내부문서 입력형 AI 사용 기준: 공유 제한 설정부터 실행하는 4단계 체크리스트

작성자:

직원이 업무 문서를 ChatGPT에 붙여넣거나, 팀 공유 폴더의 파일을 클라우드 AI 도구로 분석하려 할 때 멈추고 물어야 할 첫 번째가 바로 내부문서 입력형 AI 사용 기준이다. 문서 특성에 따라 허용 범위가 다르고, 공유 제한 설정 상태에서 결정이 갈리기 때문이다. 이 글은 실제 운영 상황에서 필요한 판단 기준과 체크리스트를 정리했다.

빠른 판단 포인트

  • 문서에 고객명, 거래처 정보, 계약 조건, 직원 개인정보가 포함되어 있는가
  • 사용하려는 AI 도구가 입력 데이터를 학습 데이터로 활용하는지 확인했는가
  • 문서가 회사 정보 분류 기준에서 어느 단계에 해당하는가
  • AI 도구의 공유 제한 설정이나 엔터프라이즈 모드를 활성화했는가
  • 담당 부서나 정보보안 담당자의 사전 승인을 받았는가

체크리스트

  • 문서 내 민감한 정보 포함 여부 확인: 고객사 이름, 거래액, 계약 조건, 임직원 개인정보, 기술 상세 스펙
  • AI 도구 약관 검토: 학습 데이터 활용 정책, 데이터 보관 기간, 지역별 저장소 위치
  • 공유 제한 설정 상태 점검: 팀 공유 vs 개인 전용, 외부 공유 가능 여부, 접근 권한 관리
  • 회사 내부 정책 확인: 문서 분류 기준, AI 도구 사용 승인 프로세스, 금지 도구 목록
  • 대체 방법 검토: 민감한 정보 제거 후 입력, 데스크톱 설치형 도구 사용, 전담 팀을 통한 처리
  • 승인 경로 수행: 직속 상사, 정보보안팀, 해당 부서장 중 필요한 단계 완료

핵심포인트

내부문서 입력형 AI 사용 기준을 판단할 때 자주 놓치는 부분은 세 가지다. 첫째, 공개되지 않은 정보가 정말 민감한지를 과소평가하는 것이다. 팀 내부에서만 공유하는 가격표, 제안서, 고객 피드백도 경쟁사에 알려지면 영향이 크다. 둘째, AI 도구의 공유 제한 설정을 신뢰하되 확인하지 않는 것이다. 도구가 제공한다고 표시한 기능과 실제 작동 방식이 다를 수 있다. 셋째, 개인 계정과 회사 구독 계정을 구분하지 않는 것인데, 같은 도구라도 요금제에 따라 데이터 취급 정책이 다르다. 먼저 볼 승인 기준은 담당 부서가 정한 민감도 기준표다. 없다면 정보보안팀에 문의해 문서 분류 가이드를 받은 뒤 결정한다.

대응 절차

  1. 상황 확인: 어떤 문서를 어느 AI 도구에 입력하려 하는지, 누가 사용할 목적인지 정리
  2. 영향 범위 파악: 문서에 포함된 정보가 공개되면 어느 부서, 어느 대상에게 영향을 주는지 검토
  3. 우선 조치: 공개 불가 정보가 있으면 제거하거나 마스킹하는 방법 먼저 검토
  4. 내부 확인: 정보보안팀이나 법무팀에 도구 사용 가능 여부와 절차 문의
  5. 후속 대응: 승인받은 범위 내에서만 사용하고, 결과물도 같은 민감도 기준으로 관리

공식 정보 확인 안내

회사의 정보보안 정책, 데이터 분류 기준, 승인된 도구 목록은 정보보안팀 또는 IT 담당 부서에 확인하거나 내부 위키, 정책 문서를 참고한다. AI 도구 사용 관련 최신 지침은 분기별로 갱신되므로 정책 발행 날짜를 확인한 뒤 진행한다.

자주 묻는 질문 FAQ

Q1. 개인 ChatGPT 무료 계정에 회사 문서를 입력해도 되나

무료 계정과 유료 계정의 데이터 정책이 다르다. 공식 안내를 확인한 뒤 회사 정책에 따라 판단하거나, 정보보안팀에 사전에 문의하는 것이 안전하다. 많은 기업은 개인 계정 사용을 제한하거나 기업용 구독 계정만 허용한다.

Q2. 공유 제한 설정이 켜져 있으면 민감한 정보를 바로 입력해도 되나

공유 제한 설정은 팀원 간 접근을 제한할 뿐, AI 도구 업체가 데이터를 학습용으로 활용하는지와는 별개다. 도구 약관에서 엔터프라이즈 모드나 데이터 비학습 정책을 확인한 뒤 담당자 승인을 받아야 한다.

Q3. 고객명만 삭제하고 나머지 내용을 AI에 입력할 수 있나

고객명을 삭제한 뒤에도 거래액, 계약 조건, 기술 스펙 등 다른 정보로 누가 그 고객인지 유추될 수 있다. 정말 필요한 내용만 남기고 나머지는 제거하거나, 구체 수치 대신 비율이나 범위로 표현해야 한다.

Q4. AI 사용 승인이 오래 걸릴 때는 어떻게 하나

승인 기간 동안은 민감한 정보 대신 공개 가능한 범용 콘텐츠나 일반 업무 질문에 국한하거나, 필요시 현업과 정보보안팀 모두에 업무 필요성을 설명해 우선 검토를 요청할 수 있다. 절차를 건너뛰거나 우회하기보다는 정책 내에서 대안을 찾는 것이 중요하다.

이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.