우리 회사의 소스코드가 AI 학습에 쓰인다면? | AI 솔루션 도입 전 반드시 확인해야 할 'ZDR'

취약점 데이터, AI 분석 후 어디에 남을까요? ZDR(제로 데이터 보존) 협약이 필요한 이유와 일반 약관과의 차이, 보안 담당자가 AI 솔루션 도입 전 꼭 확인해야 할 체크리스트를 알아보세요.
Xint's avatar
Xint
Jun 09, 2026
우리 회사의 소스코드가 AI 학습에 쓰인다면? | AI 솔루션 도입 전 반드시 확인해야 할 'ZDR'
Contents
1. 우리가 놓치고 있는 보안의 사각지대2. 해결책: '제로 데이터 보존(ZDR)'이란 무엇인가?3. 왜 일반 약관만으로는 부족할까?4. Xint: 가장 까다로운 보안 기준을 충족하는 설계AI 보안의 시작은 '흔적을 남기지 않는 것'부터[Xint FAQ]

생성형 AI를 도입하려는 보안팀의 고민은 깊습니다. 특히 국내 금융권이나 대기업처럼 보안 규제가 엄격한 곳에서는 단순히 "AI가 좋다"는 말만으로 도입을 결정할 수 없습니다. 최근 보안 담당자들이 Xint팀에 가장 많이 묻는 질문 중 하나입니다.

“우리가 입력한 소스코드와 취약점 데이터, 모델이 학습해버리는 것 아닌가요?"

"점검 결과가 클라우드에 남으면 보안 위탁 규정 위반이나 유출 위험은 없나요?"

이는 단순한 기우가 아닙니다. 기업의 핵심 자산인 소스코드와 그 안에 담긴 취약점 정보는 단 한 번의 유출만으로도 치명적인 결과를 초래하기 때문입니다. 하지만 AI의 압도적인 분석 속도를 포기할 수도 없는 상황에서, 보안과 효율이라는 두 마리 토끼를 잡을 수 있는 방법, ZDR을 소개합니다.

 

1. 우리가 놓치고 있는 보안의 사각지대

LLM API를 사용할 때 가장 큰 위협은 데이터의 흔적입니다. 일반적인 API 계정은 프롬프트와 결과값을 기본적으로 30일 동안 저장합니다. 의해킹이나 취약점 분석에 LLM을 활용 중이라면, 다음과 같은 민감 정보가 외부 서버에 한 달간 보관된다는 점, 한 번쯤 짚어볼 필요가 있습니다.

  • 서비스의 핵심 소스 코드와 로직

  • 발견된 취약점의 종류와 상세 위치

  • 취약점 증명(POC) 코드 및 내부 분석 데이터

이 30일은 공격자에게는 충분히 긴 시간입니다. 공격자가 실시간 통신을 가로채는 것은 어렵지만, 이미 저장된 로그 서버를 해킹하는 것은 상대적으로 수월하기 때문입니다. 게다가 이 데이터는 서비스 제공업체의 협력사나 인프라 사고, 심지어 국가 간 법적 규제 문제에까지 얽힐 수 있어 기업의 통제 범위를 완전히 벗어나게 됩니다.

2. 해결책: '제로 데이터 보존(ZDR)'이란 무엇인가?

이러한 보안 공백을 메울 수 있는 해결책이 바로 ZDR(Zero Data Retention, 제로 데이터 보존) 협약입니다.

ZDR은 제공업체가 사용자의 데이터를 요청 처리 즉시 파기하며, 이를 별도로 저장·로깅·활용하지 않겠다고 계약상으로 약속하는 것을 의미합니다. 데이터가 오가고 응답이 생성되는 즉시 복사본을 파기하므로, 서버에는 그 어떤 흔적도 남지 않습니다.

AI 기반 취약점 탐지 플랫폼 Xint가 모델 제공업체와 반드시 ZDR 협약을 맺는 이유도 바로 여기에 있습니다. 고객의 데이터가 '잠재적 먹잇감'으로 남지 않도록 원천 차단하는 것입니다.

3. 왜 일반 약관만으로는 부족할까?

"우리 업체는 개인정보 보호 정책이 잘 되어 있다"는 말만 믿어서는 안 됩니다. 일반적인 개인정보 정책이나 표준 기업 계약서는 데이터를 '통계적'으로 어떻게 처리하는지를 다룰 뿐, 실시간 입력 데이터의 즉각적인 파기를 보장하지는 않습니다.

