직원들이 AI를 쓰는 상황이 늘면서 ‘이건 괜찮은 거 아닌가?’라는 물음이 계속 나온다. 정책이 없으면 누군가는 고객 정보를 ChatGPT에 붙여 넣고, 누군가는 저작권 있는 이미지를 AI에 학습시키고, 누군가는 회사 전략을 무심코 공개한다. 사내 AI 정책 문구 템플릿을 직접 만들고 허용과 금지 범위를 명시해야 이런 상황을 줄일 수 있다.
빠른 판단 포인트
- 정책이 없으면 리스크는 직원 개인이 아니라 회사 전체에 쌓인다
- 데이터 분류(공개, 내부, 비공개)에 따라 허용 도구와 사용 방식이 달라진다
- 템플릿을 정하더라도 업종, 규모, 규제 환경에 맞게 수정해야 실제로 지켜진다
체크리스트
- 우리 회사의 데이터 분류 기준이 있는가
- 직원들이 지금 쓰고 있는 AI 도구가 무엇인지 파악했는가
- 정책에 위반했을 때의 절차와 책임 단계를 정했는가
- 정책 문구에 실제 업무 사례(예: 이메일 초안, 코드 검토, 데이터 분석)가 포함되어 있는가
- 정책을 수립한 후 분기마다 검토하고 수정할 계획이 있는가
- 모든 직원이 정책을 읽고 확인하는 과정이 문서화되어 있는가
핵심포인트
원인: 많은 기업이 AI 도입만 생각하고 사용 규칙을 만드는 것을 뒤로 미룬다. 도구는 빠르게 보급되지만 정책은 따라가지 못해 모호한 상황이 반복된다.
문제 되는 상황: 공개 가능한 정보인 줄 알았는데 사실 고객 개인정보였던 경우, 무료 AI 서비스가 학습 데이터로 쓸 수 있다고 규약에 나와 있었지만 직원이 모르고 사용한 경우, 경쟁사 정보를 AI에 물었던 경우들이 실제로 일어난다.
자주 놓치는 포인트: 정책을 만들 때 ‘금지’만 강조하면 직원들은 모든 AI 사용을 피하게 되고, 결국 정책의 실효성이 떨어진다. 어떤 것은 ‘사전 승인 후 사용’, 어떤 것은 ‘누구나 자유롭게’라는 식으로 단계를 나눠야 한다. 또한 정책을 정한 직후 1-2주 안에 모든 직원이 읽도록 강제하지 않으면 ‘정책이 있다는 것’조차 알려지지 않는다.
먼저 볼 승인 기준: 정책을 만들 때는 데이터 분류가 가장 먼저다. ‘공개 정보(누구나 인터넷에서 찾을 수 있는 것)’, ‘내부 정보(직원만 알면 되는 것)’, ‘비공개 정보(고객, 거래처, 재무 관련)’의 3단계로 나누고, 각 단계별로 허용되는 AI 도구와 사용 방식을 결정해야 한다.
대응 절차
- 상황 확인: 우리 회사가 지금 어떤 AI 도구를 쓰고 있는지, 누가 쓰고 있는지 파악한다. 불공식 사용(개인 구독)도 포함해서 조사한다.
- 영향 범위 파악: 업종별, 부서별로 AI 사용이 필요한 업무를 정리한다. 예를 들어 마케팅팀은 카피 생성, 개발팀은 코드 검토와 문서 작성, 고객 지원팀은 응답 초안 생성 같은 식이다.
- 우선 조치: 데이터 분류 기준을 정하고, 각 도구와 사용 방식에 대해 데이터를 어느 범위까지 입력해도 되는지 정의한다. 특히 공개되면 안 되는 정보(고객명, 계약금액, 내부 전략)의 입력은 명확히 금지한다.
- 내부 확인: 정책 초안을 준비해서 법무, 보안, 각 부서장과 함께 검토한다. 실제 업무에서 쓸 수 있는 템플릿 문구인지 확인한다.
- 후속 대응: 정책을 공식 문서로 확정한 후 모든 직원 대상 교육을 진행한다. 정책 서명, 정기적 리마인드, 분기별 개정을 통해 유지한다.
사내 AI 정책 문구 템플릿: 허용과 금지 범위 예시
1. 목적: 사내 AI 도구 사용 시 데이터 보안, 지식재산권, 비밀유지를 지키면서 효율성을 높인다.
2. 적용 범위: 모든 직원과 외부 협력업체가 업무 중 AI 서비스(챗봇, 이미지 생성, 코드 완성, 문서 작성 등)를 사용할 때 이 정책을 따른다.
3. 데이터 분류별 허용 범위
공개 정보 (뉴스, 공개 통계, 이미 대외 발표된 내용): 제약 없이 AI에 입력 가능. 무료 공개 서비스도 사용 가능.
내부 정보 (직원 이름, 조직도, 일반 회의 내용): 회사 공식 AI 도구에만 입력. 개인 구독 서비스는 사전 승인 필요. 외부 공유나 저장 금지.
