Atlassian, 기본값으로 데이터를 AI 학습에 쓰기 시작했다: Jira·Confluence 사용자들이 알아야 할 것

조용히 바뀐 기본 설정

Atlassian이 Jira, Confluence, Trello 같은 자사 제품에서 수집한 고객 데이터를 기본값으로 AI 모델 학습에 사용하도록 정책을 바꿨다는 소식이에요. 쉽게 말해, 여러분 회사의 이슈 티켓, 위키 문서, 스프린트 기록 같은 것들이 특별히 거부 설정을 하지 않는 한 Atlassian의 AI 기능을 개선하는 데 쓰이게 됐다는 뜻이죠. 이게 왜 중요한 얘기냐면, 대부분의 소프트웨어 개발팀이 Jira와 Confluence를 기본 인프라처럼 쓰고 있고, 그 안엔 회사의 가장 민감한 정보들 — 장애 대응 기록, 보안 취약점 티켓, 제품 로드맵, 고객 계약 문서 — 이 들어있기 때문이에요.

업계에서 주목하는 이유는 이게 옵트아웃(opt-out) 방식이라는 점이에요. 기본적으로 켜놓고, 싫으면 꺼야 한다는 뜻이죠. 반대로 옵트인(opt-in)은 명시적으로 동의해야만 쓰이는 건데, 이 차이가 프라이버시 논의에선 굉장히 큰 차이예요. 보통 "이용자가 알아서 찾아서 끌 것"이라고 기대하면 대부분 그냥 켜진 채로 남거든요.

구체적으로 뭐가 바뀌었나

Atlassian이 밝힌 바로는, AI 학습에 쓰는 데이터는 주로 Atlassian Intelligence 같은 AI 기능을 제공하기 위한 거예요. 이게 뭐냐면, Jira에서 이슈 요약해주거나 Confluence에서 문서 초안 생성해주는 기능들이죠. 사용자 상호작용 패턴, 제품 내 콘텐츠, 워크플로우 데이터 같은 게 포함된다고 알려져 있어요.

중요한 건 어떤 제품 티어가 해당되느냐예요. 일반적으로 Cloud 제품의 Standard와 Premium 플랜이 대상이고, Enterprise 플랜이나 특별히 데이터 거주성을 계약한 고객은 다른 취급을 받는 경우가 많아요. 또 개인 식별 정보(PII)를 걸러내거나 익명화한다는 조항도 있긴 한데, 실제로 어느 수준까지 걸러지는지는 회사마다 판단이 다를 수 있어요.

끄는 방법 자체는 관리자 콘솔에서 몇 번 클릭으로 가능해요. Organization settings 아래 AI 관련 데이터 사용 섹션으로 가서 토글을 비활성화하면 돼요. 하지만 조직 관리자만 끌 수 있다는 점에 주목해야 해요. 개별 사용자가 자기 데이터만 따로 빼내는 건 일반적으로 지원되지 않아요.

업계에 퍼지는 같은 패턴

사실 이건 Atlassian만의 문제가 아니에요. 지난 2년 동안 GitHub, Slack, Notion, Zoom, Adobe 같은 주요 SaaS 업체들이 비슷한 정책 변경을 겪었어요. Slack은 2024년에 메시지로 AI 학습한다는 사실이 뒤늦게 드러나 사용자들이 분노했던 적이 있고, Adobe도 "창작물을 학습에 쓸 수 있다"는 조항으로 크리에이터들의 집단 반발을 받았죠.

공통된 패턴은 이래요. 첫째, 조용히 약관을 업데이트한다. 둘째, 옵트아웃을 기본값으로 한다. 셋째, 사용자들이 알아차리고 반발하면 "익명화된다", "훈련 데이터와 고객 데이터는 분리된다"는 해명을 내놓는다. 이런 반복을 보면서 기업 고객들은 점점 계약서 수준에서 AI 학습 금지 조항을 넣기 시작했어요. 특히 유럽 기업들은 GDPR 관련 리스크 때문에 상당히 민감하게 반응하고 있어요.

기술적으로 이런 학습이 얼마나 위험하냐는 논쟁도 있어요. 대규모 언어모델은 훈련 데이터를 그대로 외우지 않고 패턴만 학습한다는 게 정설이긴 한데, 특정 조건에서 학습 데이터의 일부가 그대로 튀어나오는 데이터 유출(memorization) 현상이 확인된 사례도 있어요. 회사 내부 용어나 고유한 프로젝트 코드네임이 다른 고객 AI 응답에 나타날 가능성을 제로라고 말하긴 어려운 거죠.

한국 기업과 개발자에게 주는 시사점

한국에서도 Jira와 Confluence는 거의 표준에 가까운 협업 도구예요. 스타트업부터 대기업까지 쓰고 있고, 특히 클라우드 버전을 쓰는 팀이 점점 늘고 있죠. 당장 해야 할 일은 세 가지 정도예요.

첫째, 관리자가 조직의 현재 설정을 확인해야 해요. Atlassian admin 콘솔에 들어가서 AI 데이터 사용 설정이 어떻게 되어 있는지 봐야 하고, 회사의 보안·개인정보 정책과 맞지 않으면 끄는 걸 고려해야 해요.

둘째, 어떤 정보를 Jira/Confluence에 쓸지 가이드라인을 다시 점검해봐야 해요. 보안 취약점, 실제 고객 PII, 영업 비밀 같은 게 평범한 티켓 코멘트에 섞여 있는 경우가 의외로 많거든요. AI 학습에서 제외되더라도 애초에 이런 민감 정보를 티켓에 적지 않는 운영 원칙이 더 근본적인 해법이에요.

셋째, 더 큰 관점에서 SaaS 의존도를 점검할 시점이에요. 도구 하나가 정책을 바꿨는데 회사 전체 데이터 플로우에 영향이 온다면, 락인 리스크가 그만큼 크다는 뜻이거든요. 오픈소스 대안 — 예를 들어 Plane, Taiga, BookStack 같은 자체 호스팅 솔루션 — 을 아주 버리기는 힘들어도 최소한 비교 검토해둘 가치는 있어요.

마무리

한 줄로 정리하면, "옵트아웃 기본 AI 학습"이 SaaS 업계의 새로운 디폴트로 자리잡고 있다는 거예요. 여러분 회사에선 이런 정책 변경에 어떻게 대응하고 계세요? 관리자 차원에서 전사적으로 끄는 편인가요, 아니면 "AI 기능의 편의성" 때문에 어쩔 수 없이 수용하는 편인가요? 이 문제가 한국 기업 문화에선 어느 정도로 심각하게 다뤄져야 한다고 보시는지 궁금합니다.