2026년 6월 3일 기준, AI 스프레드시트 도구는 회사 데이터를 넣기 전에 계정 권한, 외부 데이터, 연결 앱, 편집 권한을 먼저 확인해야 한다.
AI가 붙은 스프레드시트는 진짜 업무 속도를 올려줄까, 아니면 회사 데이터가 밖으로 새는 문을 하나 더 여는 걸까? 이 질문이 갑자기 중요해졌다. PromptArmor가 2026년 5월 27일 공개한 ChatGPT for Google Sheets 사례 때문이다.
여기서 핵심은 “ChatGPT가 위험하다” 같은 단순한 말이 아니다. 스프레드시트는 원래 회사에서 가장 민감한 자료가 모이는 곳이다. 매출표, 예산표, 고객 리스트, 채용 파이프라인, 광고 성과표가 전부 시트에 들어간다. 여기에 AI 확장, 커넥터, 웹 검색, 자동 편집 권한이 붙으면 질문이 바뀐다.
“이 데이터가 학습에 쓰이나?”도 중요하다. 하지만 그것만 보면 반쪽짜리 점검이다. 더 실무적인 질문은 “이 AI가 어느 시트까지 읽고, 어떤 외부 데이터에 속고, 어떤 앱 권한으로 행동할 수 있나?”다. 문을 잠갔다고 생각했는데 창문이 열려 있는 장면, 그거 은근히 현실적이다.
먼저 답하면
회사 데이터가 들어간 스프레드시트에 AI 도구를 붙이는 건 무조건 금지는 아니다. 다만 개인 계정, 외부에서 가져온 시트, 고객/재무 데이터, 자동 편집, 연결 앱이 섞여 있다면 바로 멈추는 게 맞다. 편하다고 설치부터 누르면, 나중에 보안팀 표정이 냉장고 속 김치통처럼 차가워질 수 있다.
제가 운영한다면 기준은 하나다. “AI가 볼 수 있는 범위”와 “AI가 행동할 수 있는 범위”를 분리해서 확인한다. 읽기만 하는 도구인지, 시트를 수정할 수 있는지, Apps나 커넥터를 통해 다른 파일까지 참고할 수 있는지, 외부에서 가져온 셀 내용을 명령처럼 받아들일 수 있는지를 먼저 본다.
자료 기준으로도 이 방향이 맞다. OpenAI 도움말은 ChatGPT for Excel and Google Sheets가 스프레드시트 안 사이드바에서 파일을 만들고, 수정하고, 설명하는 경험이라고 설명한다. 또 Skills와 apps를 통해 연결 데이터 소스를 사용할 수 있고, 관리자가 앱 접근과 권한을 제어할 수 있다고 안내한다. 즉 이건 단순 채팅창이 아니라 업무 파일 옆에 붙은 작업자에 가깝다.
왜 스프레드시트 AI가 더 예민한가
일반 문서 요약은 보통 “내가 넣은 텍스트”가 출발점이다. 반면 스프레드시트는 참조, 수식, 외부 데이터, 다른 탭, 다른 파일 링크가 엮인다. 사용자는 A1부터 D20만 보고 있다고 느끼지만, 실제 업무 맥락은 여러 탭과 연결 파일에 걸려 있을 수 있다.
그래서 스프레드시트 AI의 리스크는 세 겹이다. 첫째, 데이터가 민감하다. 둘째, 구조가 복잡하다. 셋째, AI에게 편집이나 앱 호출 같은 행동 권한이 붙을 수 있다. 이 셋이 동시에 오면 “요약 좀 해줘”가 생각보다 큰 작업으로 바뀐다.
PromptArmor 사례도 이 지점이 중요하다. 원문은 외부에서 가져온 시트에 숨겨진 간접 프롬프트 인젝션이 들어 있고, 사용자가 내부 재무 모델을 다루는 상황을 설명한다. 사용자는 정상적인 도움을 요청했지만, 외부 데이터 안의 악성 지시가 AI 행동을 조종할 수 있다는 주장이다.
이 글에서는 공격 재현 디테일을 따라 하지 않는다. 대신 운영자가 바로 쓸 수 있는 체크표로 바꿔보자. 해킹 영화처럼 손가락 빨라지는 장면보다, 회사에서는 “누가 설치했고, 어느 범위를 읽고, 어떤 권한으로 움직이나”가 더 돈 되는 질문이다.
이번 PromptArmor 사례에서 봐야 할 것
PromptArmor는 ChatGPT for Google Sheets에서 단일 외부 시트의 간접 프롬프트 인젝션이 여러 워크북 데이터 유출, 피싱 오버레이, 시트 변경 같은 위험으로 이어질 수 있다고 주장했다. 원문에 따르면 이 확장은 출시 한 달이 안 된 시점에 18만 5천 회 이상 다운로드되었다고 설명된다.
