밀유지 특권)에 해당하거나 소송에서 공개되는 것을 원치 않는 모든 사항
Copilot은 귀하의 사진과 이미지를 보관하나요?: 네. Microsoft의 자체 개인정보 FAQ에 따르면, 귀하가 Copilot과 공유하는 이미지 및 파일은 최대 18개월 동안 안전하게 저장된 후 자동으로 삭제됩니다. 해당 파일 및 관련 대화는 귀하의 모델 학습 설정에 따릅니다. 즉, 옵트아웃하지 않은 경우 사진과 관련 대화가 Microsoft의 AI를 개선하는 데 사용될 수 있습니다.
고용주가 제 Copilot 대화를 볼 수 있나요?: 회사 관리 계정에서 Microsoft 365 Copilot을 사용하는 경우, 고용주와 회사 관리자는 귀하의 Copilot 상호작용 내용에 접근하고 검토할 권한을 가집니다. 기업 관리자는 데이터 보안, 관리 및 규정 준수를 위한 통합 플랫폼인 Microsoft Purview에 저장된 Copilot 데이터에 eDiscovery 및 법적 보존 정책을 적용할 수 있습니다. 업무용 계정에서의 Copilot 사용은 IT 및 규정 준수 팀이 언제든 확인할 수 있다고 가정하는 것이 좋습니다.
Microsoft 365 Copilot은 일반 소비자용 버전보다 더 안전한가요?: 어떤 면에서는 그렇습니다. 기업 데이터는 Microsoft의 기초 AI 모델 학습에 사용되지 않으며, 테넌트 수준 격리를 통해 조직 간 데이터 유출을 방지하고, 조직은 Microsoft의 데이터 거버넌스 및 규정 준수를 위한 통합 플랫폼인 Purview를 통해 거버넌스 정책을 구성할 수 있습니다. 하지만 기업 사용자는 과도한 권한이 부여된 접근, 플렉스 라우팅(EU 고객용), 프롬프트 주입 공격, 노출되기 쉬운 AI 상호작용 로그의 특성 관련 위험에 여전히 직면해 있습니다. 두 버전 중 어느 것도 진정한 기밀 데이터를 보장하지 않습니다.