로그 보관 기간 설정 기준을 잡을 때 많은 조직이 인프라 로그나 접근 로그만 기준으로 삼는다. 그런데 AI 도구 사용이 일상화되면서 직원의 AI 사용 이력 추적, 입력 데이터 범위, 출력 결과 보존 여부까지 함께 검토해야 하는 상황이 됐다. 이 글은 실무 담당자가 내부 정책을 점검하고 설정 기준을 세울 때 참고할 수 있도록 운영 관점에서 정리했다.
빠른 판단 포인트
- AI 도구를 업무에 사용하고 있다면 해당 도구의 로그 생성 여부와 수집 가능 범위를 먼저 확인해야 한다. SaaS 형태의 AI 서비스는 로그를 자체 서버에 보관하는 경우가 많아 내부 시스템 로그와 별개로 움직인다.
- 감사 또는 내부 조사가 예상되는 조직이라면 최소 보관 기간 이상으로 설정하되, 어떤 로그가 어디에 저장되는지 명확히 문서화해야 한다. 보관 기간이 길더라도 위치를 모르면 실제 감사에서 활용하기 어렵다.
- 클라우드 기반 서비스를 혼용하는 환경이라면 서비스마다 로그 보존 정책이 다르다. 일부 서비스는 무료 플랜에서 로그 보관 기간이 매우 짧거나 보관 자체를 지원하지 않는다. 계약 조건과 요금제 수준에 따라 달라질 수 있으므로 반드시 해당 서비스 약관을 확인해야 한다.
- 개인정보가 포함된 데이터를 AI에 입력하는 경우 로그에 해당 데이터가 남을 수 있다. 보관 기간이 길수록 개인정보 보호 측면의 리스크도 함께 커진다. 보관 기간 설정과 데이터 삭제 정책은 동시에 검토해야 한다.
체크리스트
- 현재 조직에서 사용 중인 AI 도구 목록을 작성하고, 각 도구별로 로그 생성 여부를 확인했는가
- AI 사용 이력 추적에 필요한 로그 항목(사용자 ID, 입력 유형, 접근 시각, 출력 여부 등)을 정의했는가
- 내부 시스템 로그와 SaaS 서비스 로그를 통합 관리하는 방식이 마련되어 있는가, 아니면 별도로 관리되고 있는가
- 현재 설정된 보관 기간이 내부 보안 정책, 감사 요건, 산업별 규정 요건과 정합성을 갖추고 있는지 검토했는가
- 보관 기간 만료 후 자동 삭제 또는 아카이빙 절차가 설정되어 있는가
- AI 도구 사용 중 개인정보가 포함된 입력이 발생할 경우 해당 로그의 처리 방식을 정의했는가
- 로그 접근 권한이 역할 기반으로 제한되어 있으며, 접근 이력 자체도 기록되고 있는가
- 보관 기간 정책이 문서화되어 있고, 최근 12개월 이내에 검토한 기록이 있는가
핵심포인트
왜 AI 사용 이력이 로그 정책에 포함되어야 하는가
기존에는 로그 보관 정책이 주로 네트워크 접근, 시스템 인증, 파일 다운로드 등 인프라 중심으로 설계됐다. AI 도구가 업무 흐름에 들어오면서 직원이 어떤 데이터를 AI에 입력했는지, 어떤 결과를 받았는지, 해당 결과를 어떤 업무에 활용했는지가 내부 통제의 빈틈이 됐다. AI 사용 이력 추적이 빠진 로그 체계는 감사나 사고 발생 시 원인 규명이 어렵다.
자주 놓치는 포인트
첫째, 보관 기간을 설정했더라도 실제로 수집되는 로그 항목이 충분하지 않은 경우가 많다. 언제 누가 접속했는지는 기록되지만, 무엇을 입력했는지는 기록되지 않는 구조다. 둘째, SaaS AI 도구의 경우 서비스 제공사의 데이터 보존 정책이 자체 로그 보관 기간보다 짧을 수 있다. 이 경우 내부적으로 별도 캡처나 기록 방식을 운영하지 않으면 나중에 이력 자체를 복원하기 어렵다. 셋째, 보관 기간이 지난 로그의 삭제가 자동화되어 있지 않으면 정책과 실제 운영 사이에 격차가 생긴다.
먼저 볼 승인 기준과 검토 포인트
로그 보관 기간 정책을 새로 수립하거나 변경할 때는 IT 보안 팀, 개인정보 담당자, 법무 또는 컴플라이언스 담당자가 함께 검토하는 구조가 필요하다. 산업별로 적용되는 규정이나 고객사 계약 요건이 있는 경우 해당 기준을 먼저 파악하고 정책에 반영해야 한다. 보관 기간이 너무 짧으면 감사 대응이 어렵고, 너무 길면 불필요한 데이터 리스크가 누적된다. 이 균형점을 찾는 것이 실무 판단의 핵심이다.
