← 블로그
2026-07-02 · 블로그
법률 AI에 사건 자료를 넣어도 될까 — 변호사 비밀유지·보안 체크리스트
"법률 AI 보안"이나 "변호사 AI 비밀유지"를 찾아보면 결국 한 가지가 걸립니다. 의뢰인 자료를 AI에 입력해도 비밀유지의무를 지킬 수 있는가. 변호사에게 이건 편의의 문제가 아니라 직역상 의무의 문제입니다. 결론부터 말하면, 도구를 제대로 고르고 원칙을 지키면 쓸 수 있지만, 아무 서비스에나 사건 자료를 넣는 것은 위험합니다.
범용 챗봇에 사건 자료를 넣으면 생기는 일
- 학습 데이터 편입: 일부 범용 서비스는 입력한 내용을 모델 개선에 사용할 수 있습니다. 한 번 들어간 사건 정보가 어디에 남는지 통제하기 어렵습니다.
- 보관 위치 불투명: 데이터가 어느 나라 서버에 얼마나 오래 저장되는지 확인되지 않으면, 유출 시 책임 범위를 가늠할 수 없습니다.
- 재식별 위험: 이름만 지웠다고 익명화가 되는 게 아닙니다. 사건 경위·금액·날짜의 조합만으로 당사자가 특정될 수 있습니다.
도구를 고를 때 반드시 확인할 것
- 학습 미사용 보장: 입력 데이터를 모델 학습에 쓰지 않는다는 계약상 명시가 있는지 확인합니다. "안 쓴다"는 안내 문구가 아니라 약관·DPA 수준의 근거여야 합니다.
- 데이터 보관·삭제 정책: 저장 위치, 보관 기간, 삭제 요청 시 실제 파기 여부를 확인합니다.
- 접근 통제와 격리: 사무소별·사건별로 데이터가 격리되는지, 다른 이용자가 우리 사건에 접근할 여지가 없는지 봅니다.
- 전송·저장 암호화: 전송 구간과 저장 데이터 모두 암호화되는지 확인합니다.
어디에 두느냐가 절반이다
같은 AI라도 데이터가 어디에 머무는가가 위험의 절반을 결정합니다. 통제된 환경에서 처리·보관되고, 사건(매터) 단위로 자료가 격리되며, 무엇이 언제 입력·처리됐는지 추적할 수 있는 구조라면 비밀유지 부담이 크게 줄어듭니다. 반대로 개인 계정으로 공개 챗봇에 붙여 넣는 방식은, 편해 보여도 통제선 밖으로 자료를 내보내는 일입니다.
그래도 지켜야 할 최소 원칙
도구가 아무리 안전해도 사람이 지킬 선은 남습니다. (1) 꼭 필요한 최소한의 정보만 입력하기, (2) 가능하면 당사자 식별정보는 가명·번호로 치환하기, (3) 어떤 자료를 어떤 도구에 넣었는지 사무소 차원에서 기록·합의하기. 이 세 가지는 어떤 서비스를 쓰든 유효합니다.
정리
법률 AI의 보안은 "쓸까 말까"의 문제가 아니라 "어떻게 통제하며 쓸까"의 문제입니다. 학습 미사용이 보장되는지, 데이터가 어디에 격리·보관되는지, 삭제와 추적이 가능한지를 기준으로 도구를 고르고, 최소 입력 원칙을 지키면, 비밀유지의무를 지키면서도 AI의 도움을 받을 수 있습니다.