뉴욕타임즈의 데이터 요구에 대한 OpenAI의 대응 및 사용자 프라이버시 보호
(openai.com)- 뉴욕타임스 등 원고 측이 오픈AI에 대해 이용자 ChatGPT 및 API 데이터 무기한 보존을 요구한 소송 상황임
- 오픈AI는 이러한 요구가 이용자 프라이버시 약속과 상충한다며 법원 명령에 적극적으로 이의 제기 및 항소 중임
- 이번 보존 명령은 ChatGPT Free, Plus, Pro, Team, 일반 API 이용자에게만 적용되며, 엔터프라이즈/에듀 및 ZDR API 이용자는 해당되지 않음
- 삭제된 데이터까지도 별도 시스템에 법적 보존해야 하며, 접근 권한은 엄격히 제한된 오픈AI 법무·보안팀에 한정됨
- 오픈AI는 프라이버시 보호를 최우선 가치로 두고 모든 법적 절차에서 이용자 보호를 위해 계속 대응할 방침임
How we’re responding to The New York Times’ data demands in order to protect user privacy
- 뉴욕타임즈를 포함한 원고들은 OpenAI를 상대로 한 소송에서 소비자 ChatGPT 및 API 고객 데이터를 무기한 보관하라는 요구를 함
- 이 요구는 OpenAI가 사용자에게 약속한 프라이버시 원칙과 본질적으로 충돌하며, 업계 표준 및 프라이버시 보호 수준을 약화함
- OpenAI는 이러한 요구를 과도하다고 판단하며, 사용자 프라이버시를 최우선으로 항소 절차를 진행 중임
주요 질문과 답변
1. 뉴욕타임즈 등 원고의 요구 이유
- 뉴욕타임즈가 OpenAI를 상대로 소송을 제기하면서, 소송에 유리한 증거를 찾을 수 있다는 추측에 기반하여 모든 사용자 콘텐츠의 무기한 보관을 법원에 요구함
- OpenAI는 이러한 요구가 이용자 프라이버시를 위협할 뿐 아니라 소송 해결에도 실질적인 도움이 되지 않는다고 판단함
- ChatGPT Free, Plus, Pro, Team, 일반 API 사용자는 영향이 있으나, ChatGPT Enterprise, ChatGPT Edu, Zero Data Retention API 고객은 해당 사항 없음
2. OpenAI의 법적 대응
- OpenAI는 초기에 모든 출력 데이터 보관 요구가 과도하며 프라이버시 정책과 상충함을 주장하며 반대 입장 제출
- Magistrate Judge 앞에서 ChatGPT Enterprise는 예외임을 확인받음
- District Court Judge에 추가 항소 진행 중임
3. 비즈니스 고객의 Zero Data Retention 계약자
- Zero Data Retention API를 이용 중인 비즈니스 고객은 입력·출력 데이터가 저장되지 않아 영향 없음
4. ChatGPT 데이터 삭제 시
- 일반 소비자 계정은 소송 영향이 있을 수 있으나, Enterprise·Edu 고객 및 Zero Data Retention API 이용자는 영향 없음
5. 데이터 저장 방식 및 접근 권한
- 법원 명령에 해당하는 데이터는 별도의 보안 시스템에 분리 저장
- 해당 데이터는 법적 의무 이행 목적 외 사용 불가하며, 접근 권한은 엄격하게 제한된 OpenAI의 법무 및 보안팀 소수 인원에 한정됨
6. 데이터 외부 공유 가능성
- 저장된 데이터는 뉴욕타임즈 등 외부에 자동으로 전달되지 않음
- 계속적인 정보 공개 요구가 있을 시 OpenAI는 프라이버시 수호를 위해 적극 대응 예정
7. 데이터 보관 기간 및 종료 시점
