2026년 8월 17일, 달력의 날짜가 바뀌면서 애틀라시안의 클라우드 제품인 Jira, Confluence 및 관련 서비스들의 작동 방식에 근본적인 변화가 생깁니다. 애틀라시안은 Rovo와 Rovo Dev라는 AI 서비스를 강화하기 위해 고객 메타데이터와 앱 내 콘텐츠 수집을 시작할 계획입니다. 이는 고립된 사건이 아닙니다. GitHub가 Copilot 데이터 사용에 관한 정책을 변경한 지 얼마 되지 않아 나온 발표입니다. 이 두 사례를 종합해 보면, 우리는 명확한 업계 트렌드의 변화를 감지할 수 있습니다. 바로 ‘옵트아웃(Opt-out) 기본 설정’ 패러다임으로의 전환입니다. 이는 ‘데이터 수집 절대 없음’, ‘고객 데이터로 AI 학습 절대 없음’이라는 GitLab의 정반대 입장과는 극명한 대조를 이룹니다.
현재 애틀라시안 클라우드 생태계에 약 30만 개의 조직이 속해 있습니다. 이들에게 이번 발표는 즉각적인 주의를 요합니다. 특히 이 도구들을 디지털 신경망처럼 활용하는 엔지니어링, IT, 프로그램 관리 팀에게는 그 의미가 더욱 큽니다. 특히 이런 결정이 내려지기 전에 해당 팀원들의 의견이 제대로 수렴되었는지 의문이 드는 상황에서, 이번 변화는 상당한 충격을 줄 것입니다.
애틀라시안과 GitHub의 데이터 활용 관행에 대한 거버넌스 문제는 서로 비슷하게 울려 퍼지지만, 위험에 처한 데이터의 범위는 상당히 다릅니다. GitHub는 주로 소스 코드와 개발자 상호작용에 초점을 맞췄습니다. 하지만 애틀라시안의 영향력은 작업 계획 및 실행의 핵심 구조로까지 확장됩니다. 프로젝트 로드맵, 내부 위키, 복잡한 워크플로우 구성, 그리고 Jira, Confluence 및 연결된 애플리케이션 전반에 걸쳐 남겨진 운영상의 흔적까지 말입니다.
애틀라시안, 정확히 무엇을 수집하는가?
애틀라시안은 데이터 수집을 두 가지 주요 범주로 나누고 있습니다:
메타데이터: 스토리 포인트, 스프린트 날짜, SLA 값과 같은 비식별화된 운영 신호가 포함됩니다. 또한 팀 간 상호작용을 지도화한 ‘팀워크 그래프(Teamwork Graph)’와 연결된 모든 타사 앱의 데이터도 가져옵니다.
앱 내 콘텐츠: 사용자가 직접 생성한 자료입니다. Confluence 페이지, Jira 이슈 제목, 설명, 그리고 중요한 맥락을 담고 있는 댓글들을 생각하면 됩니다.
애틀라시안은 학습에 사용되기 전에 데이터가 비식별화되고 집계될 것이라고 보장합니다. 수집된 데이터는 최대 7년간 보존될 수 있으며, 앱 내 데이터는 옵트아웃 요청 후 30일 이내에 삭제되고 모델은 90일 이내에 재학습된다고 밝혔습니다. 그러나 특정 예외 사항이 있습니다. 고객 관리 암호화 키를 사용하는 고객, 애틀라시안 정부 클라우드, 격리 클라우드를 사용 중인 고객, 또는 명시적인 HIPAA 요구 사항이 있는 고객은 현재로서는 면제됩니다. 하지만 애틀라시안 클라우드 사용자의 압도적 다수에게는 데이터 수집이 기본이며, 엔터프라이즈 티어를 구매해야만 이를 직접 끌 수 있습니다.
이 새로운 정책은 고객 데이터를 AI 학습이나 서비스 개선에 사용하지 않겠다고 했던 애틀라시안의 이전 약속을 명백히 뒤집는 것입니다. 민감한 계획 워크플로우 관리, 버그 추적, 인시던트 사후 분석, 내부 문서 보관을 위해 Jira와 Confluence를 선택했던 조직들은 이제 해당 콘텐츠가 명시적인 동의 없이 애틀라시안의 AI 학습 파이프라인에 포함될 예정이라는 사실을 마주하게 되었습니다.
