사내에 생성형 AI 붙였다면? 학습데이터·출력물·계약까지 묶는 IP 거버넌스

“코파일럿으로 짠 코드, 회사 거 맞죠? 고객 문서 넣어서 요약하게 해도 되나요?”

생성형 AI(GenAI)는 이미 기획·개발·법무·마케팅 곳곳에 들어왔습니다. 하지만 무엇을 넣었는지(입력), 무엇이 나왔는지(출력), 누구 돈으로 쓰는 SaaS인지(계약)가 정리되지 않으면, 나중에 저작권 침해 주장, 영업비밀 유출, IPO 실사 질문에서 한꺼번에 터질 수 있습니다.

오늘은 데이터 자산 보호, 오픈소스와 기업 IP, JDA·소유권 등 앞선 글들과 이어지는 맥락에서, 기업이 GenAI를 ‘쓰기 전에’ 정해야 할 IP 거버넌스를 실무 관점으로 정리합니다.

1. 세 갈래로 나누어 생각하기: 입력 · 출력 · 계약 🔀

① 입력(프롬프트·첨부·코드베이스)

고객·제3자 비밀을 클라우드 GenAI에 그대로 붙여 넣는 순간, 영업비밀 관리와 계약상 비밀유지 의무를 위반할 수 있습니다. 내부 가이드에서 금지·마스킹·온프레미스 전용 구역을 나누는 것이 안전합니다.
오픈소스·GPL 코드를 학습시키거나 프롬프트에 넣으면, 결과물에 라이선스 전파나 저작권 표시 의무 이슈가 생길 수 있습니다. 오픈소스 정책과 GenAI 정책을 링크해 두세요.

② 출력(코드·문서·이미지)

GenAI 출력이 저작물인지, 단순 데이터 나열에 가까운지에 따라 보호 전략이 달라질 수 있습니다. 중요한 건 “누가 창작에 기여했는지”입니다. 직원이 선별·수정·통합해 제품에 넣었다면, 회사의 저작재산권·직무저작물 규정과 맞물립니다.
특허 명세서·청구항 초안을 GenAI만으로 작성했다면, 신규성·진보성뿐 아니라 발명자·출원인 표시 등 형식·실체 문제도 함께 검토해야 합니다.

③ 계약(SaaS·API·파인튜닝)

클라우드 벤더 약관에는 학습에의 이용(모델 개선 목적), 로그 보관, 지역별 데이터 센터 등이 들어 있습니다. 학습 옵트아웃, 엔터프라이즈 약관으로 바꿀 수 있는지 반드시 확인하세요.
파인튜닝을 하면 회사 데이터가 모델에 녹아드는 형태가 될 수 있어, 종료 후 삭제·반환, 재학습 금지 조항이 더욱 중요합니다.

2. 내부 정책에 넣으면 좋은 5가지 원칙 🛡️

용도 분류: “공개 정보만 OK”, “내부 비공개 전용 모델”, “고객 데이터 절대 금지”처럼 티어를 나눕니다.
Human in the loop: 법률 의견·대외 계약서·특허 최종안은 자동 출력 그대로 제출 금지, 담당자 검증 필수로 정합니다.
로그·버전 관리: “어떤 프롬프트로 어떤 초안이 나왔는지” 최소한의 감사 추적을 남기면, 분쟁 시 고의·과실 입증에 도움이 될 수 있습니다.
교육: 개발자에게 금지 입력 예시(고객 로그, 미공개 설계값 등)를 구체적으로 보여 주는 것이 효과적입니다.
벤더 실사: GenAI 도입은 IT 보안만이 아니라 IP·법무가 같이 보는 체크리스트를 두면 M&A·상장 단계에서도 일관됩니다.

Tip: “전 직원 ChatGPT Plus 개인 카드로 쓴다”는 형태는 통제 불가에 가깝습니다. 가능하면 기업 계약·SSO·사용량 모니터링으로 모읍니다.

3. JDA·외주·프리랜서와의 정리 🤝

공동연구나 외주에서 GenAI를 쓴다면, 계약서에 다음을 명시하는 것을 검토하세요.

입력 데이터의 권원: 학습·추론에 쓰는 데이터가 위탁자·수탁자 중 누구의 것인지, 제3자 라이선스가 필요한지
결과물 귀속: Foreground IP와 같이, “AI 보조 산출물”도 산출물에 포함하는지
금지: 상대방 영업비밀·개인정보를 무단으로 외부 GenAI에 입력하지 않을 의무

JDA 글에서 말씀드린 Background / Foreground 구분을 GenAI에도 그대로 확장해 쓰면, 협상이 수월해집니다.

마치며: GenAI는 ‘도구’이지만, IP 리스크는 ‘회사 몫’

사내에 GenAI를 이미 쓰고 있거나 도입을 검토 중이라면, IP·법무·보안·개발이 한자리에 모여 허용·금지 시나리오부터 적어 보시길 권합니다. 세부는 사안별 자문과 함께 다듬으면 됩니다.