- 현재 법원 명령에 따라 사용자 데이터 무기한 보관이 강제되어 있으나, 이에 대해 적극적으로 법적 대응 중
- 성공적으로 법적 대응 시 기존의 데이터 보관 정책으로 복귀 가능
8. GDPR 등 프라이버시 법 위반 여부
- 법원 명령에 따라 법적 의무는 지키고 있으나, 뉴욕타임즈의 요구는 OpenAI의 프라이버시 기준과 상충
- 이에 대한 항소 및 정책 대응을 이어가는 중임
9. 모델 학습 정책 변화 여부
- 비즈니스 고객 데이터는 기본적으로 모델 학습에 활용되지 않으며, 이번 명령으로 정책 변화 없음
- 소비자 고객은 개별 설정 내역에 따라 학습 데이터 활용 여부를 직접 제어 가능, 명령으로 영향 없음
10. 사용자 정보 제공 및 투명성
- OpenAI는 지속적인 정보 제공 및 투명성 유지를 약속함
- 법원 명령의 변화나 사용자 데이터 영향 사항 발생 시 신속히 안내 예정
11. 데이터 보관 정책 요약
- ChatGPT(Free/Plus/Pro): 대화 또는 계정 삭제 시, 데이터는 즉시 계정에서 삭제되고 30일 이내 영구 삭제 예정
- ChatGPT Team: 각 사용자가 대화 보관 여부 제어 가능, 삭제/저장되지 않은 데이터는 30일 이내 삭제(법적 의무 제외)
- ChatGPT Enterprise/Edu: 워크스페이스 관리자가 데이터 보관 기간 관리, 삭제된 대화는 30일 내 삭제(법적 의무 제외)
- API: 비즈니스 사용자는 애플리케이션 상태 관리를 위해 보관 기간 및 방법을 직접 선택 가능, API 입력 및 출력 데이터는 30일 후 로그에서 삭제(법적 의무 제외)
- Zero Data Retention API: 경우 입력/출력 데이터가 애초에 저장되지 않음
결론
- OpenAI는 사용자 신뢰와 프라이버시 보호를 정책 최우선으로 삼고 있으며, 법적 도전에 맞서 지속적으로 대응
- 비즈니스 및 교육용, ZDR API 등 특정 고객군에는 영향이 없으며, 일반 소비자 데이터는 별도로 보호 조치 중
- 법적 상황 변화 및 사용자 데이터 보호 방침에 대해 투명하게 안내할 방침
Hacker News 의견
- OpenAI에서 Zero Data Retention(ZDR) 옵션을 공식적으로 신청할 수 있도록 해주면 정말 큰 도움이 될 거라 생각함. 많은 기업 상황에서는 요청 로그 자체를 저장할 이유가 전혀 없음. 문서상으로는 신청이 가능하다고 여러 차례 나오는데, 실제로는 그냥 무시당함. 승인을 받아야 하고 진입 장벽이 있다는 건 이해하지만, 실제로는 마케팅 용도로만 ZDR을 언급하는 것 같음. 여러 번 신청했지만 아무런 답변도 받지 못함. 포럼 글들을 보면 이게 매우 흔한 일처럼 보임
- 승인 과정이 필요한 건 이해하지만, 왜 기본값이 개인정보 보호나 기록 미저장이 아닌지 궁금함. OpenAI의 개인정보 보호 약속에 의심을 갖는 이용자가 많음. 입력값은 저장되고 분석되어 공유되는 게 아닐까 생각함. 진짜 개인정보 보호가 필요하다면, 로컬에서 돌아가는 LLM만이 진짜 대안임
- 내 이해로는 버그 처리를 위해 기본적으로 30일 동안 로그를 보관한다고 알고 있음. 0일 저장도 요청할 수 있음. 이 내용은 공식 문서에 기재되어 있음
- 본질적으로 빠진 요소는 돈임
