AI 회의 요약과 프라이버시:
이 도구들은 당신의 데이터를 어떻게 쓰는가

대부분의 AI 회의 도구는 여러분의 오디오나 전사 내용을 클라우드 서버에 저장하며, 일부는 그 데이터로 모델을 학습시키기도 합니다. AI 노트테이커를 다음 영업 통화, 이사회 미팅, 또는 HR 면담에 들이기 전에, 통화가 끝난 후 회의 내용이 어디로 가는지 정확히 파악해 두는 것이 중요합니다.

그녀가 부주의했던 것이 아닙니다. 데이터가 어디에 저장되는지를 생각해 본 적이 없었을 뿐입니다. 이 글에서는 대부분의 AI 회의 도구에 내재된 다섯 가지 개인정보 위험을 설명하고, 주요 4개 플랫폼을 비교하며, 회의 내용을 실질적으로 보호하는 도구를 고를 때 무엇을 확인해야 하는지 안내합니다.

'GDPR 준수'만으로는 부족한 이유

주요 AI 회의 도구는 모두 컴플라이언스 배지를 달고 있습니다. Otter.ai는 SOC 2 Type 2 인증을 받았고 GDPR 데이터 처리 계약(DPA)을 제공합니다. Fireflies.ai도 마찬가지입니다. Zoom은 ISO 27001을 보유하고 있으며, Microsoft는 이 모든 것 이상을 갖추고 있습니다.

컴플라이언스 배지는 해당 벤더의 데이터 처리 프로세스가 감사를 받았다는 사실을 알려줍니다. 하지만 오디오가 서버 측에 저장되는지, 전사 내용이 기본적으로 얼마나 오래 보관되는지, 회의 내용이 모델 학습에 사용되는지, 또는 미국 정부의 소환장이 CLOUD Act에 따라 데이터에 어떤 영향을 미치는지는 알려주지 않습니다. 아키텍처가 정책보다 중요합니다. GDPR을 준수하면서도 미국 서버에 오디오를 무기한 저장하는 도구는 얼마든지 있습니다. '준수'란 데이터를 책임감 있게 처리한다는 뜻이지, 보유하지 않는다는 뜻이 아닙니다.

AI 회의 도구의 다섯 가지 개인정보 위험

1. 클라우드 오디오 저장

대부분의 AI 회의 도구는 처리를 위해 오디오를 서버로 전송합니다. 그 오디오는 전사 품질 검토, 분쟁 해결, 또는 기본 설정에 따라 보관될 수 있습니다. 보존 기간은 도구마다 크게 다릅니다. 30일 후 삭제하는 곳도 있고, 직접 삭제 요청을 할 때까지 보관하는 곳도 있습니다. 현실적인 위험은 벤더에서 데이터 유출이 발생했을 때 실제 녹음 내용이 노출된다는 것입니다. HR 면담, M&A 통화, 법률 자문 등에서는 이는 심각한 위험입니다.

2. 전사 및 요약 내용 보존

오디오가 장기 보관되지 않더라도, 전사 내용과 AI 요약은 거의 항상 벤더 서버에 남아 있습니다. 직접 삭제하기 전까지 계속 존재합니다. 일부 도구의 무료 플랜에서는 무기한 보관됩니다. 모든 회의 요약이 제3자가 보유한 영구 기록이 됩니다.

3. 회의 내용이 모델 학습에 사용될 수 있음

일부 도구는 회의 데이터를 — 익명화 여부를 불문하고 — AI 개선에 활용합니다. 이는 대개 개인정보 정책에 "서비스 개선을 위해 집계된 비식별 데이터를 사용할 수 있습니다"라는 표현으로 공개됩니다. 귀하의 구체적인 회의 내용이 포함되는지는 요금제, 동의한 설정, 그리고 변경될 수 있는 벤더의 현재 정책에 따라 달라집니다. 명시적인 수신 거부(opt-out) 옵션을 확인하세요. 엔터프라이즈 플랜에서는 보통 이 옵션을 제공합니다. 무료 플랜 사용자는 민감한 통화를 녹음하기 전에 현재 정책을 꼭 읽어보시기 바랍니다.

4. 봇 동의 문제

Otter.ai, Fireflies.ai 같은 도구는 봇 참가자를 회의에 참여시키는 방식으로 작동합니다. 그 봇은 모든 사람에게 보입니다. EU, 영국, 그리고 많은 미국 주에서는 모든 당사자의 명시적 동의 없이 대화를 녹음하면 개인정보 법을 위반할 수 있습니다. 참석자가 봇을 인지하지 못하고 나중에 이의를 제기한다면, 법적 책임은 벤더가 아닌 회의 주최자가 집니다.

