AI 노트 앱 Granola, 회의 기록이 링크만 있으면 누구나 열람 가능… AI 학습 데이터로도 기본 활용

AI 기반 회의 노트 앱 Granola의 기본 프라이버시 설정에 심각한 우려가 제기됐다. Granola는 "연속 회의를 소화하는 사람들을 위한 AI 노트패드"를 표방하며, 캘린더와 연동해 회의 오디오를 캡처하고 AI로 요약 노트를 자동 생성하는 서비스다.

문제의 핵심은 Granola의 기본 설정에서 노트가 "링크가 있는 누구나" 열람할 수 있도록 되어 있다는 점이다. 민감한 회의를 녹음한 사용자가 실수로 링크를 공유하면 누구든 해당 노트에 접근할 수 있다.

The Verge의 자체 테스트에 따르면, Granola 계정에 로그인하지 않은 상태에서도 브라우저 비공개 창을 통해 노트를 열람할 수 있었다. 노트 소유자의 이름과 생성 시간까지 표시되며, 전체 트랜스크립트는 볼 수 없지만 AI가 생성한 요약 항목을 선택하면 관련 트랜스크립트 인용문과 추가 맥락 요약을 확인할 수 있었다.

이 문제는 이미 작년에 한 LinkedIn 사용자가 지적한 바 있다. 해당 사용자는 "이 링크들은 검색 엔진에 인덱싱되지 않지만, 실수로라도 공유하거나 유출되면 발견하는 누구에게나 공개된다"고 경고했다. 또한 적어도 한 대형 기업이 보안 우려를 이유로 고위 임원의 Granola 사용을 거부한 것으로 알려졌다.

프라이버시 문제는 링크 공유에만 국한되지 않는다. Granola는 비기업 고객의 데이터를 AI 모델 개선에 기본적으로 활용하고 있다. 기업 고객은 AI 학습이 기본 비활성화되어 있지만, 그 외 모든 요금제 사용자는 직접 설정에서 "모든 사용자를 위한 모델 개선에 내 데이터 사용" 옵션을 꺼야 한다.

다만 Granola 측은 이 설정이 활성화되어 있더라도 OpenAI나 Anthropic 등 제3자 기업에는 사용자 데이터를 제공하지 않는다고 밝혔다.

이용자는 설정에서 링크 공유 기본값을 "링크가 있는 누구나"에서 "우리 회사만" 또는 "비공개"로 변경할 수 있다. 노트를 삭제하면 링크를 통한 접근도 차단된다.

Granola의 보안 페이지에 따르면, 사용자 데이터는 미국 내 AWS 프라이빗 클라우드에 저장되며 저장 시와 전송 시 모두 암호화된다. 회의 오디오는 저장하지 않으며, 노트와 트랜스크립트만 클라우드에서 처리한다.