- "특정 사용처라면 zero data retention(ZDR)도 요청할 수 있음. 데이터 처리 관련 자세한 내용은 Platform Docs 페이지 참고"라는 정책OpenAI Privacy Policy가 있음. 1) 요청은 가능해도 승인을 보장하지 않음. 2) 기본값이 중요함. 실리콘밸리 기본값은 개인정보 보호가 아닌 수익 극대화에 맞춰져 있음. OpenAI 역시 기본이 데이터 저장, 출력값까지 저장함. 데이터 보존 명령에 반대하는 OpenAI의 메모 내용을 진지하게 받아들이기 어렵게 만듦
- 공식적으로는 신청할 수 있다고 반복적으로 써놓았지만, 실제론 전혀 작동하지 않는 마케팅 문구일 뿐일 수도 있다고 의심됨
- 법원 명령으로 보호되는 데이터는 격리된 시스템에 보관되고 법적 의무 수행 외에는 접근할 수 없음. 소수의 감사를 거친 OpenAI 법무 및 보안팀만 법적 의무에 따라 접근 가능함. 만약 데이터가 유출되면 OpenAI에게 책임이 있음. 하지만 이 글 전반의 언어, 특히 반복적으로 소송이 ‘근거 없다’고 하는 건 신뢰도를 떨어뜨리고 있어 신뢰감이 안 드는 판촉용 글 같음
- 이번 사건은 뉴스 사이클로 번졌는데, 삭제한 채팅이 소송 때문에 실제로 삭제되지 않는다는 소식이 이슈가 되어 OpenAI 측에서는 고객 안심을 위해 대응 필요가 있었음
- 소송 관련 데이터가 검색 과정에서 해당 사안과 연관된다고 판명되면, 해당 데이터는 최소한 양 당사자 그리고 법원이 접근할 수 있음
- OpenAI 입장에서는 당연히 자신들 입장을 내세울 수밖에 없음. ‘근거 없는 소송’이라고 주장하는 건 당연함
- 나는 OpenAI 사용자임. 유용해서 비용도 지불하고 사용 중임. 이용약관과 개인정보 처리방침에 명시된 범위 이상으로 데이터가 저장되길 원하지 않음. 재판부가 OpenAI의 보관 의무가 수천만 사용자 프라이버시를 위태롭게 한다는 점을 이해하지 못한다면 적합하지 않다고 생각함
- 데이터 보안에 대한 첫 번째 원칙은 시스템이 불완전하므로 유일한 보호는 아예 데이터를 저장하지 않는 것임. 데이터 유출이 발생하면 OpenAI에 책임이 있음. 데이터 보안 약속을 하는 회사는 능력이 없거나 불성실함
- OpenAI 법무팀이 실제 채팅 내역 대신 ssdeep 해시나 콘텐츠 청크와 같이 흐릿한 정보만 저장하는 방식을 적용할 수 있을지 궁금함. NYT가 요구하는 데이터 범위가 제한적이고 API를 통해 문제 되는 콘텐츠가 생성된다면, 해시 값으로 비교가 가능함. 당연히 아무것도 저장하지 않는 게 이상적이지만, 지나치게 광범위한 법원 명령을 고려할 때 현실적인 절충 가능성이 있음. 추가로, ssdeep, 콘텐츠 청크 관련 자료도 참고할 수 있음
- 이런 기술적 용어를 법정에서 변호사나 판사에게 설명하는 건 매우 어렵다는 점 강조
- 판결 취지를 적극적으로 회피하려는 시도 자체가 아주 안 좋은 선택임
- 법원 명령 관련 문서를 찾지 못했지만, 판사가 OpenAI에 데이터 구분 가능 여부를 물었지만 OpenAI가 아예 아무 답을 하지 않았고, 단순히 거부가 아니라 무시한 상황으로 보임. OpenAI가 적극적으로 해결책을 찾을 의지가 없고 홍보(PR) 전략만 활용하는 듯함
- 이런 기술적 제안이 아무리 멋지게 백서에 들어가도 실제로는 모든 ChatGPT 대화가 S3에 저장되고 있고, 각종 기관에서 정기적으로 백업하고 있음. 이메일처럼 내부에 민감한 내용이 가득한 텍스트 데이터베이스임. 경영진의 "약속"은 전혀 신뢰하지 않음