5. 관할권과 법적 접근

Otter, Fireflies, Zoom, Microsoft는 모두 미국 본사를 두거나 미국 인프라에 데이터를 저장합니다. 2018년 미국 CLOUD Act에 따라 미국 법 집행 기관은 미국 클라우드 사업자에게 전 세계 어디에 저장된 데이터든 — EU나 아시아 데이터 센터 포함 — 제출을 강제할 수 있습니다. 상업적으로 민감하거나 개인정보를 포함한 데이터를 다루는 유럽 기업에게, 이는 어떤 GDPR DPA도 완전히 해소할 수 없는 관할권 공백을 만들어냅니다.

각 도구가 실제로 데이터를 어떻게 처리하는가

Otter.ai

Otter는 오디오를 클라우드 인프라(미국 AWS)에 저장합니다. 전사 내용은 직접 삭제할 때까지 보관됩니다. OtterPilot은 가시적인 봇으로 회의에 참여합니다. SOC 2 Type 2 인증과 GDPR DPA는 엔터프라이즈 계정에서 사용 가능합니다. 솔직한 강점: 업계 최고 수준의 영어 전사 품질과 대형 팀을 위한 명확한 엔터프라이즈 컴플라이언스. 솔직한 한계: 봇이 가시적으로 참여하고, 오디오가 클라우드에 저장되며, 모델 학습 수신 거부는 유료 엔터프라이즈 플랜에서 가장 명확합니다. 민감한 통화에 Otter를 사용하기 전에 해당 플랜의 현재 개인정보 정책을 반드시 확인하세요.

Fireflies.ai

Fireflies는 오디오 녹음과 전사 내용을 미국 클라우드 서버에 저장합니다. 무료 플랜에서는 직접 삭제하지 않는 한 데이터가 무기한 보관됩니다. 봇 참가자 없이 Fireflies를 사용하는 옵션은 없으며, fred@fireflies.ai가 유일한 작동 방식입니다. 솔직한 강점: 영업팀을 위한 최고의 CRM 연동. 솔직한 한계: 봇은 피할 수 없으며, 이 목록에서 가장 눈에 띕니다.

Zoom AI Companion

Zoom AI Companion은 네이티브 기능으로, 별도의 봇 참가자가 없습니다. 이로써 가시적 동의 문제가 해소됩니다. 요약은 Zoom 클라우드 인프라 내에서 생성되며, Zoom은 고객의 오디오, 비디오, 채팅, 화면 공유, 첨부 파일 등의 커뮤니케이션 콘텐츠를 Zoom 또는 제3자 AI 모델 학습에 사용하지 않는다고 명시합니다. 솔직한 강점: Zoom만 사용하는 팀에게는 마찰 없이 사용 가능하며, 별도 가입 불필요. 솔직한 한계: 플랫폼 종속. 민감한 통화에 사용하기 전에 관리자가 보존 및 녹음 정책을 검토해야 합니다.

Microsoft Teams Premium

Teams Premium(지능형 요약)은 Microsoft 365 내에 요약 결과물을 보관하지만, 저장 위치가 분산되어 있습니다. 녹음은 OneDrive 또는 SharePoint에 저장되고, 전사 사본 및 요약 데이터는 Exchange Online에도 저장될 수 있습니다. Microsoft는 Teams 회의의 고객 데이터가 자사 파운데이션 모델 학습에 사용되지 않는다고 밝힙니다. 솔직한 강점: 이미 Microsoft 365를 운영 중인 조직에 강력한 네이티브 거버넌스 제공. 솔직한 한계: Teams 전용이며 추가 라이선스 비용이 필요합니다. 저장과 보존이 여러 Microsoft 서비스에 분산되어 있어 관리자가 명시적으로 관리해야 합니다.

아키텍처의 차이: 브라우저 vs. 클라우드

위에 소개한 도구들은 하나의 설계 전제를 공유합니다. 오디오가 처리를 위해 원격 서버로 전송되고, 무언가가 그곳에 저장된다는 것입니다. 하지만 회의 도구를 만드는 방법이 그것만 있는 것은 아닙니다.

MirrorCaption은 Web Audio API를 통해 브라우저에서 오디오를 캡처하고, 자사의 실시간 음성-텍스트 변환 엔진으로 직접 스트리밍합니다. 오디오는 이후 폐기되며 MirrorCaption 서버에는 전혀 닿지 않습니다. 전사 내용은 브라우저의 IndexedDB(로컬 스토리지)에 저장되며, 파일을 명시적으로 내보내지 않는 한 클라우드와 동기화되지 않습니다. MirrorCaption 서버가 볼 수 있는 데이터는 오직 청구 사용량, 즉 소비된 분(minute) 수뿐이며, 내용은 포함되지 않습니다.