더 눈에 띄는 부분은 “사용자가 자동 편집을 꺼도 충분하지 않을 수 있다”는 주장이다. 원문은 자동 편집 설정과 별개로 외부 스크립트 실행 흐름이 시작될 수 있다고 설명한다. 이 부분은 특정 시점의 보안 연구 결과이므로, 현재 제품 상태를 판단할 때는 OpenAI 공식 도움말과 관리자 설정을 같이 확인해야 한다.
PromptArmor 원문 상단에는 OpenAI가 2026년 5월 31일 응답했고, ChatGPT for Google Sheets에서 모델이 Apps Script 코드를 생성하는 능력을 제거해 해당 위험을 막는 조치를 했다는 업데이트가 포함되어 있다. 그래서 이 이슈를 볼 때도 “예전에 뚫렸다”로 끝내면 안 된다. 더 좋은 질문은 “이런 종류의 위험을 우리 회사 설정에서 어떻게 줄일 것인가”다.
OWASP LLM01은 프롬프트 인젝션을 LLM의 행동이나 출력이 의도하지 않은 방식으로 바뀌는 취약점으로 본다. 특히 간접 프롬프트 인젝션은 사용자가 직접 쓴 명령이 아니라 웹페이지, 문서, 이메일, 외부 데이터처럼 LLM이 읽는 자료 안에 숨어 들어갈 수 있다. 스프레드시트는 이 구조와 아주 잘 맞는다. 좋게 말하면 연결성이 좋고, 나쁘게 말하면 문어발이다.
학습 사용 여부와 권한 문제는 다르다
많은 사람이 AI 보안을 물을 때 “내 데이터가 모델 학습에 들어가나요?”부터 묻는다. 당연히 중요한 질문이다. 하지만 스프레드시트 도구에서는 그 질문만으로 충분하지 않다.
예를 들어 어떤 서비스가 업무 데이터를 기본적으로 모델 학습에 쓰지 않는다고 하자. 그래도 그 도구가 현재 파일을 읽고, 연결 앱에서 데이터를 가져오고, 시트를 수정하고, 웹 검색 결과를 참고할 수 있다면 운영 리스크는 남아 있다. 학습 정책은 장기 데이터 사용 문제이고, 권한 문제는 지금 이 파일에서 어떤 행동이 가능한지의 문제다.
OpenAI 도움말도 ChatGPT for Excel and Google Sheets가 프롬프트, 첨부파일, 관련 스프레드시트 맥락을 처리해 분석하거나 워크북을 업데이트한다고 설명한다. 또 앱은 승인된 파일, 시스템, 데이터 소스를 사용해 더 맥락 있는 결과를 만들 수 있다고 안내한다. 그러니 “학습에 안 쓰인다”와 “이 작업이 안전하다”를 같은 말로 취급하면 안 된다.
AI 스프레드시트 권한 체크표
아래 표는 회사 시트에 AI 도구를 붙이기 전 10분 안에 보는 기준이다. 보안팀용 대형 문서가 아니라, 설치 버튼 누르기 전 손목을 한 번 잡아주는 표다.
| 확인 항목 | 질문 | 위험 신호 | 기본 판단 |
|---|---|---|---|
| 계정 종류 | 개인 계정인가, 회사 승인 계정인가 | 개인 Plus/Pro 계정으로 내부 재무표 작업 | 보류 |
| 관리자 설정 | 워크스페이스에서 이 확장을 허용했나 | 개인이 임의 설치 | 보류 |
| 읽기 범위 | 특정 탭/셀만 보게 했나 | 전체 워크북, 여러 탭, 연결 파일까지 노출 | 범위 축소 |
| 편집 권한 | AI가 셀을 수정하거나 새 탭을 만들 수 있나 | 자동 편집, 대량 변경 | 사본에서 테스트 |
| 연결 앱 | Google Drive, Slack, Notion 등 앱을 붙였나 | 읽기/쓰기 권한이 넓음 | 앱별 권한 확인 |
| 외부 데이터 | 가져온 시트, 웹 데이터, 공유 템플릿이 있나 | 출처 모르는 셀/수식 포함 | 신뢰 전까지 분리 |
| 민감정보 | 고객명, 매출, 계약조건, 인사 정보가 있나 | 식별 가능한 실제 데이터 | 익명화 또는 금지 |
| 웹 검색 | AI가 웹에서 자료를 가져오나 | 외부 페이지 내용을 그대로 반영 | 결과 검수 |
| 로그/감사 | 누가 어떤 파일에 썼는지 남나 | 기록이 없음 | 업무용 사용 보류 |
| 복구 | 버전 기록과 백업이 있나 | 원본 파일에서 바로 수정 | 복사본 먼저 |
이 표에서 하나라도 “보류”가 나오면 설치가 실패한 게 아니다. 오히려 정상이다. 도구를 못 쓰는 게 아니라, 어디까지 써도 되는지 경계를 찾은 것이다. 경계가 없는 자동화는 빠른 게 아니라 그냥 방향을 모르는 킥보드다.