해외 사례 참고 포인트
미국 일부 금융기관과 의료기관은 AI 도구 사용 이력을 별도 감사 로그로 분리해 보관하고, 해당 로그에 대한 접근 자체도 기록하는 이중 추적 구조를 운영한다. EU의 경우 AI Act 초안에서 고위험 AI 시스템에 대한 로그 보존 의무가 논의됐고, 일부 기업은 이를 선제적으로 내부 정책에 반영하고 있다. 국내 실무자 입장에서는 이 사례들이 어떤 항목을 로그로 남겨야 하는지 설계 기준을 세우는 데 참고가 된다. 다만 각국 규정과 국내 요건은 다를 수 있으므로 직접 적용보다는 설계 방향성 참고 수준으로 활용하는 것이 적합하다.
대응 절차
- 상황 확인: 현재 조직에서 운영 중인 로그 보관 정책 문서를 확인한다. AI 도구 사용 이력이 해당 정책에 포함되어 있는지 확인하고, 포함되지 않았다면 검토 범위에 추가한다.
- 영향 범위 파악: 사용 중인 AI 도구 전체를 목록화하고, 각 도구별로 어떤 로그가 생성되는지, 어디에 저장되는지, 서비스 제공사의 보관 기간 정책이 무엇인지 파악한다. 요금제나 계약 조건에 따라 보관 기간이 달라질 수 있으므로 계약서나 서비스 약관을 직접 확인한다.
- 우선 조치: 보관 기간이 정의되지 않았거나 너무 짧게 설정된 항목에 대해 임시 기준을 마련한다. AI 사용 이력 추적 항목을 기존 로그 수집 체계에 추가하거나, 별도 수집 방안을 검토한다.
- 내부 확인: IT 보안, 개인정보, 컴플라이언스 담당자와 변경 사항을 공유하고 승인 절차를 진행한다. 개인정보가 포함된 로그에 대해서는 별도 처리 기준을 함께 확인한다.
- 후속 대응: 확정된 기준을 내부 문서에 반영하고, 담당자 교육을 진행한다. 정기 검토 주기를 설정해 AI 도구 변경이나 서비스 업데이트 시 정책이 자동으로 뒤처지지 않도록 관리 체계를 갖춘다.
공식 정보 확인 안내
로그 보관 기간과 관련된 국내 기준은 개인정보 보호위원회, 한국인터넷진흥원(KISA), 금융보안원 등 소관 기관의 공식 가이드라인을 통해 확인하는 것이 정확하다. 산업별로 적용 기준이 다를 수 있으므로 해당 업종의 주무 기관 안내를 함께 검토해야 한다.
자주 묻는 질문 FAQ
Q1. AI 도구 사용 로그를 별도로 수집하지 않아도 괜찮은가?
조직의 내부 정책과 적용 규정에 따라 다르다. 다만 AI 도구를 통해 민감한 데이터를 처리하거나, 업무 결과물에 AI 출력이 포함되는 경우라면 사용 이력이 남지 않으면 나중에 책임 소재나 원인 규명이 어려워질 수 있다. 최소한 어떤 도구를 누가 사용했는지 기록하는 구조를 갖추는 것이 실무적으로 유리하다.
Q2. SaaS AI 서비스의 로그는 내부 로그와 어떻게 연결하는가?
SaaS 서비스에서 제공하는 감사 로그나 활동 로그 기능을 활용해 주기적으로 내부 시스템에 내보내기하거나, API를 통해 SIEM 또는 로그 관리 시스템과 연동하는 방식이 쓰인다. 해당 기능의 제공 여부와 방식은 서비스마다 다르고 요금제에 따라 제한될 수 있으므로 도입 전에 확인해야 한다.
Q3. 보관 기간이 지난 로그는 어떻게 처리해야 하는가?
내부 정책에 따라 완전 삭제 또는 장기 아카이빙으로 처리한다. 개인정보가 포함된 로그는 보관 기간 만료 후 삭제 또는 비식별 처리가 필요한지 개인정보 담당자와 함께 확인해야 한다. 삭제 처리가 자동화되어 있지 않으면 정책 위반 상태가 지속될 수 있으므로 자동화 여부를 점검한다.
Q4. 로그 보관 기간을 얼마로 설정하는 것이 적절한가?
단일한 정답은 없다. 산업별 규정, 고객사 계약 요건, 내부 감사 주기, 사고 대응 시나리오 등을 고려해 기관 또는 조직 단위로 설정해야 한다. 일부 규정에서 최소 보관 기간을 명시하는 경우가 있으므로 해당 기관의 공식 가이드라인을 먼저 확인하고 기준을 세우는 것이 순서다.
Q5. AI 사용 이력 추적 정책은 직원에게 어떻게 안내해야 하는가?
도구 도입 시점 또는 정책 변경 시점에 내부 공지 또는 교육을 통해 안내하는 것이 기본이다. 어떤 정보가 기록되고 어떤 목적으로 활용되는지 명확히 전달해야 한다. 개인정보 처리 방침이나 내부 보안 정책 문서에 관련 내용을 포함시키는 방식도 함께 검토한다.
이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.