비공개 정보 (고객명 및 연락처, 계약금액, 거래 내역, 재무 현황, 기술 스펙): AI 입력 금지. 필요하면 데이터를 익명화하거나 일반화한 후 승인자 승인 하에만 사용.
4. 구체적 허용 사례
마케팅 이메일 초안 작성 (고객 이름, 거래 내역 제외), 일반적인 코드 문제 해결, 회의 자료 구성안 만들기, 보도자료 톤앤 매너 개선, 공개 시장 정보 분석.
5. 구체적 금지 사례
고객 정보나 거래처 목록을 AI 프롬프트에 붙여 넣기, 회사 전략 문서나 기술 스펙을 AI에 입력하기, 저작권 있는 고객 콘텐츠나 이미지를 생성 AI 학습용으로 올리기, 무료 공개 서비스(개인 구독)에 회사 정보 입력하기, AI가 생성한 코드나 콘텐츠를 그대로 배포하거나 작가 표기 없이 사용하기.
6. 도구별 가이드
채팅형 AI 서비스: 공개, 내부 정보는 사용 가능. 요약, 초안, 아이디어 생성 용도. 비공개 정보 입력 금지. 이미지 생성 AI: 대외용 마케팅 이미지는 회사 공식 도구나 상용 라이선스 서비스만 사용. 개발 도구의 AI 자동 완성: 회사 자체 코드 레포지토리나 공식 라이선스 도구만 허용.
7. 위반 시 절차
1차: 경고 및 교육 / 2차: 도구 접근 권한 임시 제한 / 3차: 인사 규정에 따른 조치.
해외 사례에서 보는 포인트
해외 대형 기업들의 사내 AI 정책을 보면 몇 가지 공통점이 보인다. 첫째, 정책 문서를 만들고 1-2주 안에 전 직원이 확인하는 서명 프로세스를 의무화한다. 둘째, 데이터 분류 기준을 먼저 명확히 한 후 AI 사용 규칙을 정한다. 셋째, 정책을 정한 후 3-6개월 뒤 실제 준수 현황을 조사하고 수정한다. 넷째, 정책 위반이 적발되면 즉시 대응하고 사건을 통해 다른 직원에게 교육 자료로 삼는다. 다섯째, AI 도구와 서비스가 업데이트될 때마다 정책도 함께 검토한다. 이런 사례들에서 배울 수 있는 것은 정책 자체보다 정책을 지속적으로 운영하는 체계가 더 중요하다는 점이다.
공식 정보 확인 안내
회사의 법무팀, 보안팀, IT팀과 함께 정책의 세부 내용을 확인하고 확정해야 한다. 필요하면 외부 컴플라이언스 전문가나 데이터 보호 담당자의 검토를 받아 회사 규모와 업종에 맞는 버전으로 수정한다.
자주 묻는 질문 FAQ
Q1. 직원이 개인 구독으로 ChatGPT나 다른 AI를 쓰는 것까지 금지할 수 있나?
정책 자체로는 회사 업무 범위에서의 사용만 규제하고, 개인 시간에 개인 결제로 쓰는 것까지는 통제하기 어렵다. 대신 업무 중에 회사 정보를 입력하지 않도록 교육하고, 적발되면 대응하는 방식이 현실적이다. 더 강하게 제한하려면 기술적으로 특정 서비스 접근을 차단할 수도 있지만, 이는 직원 만족도와 신뢰도 문제가 생긴다.
Q2. AI가 생성한 결과물에 저작권이 있나? 우리가 마음껏 쓸 수 있나?
저작권의 소유권은 상황마다 다르고, AI 서비스의 약관에 따라 달라진다. 정책을 만들 때는 AI 생성 결과물을 대외용으로 배포하거나 고객에게 제공하기 전에 사실 확인, 수정, 추가 작업을 거치도록 명시하는 것이 안전하다. 저작권 관련 세부 사항은 법무팀과 함께 확인해야 한다.
Q3. 정책을 정했는데 직원이 안 지킬 수도 있지 않나?
맞다. 정책만으로는 부족하고, 정기적인 교육, 위반 사례에 대한 빠른 피드백, 도구 설정을 통한 기술적 제한 등을 함께해야 실효성이 생긴다. 또한 정책이 너무 엄격하면 지켜지지 않으므로, 실제 업무 흐름에서 ‘이 정도는 괜찮겠지’라고 느낄 수 있는 수준으로 현실적으로 만들어야 한다.
Q4. 정책을 정한 후 얼마나 자주 수정해야 하나?
최소한 분기마다 한 번씩 검토하고, AI 서비스가 크게 업데이트되거나 새로운 위협이 발견되면 그때마다 수정한다. 또한 회사 내에서 새로운 AI 도구가 도입되면 즉시 정책에 추가해야 한다. 정책을 정적인 문서가 아니라 ‘살아있는’ 운영 기준으로 생각하는 것이 중요하다.
이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.