자사 STT의 API 키는 2초의 유효 시간(TTL)과 AES-GCM 암호화로 발급되므로, STT 자격 증명조차 저장 중에 노출되지 않습니다. 실질적인 결과: MirrorCaption에서 데이터 유출이 발생하더라도 노출되는 것은 청구 기록이지, 회의 전사 내용이나 오디오 파일이 아닙니다.

솔직하게 인정할 한계: MirrorCaption은 아직 SOC 2 인증을 보유하고 있지 않습니다. 조직의 구매 프로세스에 벤더 SOC 2 보고서가 필요하다면, 이는 실질적인 격차입니다. 개인정보 보호는 컴플라이언스 배지가 아닌 아키텍처에 기반한 이야기입니다. 공식적인 벤더 평가 프로세스를 갖춘 규제 산업에서는 현재 Teams Premium이 더 강한 컴플라이언스 답변을 제공합니다.

GDPR과 CCPA가 회의 녹음에 실제로 요구하는 것

모든 참가자의 동의가 필요한가?

GDPR 및 대부분의 EU 회원국 법률에 따르면, 통화를 녹음하기 전에 일반적으로 모든 당사자의 명시적 동의가 필요합니다. '명시적'이 핵심어입니다. 봇이 참가자 목록에 나타나는 것이 고지에 해당할 수 있지만, 참가자가 그것을 확인하고 그 목적을 이해할 때만 유효합니다. 국제 통화에서 참가자가 제2언어로 참가자 목록을 읽을 수도 있다면, 이 전제는 녹음 전에 신중히 검토할 필요가 있습니다.

국경 간 통화: 어느 관할권이 적용되는가?

독일 직원과 일본 고객 간의 통화를 미국 기반 도구로 녹음할 경우, 세 가지 관할권이 잠재적으로 적용됩니다. GDPR(EU 정보 주체), 일본의 개인정보 보호법(APPI), 그리고 도구가 데이터를 저장하는 미국 데이터 법입니다. 가장 안전한 접근법은 모든 참가자에게 명시적인 구두 또는 서면 동의를 받아 기록해 두고, 제4자의 데이터 노출 위험을 추가하지 않는 도구를 선택하는 것입니다.

모든 AI 회의 도구를 위한 개인정보 체크리스트

민감한 통화에 AI 회의 도구를 사용하기 전에, 다음 여섯 가지를 확인하세요.

1. 1오디오는 어디에, 얼마나 오래 저장되나요? "모범 사례를 따릅니다"가 아닌, 구체적인 보존 기간을 요청하세요.
2. 2전사 데이터의 소유권은 누구에게 있나요? 모든 기록을 내보내고 완전히 삭제할 수 있나요?
3. 3도구가 가시적인 봇으로 참여하나요? 그렇다면 모든 참가자가 그 존재에 동의했나요?
4. 4모델 학습을 수신 거부할 수 있나요? 정책 문서뿐 아니라 개인정보 설정에서 직접 찾아보세요.
5. 5어느 법적 관할권이 귀하의 데이터를 규율하나요? 미국 기반 도구라면 CLOUD Act 노출을 이해하세요.
6. 6플랫폼을 떠날 때 모든 것을 어떻게 삭제하나요? 도구가 민감한 통화를 처리하기 전에 미리 테스트해 보세요.

자주 묻는 질문

결론

교훈은 AI 회의 도구가 위험하다는 것이 아닙니다. 기본 설정, 데이터 아키텍처, 벤더 관할권이 요금제 페이지의 컴플라이언스 배지보다 훨씬 더 중요하다는 것입니다.

간략한 의사결정 가이드입니다.

• Teams 중심 조직을 위한 Microsoft 365 네이티브 거버넌스: Microsoft Teams Premium
• CRM 연동 + 팀이 봇 동의를 관리할 수 있는 경우: Fireflies.ai
• 고품질 영어 전사 + SOC 2 인증: Otter.ai
• 실시간 번역 + 서버 저장 없음 + 봇 없음: MirrorCaption

아키텍처는 문제가 생겼을 때 무엇을 복구할 수 있는지를 결정합니다. 회의 도구를 선택할 때도 다른 데이터 처리자를 선택할 때와 같은 기준을 적용하세요. 도구가 데이터에 대해 무엇을 말하는지가 아니라, 실제로 무엇을 하는지를 기준으로 판단하세요.