‘옵트아웃 기본 설정’의 불안한 부상
AI 학습을 위한 데이터 활용을 ‘옵트아웃 기본 설정’ 모델로 전환하는 이러한 추세가 심각하게 일반화되고 있습니다. 이는 필연적으로 동일한 비판적인 질문을 다시 불러옵니다. 이 새로운 정책은 기존의 데이터 처리 계약(DPA)과 어떻게 연계되는가? 공급업체가 정의하는 ‘메타데이터’라는 것이 법무팀과 보안팀이 비민감하다고 판단하는 기준과 실제로 일치하는가? 상당수의 조직에게 이러한 질문에 대한 정직한 답변은 ‘모른다’라는 강력한 외침일 것입니다.
공급업체가 정책 업데이트를 통해 데이터 사용 약관을 일방적으로 변경할 때, 그 변화를 감지하고, 영향을 면밀히 평가하며, 공급업체가 제공하는 제한된 시간 내에 신속하게 조치를 취해야 하는 모든 부담이 고객에게 전가됩니다. 이는 이미 과부하 상태인 IT 및 법무팀에 엄청난 짐을 지우는 일입니다.
무료, 표준, 프리미엄 티어 전반에 걸쳐 메타데이터 수집이 의무적이라는 점이 상황을 더욱 심각하게 만듭니다. 데이터 사용에 대해 우려하는 이들이 AI 학습을 위한 데이터 사용에서 벗어날 수 있는 유일한 실질적인 방법은 엔터프라이즈 티어로 업그레이드하는 것입니다. 이는 사소한 조정이 아닙니다. 일반적으로 최소 801명의 사용자와 맞춤형 가격 책정이 필요하며, 이는 많은 팀에게 상당한 재정적 도약입니다. 본질적으로, 데이터 보호는 구매 결정의 직접적인 결과로 프리미엄 기능이 되어버렸습니다.
이러한 계층적 접근 방식은 더욱 교묘한 문제를 야기합니다. 스토리 포인트, 스프린트 속도 지표, SLA 수치, 작업 분류와 같은 메타데이터는 개별적으로는 무해해 보일 수 있습니다. 그러나 이러한 겉보기에 사소한 데이터 포인트들이 집계되면 프로젝트 구조, 팀 성과 패턴, 전반적인 전달 주기 등에 대한 놀랍도록 상세한 그림을 그려냅니다. 경쟁이 치열한 분야에서 운영되는 조직에게 이 운영 정보는 귀중하며, 패턴이 대규모로 너무 쉽게 재구성될 수 있다면 ‘비식별화’라는 용어는 덜 안심되는 용어가 됩니다.
Jira가 조직 운영의 핵심에 자리 잡고 있다면(이는 종종 그렇습니다), 계획, 추적 및 작업 전달을 위한 사실상의 기록 시스템이 됩니다. 스프린트 계획 및 버그 추적부터 릴리스 관리 및 복잡한 교차 기능 프로젝트 실행에 이르기까지 모든 것에 대한 단일 진실 공급원입니다. 금융 서비스, 공공 부문 또는 제조와 같은 규제 산업의 경우 Jira와 Confluence는 엄격한 규정 준수 명령의 대상이 되는 매우 민감한 운영 데이터를 담고 있을 수 있습니다. 조직이 Bitbucket, Bamboo 및 기타 도구를 통합하여 더 넓은 애틀라시안 생태계에 대한 의존도를 확장함에 따라 위험은 증폭되며, AI 학습으로 공급되는 데이터의 표면적을 넓히게 됩니다.
이것이 핵심입니다. 제품 기능과 데이터 착취 사이의 경계가 모호해지면서, 조직의 지적 재산과 운영 비밀을 보호해야 할 책임은 이제 세심한 계약 검토와, 많은 경우, 기본적인 개인 정보 보호 조치에 접근하기 위한 상당한 재정적 약속에 달려 있습니다.
공급업체가 서비스 약관 업데이트를 통해 데이터 관행을 변경할 때, 고객이 이를 인지하고, 영향을 평가하며, 공급업체가 제공하는 기간 내에 행동해야 하는 부담이 따릅니다.
데이터 제어는 왜 그렇게 중요한가?
이것은 단순한 허영 지표나 추상적인 개인 정보 보호 개념에 관한 것이 아닙니다. 많은 기업에게 Jira와 Confluence에 저장된 데이터는 경쟁 우위, 독점적인 프로세스, 그리고 기밀 전략 계획을 나타냅니다. 이 정보가 ‘비식별화’되었다 하더라도,