기업용 계약이라 할지라도 '모델 학습용' 활용만 제한할 뿐, 서비스 오남용 탐지라는 명목으로 로그를 보관하는 경우가 허다합니다. 따라서 진정한 보안을 원한다면 다음과 같은 구체적인 조건이 계약서에 명시되어 있는지 확인해야 합니다.

  • 보존 기간 0일: 데이터 보존 기간이 물리적으로 0일인가?

  • 명확한 정의: 무엇을 '보존'으로 보는지 정의가 명확한가?

  • 감사 권한: 실제로 약속을 지키는지 우리가 확인할 권리가 있는가?

4. Xint: 가장 까다로운 보안 기준을 충족하는 설계

Xint는 대표적인 상용 AI-LLM 기업들의 모델(ChatGPT, Claude 등)을 사용합니다. 각각의 기능별로 최상의 성능을 내는 모델을 테스트해서 해당 모델을 활용하고 있습니다

그리고 플랫폼 설계 단계부터 기업의 보안 요구사항을 최우선 순위에 두었습니다.

  • 이미 확보된 ZDR 체계: Xint는 협력 중인 모델 API 제공업체와 ZDR 협약을 이미 체결하고 있습니다. 고객이 입력한 소스코드와 결과값은 분석 즉시 증발하며, 모델 학습에 절대 활용되지 않습니다.

  • 철저한 데이터 생애주기 관리: 분석 종료하면 로그 및 리포트 제외하고 모든 데이터는 제거됩니다.

  • 지속적인 리스크 관리: AI 인프라 환경은 계속 변합니다. Xint는 ZDR을 일회성 체크리스트가 아닌 지속적인 관리 항목으로 취급하며, 주기적으로 보안 수준을 검토합니다.

AI 보안의 시작은 '흔적을 남기지 않는 것'부터

보안을 강화하기 위해 도입하는 AI 플랫폼이 또 다른 보안 취약점이 되어서는 안 됩니다. AI의 강력한 분석 능력은 취하면서도 데이터 유출 걱정은 완전히 털어낼 수 있는 방법은 명확합니다.

지금 AI 보안 솔루션을 검토 중이라면 확인해보세요. "귀사는 명시적인 ZDR 협약을 맺고 있습니까?"

Xint는 이 질문에 가장 확실하게 "네(Yes)"라고 답하며, 여러분의 핵심 자산을 가장 안전하게 보호합니다.

[보안 담당자를 위한 체크리스트]

  • [ ] 서비스 제공업체가 API 모델사와 명시적인 ZDR 협약을 맺었는가?

  • [ ] 데이터가 분석 즉시 파기되거나 휘발되는 구조인가?

  • [ ] 기업의 민감 데이터가 모델 재학습에서 완전히 제외되는가?

  • [ ] 감사 권한 등 ZDR 이행을 확인할 수 있는 계약 문구가 존재하는가?

 

AI AppSec 혁신, 이제 Xint와 함께 안심하고 시작해보세요.

[Xint 데모 신청하러 가기]

[Xint FAQ]

Q: 데이터(계정 정보, 취약점 결과)가 AI 모델 학습에 사용되나요?

A: 아니요, 고객 데이터는 모델 학습에 활용되지 않습니다. Xint는 LLM 프로바이더와 ZDR 계약을 체결하여, 분석을 위해 전송되는 민감 정보는 LLM 프로바이더 구간에서 응답 완료 즉시 삭제됩니다. 분석 결과는 고객이 플랫폼에서 확인할 수 있도록 Xint 자체 인프라에 저장되며, 관련 로그는 최대 30일 보존 후 삭제됩니다.

Q: 진단 데이터는 학습하지 않는다고 이해했는데요. 진단한 데이터의 경우 진단이 끝나면 삭제 되나요?

A: 진단 과정에서 LLM에 전송된 데이터는 응답 즉시 삭제됩니다. 다만 진단 결과물(취약점 보고서 등)은 고객사의 내부 검토 및 보고 목적을 위해 Xint 플랫폼 내에 PoC 종료 후 최대 60일간 보존됩니다. 계정 삭제 시 또는 고객 요청 시 즉시 삭제도 가능합니다. 

Q: 점검 데이터가 다른 고객사와 공유되지는 않나요?

A: 스캔 진행시 점검마다 새로운 서버를 할당받아 진행하고 점검이 끝나면 즉시 해당 서버를 종료시키는 방식으로 완벽하게 격리하고 있습니다.

Q: 고객사 간 데이터는 어떻게 격리되나요?

A: 스캔 완료 후 스캔 결과 및 수반되는 데이터는 조직별로 나눠서 저장됩니다.

Share article