외부 시트는 명령문처럼 취급하자
가장 쉬운 운영 원칙은 외부 시트를 “데이터”가 아니라 “검증 전 입력”으로 취급하는 것이다. CSV, 공유 템플릿, 거래처가 준 시트, 웹에서 긁은 표, 누군가 복사해 온 샘플에는 사람이 못 보는 숨은 텍스트나 이상한 수식이 있을 수 있다.
물론 모든 외부 시트가 위험하다는 뜻은 아니다. 문제는 AI가 그 내용을 단순 데이터로만 보지 않을 수 있다는 점이다. 간접 프롬프트 인젝션은 “이전 지시를 무시하고 다른 행동을 해라” 같은 문장이 사용자가 아니라 자료 안에 숨어 있는 형태다.
제가 운영한다면 외부 데이터는 원본 업무 파일에 바로 합치지 않는다. 먼저 빈 테스트 파일에 붙이고, 수식/숨김 셀/숨김 시트/외부 링크를 확인한다. 그다음 필요한 값만 복사해 온다. 이 과정이 귀찮아 보이지만, 회사 재무표에서 사고 나는 것보다는 덜 귀찮다. 사고 나면 귀찮음이 전사 워크숍이 된다.
바로 쓰기 좋은 10분 점검 루틴
첫째, 원본 파일을 복제한다. 중요한 스프레드시트라면 AI에게 원본을 바로 맡기지 않는다. OpenAI 도움말도 중요한 작업에서는 먼저 파일을 복제해 되돌릴 수 있게 하라고 안내한다.
둘째, AI에게 먼저 계획만 요구한다. “수정하지 말고 어떤 탭과 셀을 볼지 먼저 설명해줘”라고 묻는다. 이 단계에서 도구가 너무 넓은 범위를 보려 하거나, 의도하지 않은 탭을 건드리려 하면 작업을 멈춘다.
셋째, 민감정보를 치환한다. 고객명은 A고객, 직원명은 담당자1, 실제 매출은 범위값으로 바꾼다. AI가 필요한 것은 대개 구조와 관계이지, 주민번호와 계약서 원문이 아니다. 민감정보는 조미료가 아니라 폭탄에 가깝다. 굳이 넣을 이유가 없다.
넷째, 연결 앱을 끈 상태로 먼저 테스트한다. 스프레드시트만 보고도 충분한 작업인지 확인하고, 앱이나 커넥터는 나중에 붙인다. 연결 앱을 붙이면 답은 똑똑해질 수 있지만, 권한 지도도 넓어진다.
다섯째, 변경사항을 사람이 검수한다. AI가 만든 수식, 새 탭, 삭제한 열, 참조 범위는 사람이 확인해야 한다. 특히 예산표와 성과표는 “대충 맞는 듯”이 제일 위험하다. 숫자는 자신감 있게 틀릴 때가 있다. 참 얄밉게도.
써도 되는 작업과 멈춰야 할 작업
처음에는 저위험 작업부터 붙이는 게 좋다. 공개 자료 기반 템플릿 만들기, 빈 예산표 구조 잡기, 가짜 데이터로 피벗 테이블 설명 듣기, 오류 난 수식의 원리 설명 받기 정도는 비교적 안전한 출발점이다.
반대로 실제 고객 리스트 정리, 인사 평가 표 요약, 미공개 매출 예측, 계약 조건 비교, 투자자 보고서 수정은 바로 넣지 않는 편이 낫다. 해야 한다면 회사가 승인한 업무용 계정, 관리자 설정, 접근 권한, 로그, 사본 작업, 민감정보 제거가 모두 맞아야 한다.
아래처럼 나누면 판단이 쉬워진다.
| 작업 | 예시 | 권장 방식 |
|---|---|---|
| 낮은 위험 | 공개 데이터로 표 만들기, 샘플 예산표 생성 | 바로 가능, 결과 검수 |
| 중간 위험 | 내부 양식 개선, 익명화된 회의 액션아이템 표 | 사본 + 민감정보 제거 |
| 높은 위험 | 실제 매출/고객/계약/인사 데이터 분석 | 관리자 승인 후 제한 범위 |
| 보류 | 인증키, 급여, 평가, 법무 문서, 미공개 전략 | AI 입력 금지 또는 별도 정책 |
초보자용 프롬프트
아래 프롬프트는 실제 민감 데이터를 넣으라는 뜻이 아니다. 이미 사본을 만들고, 민감정보를 제거한 뒤, AI가 어떤 범위를 건드릴지 먼저 확인하는 용도다.