- 예전에는 내가 브라우저 히스토리 유출을 매우 부끄러운 일로 여겼다면, 이제는 LLM 대화 기록이 유출되는 것이 그보다 훨씬 심각하다고 생각함. 타인과의 프라이빗 대화보다도, 혼자 있을 때 감추지 않은 내 모습이 그대로 기록된 대화임
- 대체 뭘 묻길래 LLM에서 비밀 보장을 기대하냐는 반응이 있음
- 관련 토론: OpenAI slams court order to save all ChatGPT logs, including deleted chats (2025년 6월, 878개 댓글)
- NYT를 향한 비난이 이상하다고 생각함. NYT가 소송 사유가 있다면 법원이 승인할 것이고, 사유가 없다면 OpenAI가 법정에서 이길 것임. 법원 명령을 NYT를 향한 비난 도구로 삼는 것이 이상함
- NYT는 미국 법 제도의 취약점, 즉 개인 정보에 거의 신경을 쓰지 않는 광범위한 증거 개시(discovery) 절차를 이용하는 것임. 자기 이익 때문이겠지만 이번에는 OpenAI 편을 지지하지 않을 수 없음
- NYT는 상황에 따라 입장을 바꾸는 것 같음. 과거엔 프리랜서 기사 DB화해서 판 적 있고, 저작권 약화 주장했음. 지금은 저작권을 가장 중시함. 참고로 NYT의 정책 변화 관련 글은 흥미로움
- NYT도 사건 당사자임. 소송을 ‘근거 없다’고 하는 건 정당함
- 만약 NYT가 실제로 사유가 없지만 법원이라도 승인을 한다면, 그때도 이상한 일임
- 합법적이라고 해서 법 제도를 남용하는 사람들이 면죄부를 받진 않음
- OpenAI의 “왜 이런 일이 벌어지나요”에서 설명 빠진 부분이 있음. 마치 사람들이 이유 없이 화내는 것처럼 묘사하지만, 정작 고객 관점에서 보면 어이없음
- "설정"에서 사용자 데이터가 모델 훈련에 사용되는지 제어할 수 있다고 안내하지만, 실제로는 “모두를 위한 모델 개선” 토글이 아무런 영향도 없는 다크 패턴이 있고, 비노출 포털에 직접 신청해야 하므로 쉽게 발견할 수 없음. 많은 사용자가 실제 동작을 오해하게 만들었음
- 자세한 설명 요청됨
- "모두를 위한 모델 개선" 토글이 실제로 아무 효과가 없다는 주장에 대해 구체적인 설명과 해당 포털 링크 요청됨
- 나는 외부 업체 API에 보낸 모든 것이 영구 저장된다고 항상 가정해왔음. 그 반대라고 생각하는 게 더 순진함. 앱이 웹 트래킹을 안 한다고 믿는 것만큼이나 순진한 태도임
- 최악을 가정하는 건 현명하지만, 아무런 저항도 없이 최악에 순응만 하는 건 어리석음
- 개인정보 포기주의(privacy nihilism)도 결국 스스로 내리는 선택임
- "신뢰와 개인정보 보호가 핵심 가치이며, 데이터 관리 도구와 삭제 옵션을 제공한다"는 OpenAI 공식 입장에 동의하지 않음. 추가 비용을 내면 프라이버시 제공한다고 홍보하며, Pro 유저도 "프라이버시"를 누릴 수 없음. 수 차례 정보 삭제 요청에도 모델 및 훈련 데이터 내 개인정보 삭제는 거부함
- 모든 사용자가 옵트아웃할 수 있음. ChatGPT Plus, Pro, Free 모두 기본적으로 데이터 공유가 활성화되지만, 누구나 훈련용 데이터 사용을 비활성화할 수 있음. Enterprise만 기본 비활성화일 뿐임. 참고자료: What if I want to keep my history on but disable model training?
- 기업식 "신뢰 세탁(trustwashing)"에 불과한 공식 문구임. 애매하고 모호한 용어, 기분좋은 수사, 공허한 가치만 가득함