이 스프레드시트를 아직 수정하지 마.
먼저 아래 4가지만 표로 알려줘.
1. 네가 확인해야 하는 탭/셀 범위
2. 수정이 필요한 셀 범위
3. 외부 데이터나 연결 앱이 필요한지 여부
4. 사람이 반드시 검수해야 하는 항목
민감정보로 보이는 값이 있으면 작업을 진행하지 말고,
"보류: 민감정보 후보 있음"이라고 먼저 말해줘.
실무에서는 이 프롬프트 하나만으로도 사고가 꽤 줄어든다. AI에게 “바로 고쳐줘”가 아니라 “어디를 볼 건지 먼저 말해줘”라고 묻는 습관이 중요하다. 자동화에서 제일 비싼 건 속도가 아니라 무심코 넓어진 권한이다.
회사에서 정해야 할 최소 정책
개인 사용자는 체크표로 충분할 수 있지만, 팀 단위라면 정책이 필요하다. 거창한 보안 규정부터 만들 필요는 없다. 시작은 네 줄이면 된다.
첫째, 회사 승인 계정에서만 업무 데이터를 다룬다. 둘째, AI 스프레드시트 도구는 원본 파일이 아니라 사본에서 먼저 쓴다. 셋째, 외부 시트와 연결 앱은 별도 승인 전까지 끈다. 넷째, 고객/계약/인사/재무 원본은 익명화 없이 넣지 않는다.
관리자는 OpenAI 도움말에 나온 것처럼 워크스페이스 설정에서 ChatGPT for Excel and Google Sheets 활성화 여부를 제어하고, 앱 접근과 액션 권한을 확인해야 한다. Business 플랜과 Enterprise/Edu 플랜의 기본 앱 설정도 다를 수 있으니, “우리 회사는 기본값이 뭐지?”부터 봐야 한다.
앱 관리에서는 쓰기 액션이 있는 앱을 따로 보는 게 좋다. 읽기 전용 앱과 파일을 수정할 수 있는 앱은 운영 난이도가 다르다. 같은 자동차라도 조수석에 앉은 것과 운전대를 잡은 것은 다르다. AI에게도 그 차이를 줘야 한다.
FAQ
ChatGPT for Google Sheets는 이제 안전한가?
PromptArmor 원문 기준 OpenAI는 2026년 5월 31일 Apps Script 코드 생성 기능 제거 등 보호 조치를 했다고 밝혔다. 다만 “패치가 있었다”와 “우리 회사 데이터에 바로 써도 된다”는 다른 말이다. 현재 공식 도움말, 워크스페이스 관리자 설정, 앱 권한, 실제 파일 범위를 확인해야 한다.
AI가 학습에 쓰지 않는다고 하면 회사 데이터를 넣어도 되나?
바로 넣으면 안 된다. 학습 사용 여부는 한 축일 뿐이다. 스프레드시트 도구는 현재 파일을 읽고, 수정하고, 연결 앱을 통해 다른 데이터를 참고할 수 있다. 그래서 학습 정책과 권한 정책을 따로 봐야 한다.
외부 시트를 가져오면 무조건 위험한가?
무조건은 아니다. 다만 외부 시트는 신뢰 전까지 격리해서 봐야 한다. 숨김 셀, 숨김 시트, 이상한 수식, 외부 링크, 출처 모르는 텍스트가 있는지 확인하고, 원본 업무 파일에 바로 합치지 않는 게 좋다.
개인 계정으로 회사 시트를 정리하면 안 되나?
회사 정책이 허용하지 않았다면 보류가 맞다. 개인 계정은 관리자 통제, 감사 로그, 앱 권한 제한, 데이터 보존 정책이 회사 계정보다 약할 수 있다. “내가 조심해서 쓴다”는 정책이 아니다. 마음은 착하지만 감사 로그는 냉정하다.
출처
- PromptArmor, ChatGPT for Google Sheets Exfiltrates Workbooks, 2026-05-27 공개 및 2026-05-31 OpenAI 업데이트 포함.
- OpenAI Help Center, ChatGPT for Excel and Google Sheets, 2026-06-03 확인.
- OpenAI Help Center, Apps in ChatGPT, 2026-06-03 확인.
- OWASP GenAI Security Project, LLM01:2025 Prompt Injection, 2026-06-03 확인.