AI를 업무에 도입하려면 사용 규칙을 문서화하는 것이 먼저다. 승인 절차를 명확히 하지 않으면 개별 팀이 각자 방식대로 도구를 쓰게 되고, 보안과 컴플라이언스 리스크가 쌓인다. AI 정책 문서 작성 기준을 세우고 승인 프로세스를 정해야 조직 전체가 일관되게 움직인다.
빠른 판단 포인트
- AI 정책 문서는 어느 AI 도구를 쓸 수 있는지, 누가 승인하는지, 어떤 데이터를 입력하지 말아야 하는지를 명시해야 한다.
- 승인 절차 없이 개별 사용자가 SaaS 도구를 선택하면 라이선스 낭비, 데이터 유출, 중복 계약 같은 운영 문제가 동시다발로 터진다.
- 정책 문서에 예외 상황을 미리 정의하지 않으면 긴급 대응 때마다 승인 기준이 달라진다.
- 해외 기업들은 AI 사용 승인 경로를 IT, 보안, 법무 담당자가 함께 검토하는 구조를 기본으로 운영한다.
체크리스트
- 현재 조직에서 사용 중인 모든 AI 도구를 목록화했는가. (ChatGPT, Claude, 내부 시스템 포함)
- 각 도구별로 누가 계약했고, 얼마나 많은 사람이 쓰는지 파악했는가.
- 정보보안 부서와 협의해 입력 금지 데이터 범위를 정의했는가. (개인정보, 영업비밀, 미공개 정보 등)
- AI 도구 도입 시 담당자, 결재자, 검토 기준을 명문화했는가.
- 긴급 상황에서 임시 승인하는 예외 절차를 문서화했는가.
- AI 정책 위반 시 조치 방안을 정했는가.
- 분기별 또는 반기별로 정책과 도구 목록을 업데이트하는 일정을 잡았는가.
핵심포인트
많은 조직이 AI 도구 도입을 개별 팀에 맡기다 보니 무승인 상태에서 여러 SaaS가 동시에 쓰인다. IT 부서는 모르고, 보안팀도 감시하지 못한다. 결국 데이터 유출 사건이 터지거나 불필요한 구독료가 계속 나간다. 이 상황을 막으려면 AI 정책 문서에서 최소한 다섯 가지를 정해야 한다.
첫째, 승인 대상을 명확히 하자. 모든 AI 도구 사용을 승인받게 할 수는 없다. 대신 ‘유료 SaaS’, ‘조직 전체 도입’, ‘미공개 정보 입력 필요’, ‘외부 클라우드 연동’ 같은 조건을 정하고, 해당하는 경우만 승인 절차를 거치게 한다.
둘째, 승인 기준을 부서별로 다르게 설정하지 말자. 자주 놓치는 부분이 여기다. 개발팀은 IT 승인만, 마케팅팀은 보안팀만 거쳐야 한다고 각각 정하면 나중에 충돌한다. 모든 도입 요청이 지나는 공통 게이트웨이를 하나 만들고, 그 안에서 필요한 담당자들이 검토하는 구조가 낫다.
셋째, 입력 금지 데이터를 구체적으로 적자. ‘개인정보 금지’라는 문구는 너무 모호하다. 고객명, 전화번호, 이메일, 직원 성과평가, 고객 구매 기록, 내부 회의록 같이 실제로 입력하면 안 되는 데이터를 나열해야 한다. 부서별 특성을 고려해 금지 항목이 다를 수 있으니 기준을 여러 번 검토한다.
넷째, 데이터 저장소와 접근 권한을 명시하자. AI 도구에 입력한 데이터가 어디에 저장되는지, 얼마나 보관되는지, 누가 접근할 수 있는지를 파악하고 정책에 담아야 한다. 해외 서버에 저장되는 경우 해당 국가의 규제도 고려 대상이 된다.
다섯째, 승인 권한자의 책임을 나눠라. IT 담당자는 기술적 가능성과 라이선스 중복을 본다. 보안팀은 데이터 유출 리스크를 점검한다. 법무팀은 규제나 계약 이슈를 확인한다. 각자의 역할을 명확히 해야 승인이 빨라지고 누락이 줄어든다.
대응 절차
- 상황 확인: 현재 조직에서 승인 없이 쓰이는 AI 도구가 몇 개나 있는지, 어느 부서에서 주로 사용하는지 파악한다. IT 자산 관리 시스템, 신용카드 청구서, 직원 면담 기록 등에서 단서를 찾는다.
- 영향 범위 파악: 각 도구별로 얼마나 많은 사람이 쓰는지, 어떤 종류의 데이터를 입력했을 가능성이 있는지, 계약 상태가 어떻게 되는지 확인한다.
- 우선 조치: 입력 데이터가 민감한 도구부터 사용 현황 조사를 시작한다. IT와 보안팀이 함께 리스크를 점수화해 우선순위를 정한다.
- 내부 확인: IT, 보안, 법무, 각 부서 대표가 함께 앉아서 AI 정책 문서 초안을 검토한다. 각 부서의 실무적 의견을 반영해 승인 기준과 금지 데이터 목록을 수정한다.
- 후속 대응: 최종 승인된 정책을 전사에 공지하고, 현재 사용 중인 도구 중 정책을 위반하는 것들에 대한 조치 계획을 세운다. 3개월 유예 기간을 주고 그 사이에 정책 기반 도구로 마이그레이션하거나 승인을 받도록 한다.
공식 정보 확인 안내
조직의 정보보호 정책, 개인정보처리방침, 데이터 분류 기준 등이 이미 있다면 AI 정책을 만들 때 일관성을 유지해야 한다. 관련 부서에 최신 내부 규정을 미리 요청해 정책 작성에 반영하자.
자주 묻는 질문 FAQ
Q1. 직원들이 개인 이메일로 ChatGPT를 쓰는 것까지 통제할 수 있는가.
조직 기기와 네트워크에서의 사용은 제어할 수 있다. 정책 문서에 ‘업무용 기기에서는 조직 승인을 받은 AI 도구만 사용’이라고 명시하고, 보안팀이 모니터링하는 구조를 만든다. 개인 기기에서 개인 계정으로 하는 행동까지는 조직이 통제하기 어렵지만, 업무 결과물을 회사 자산화할 때 AI 도구를 썼는지 확인하고 기록하는 절차는 필요하다.
Q2. 승인 절차가 오래 걸리면 긴급 프로젝트에서 도구를 못 쓰는 건 아닌가.
정책에 긴급 승인 경로를 미리 정해두자. 예를 들어 일반 승인은 5일이 걸리지만, 프로젝트 책임자 + IT 담당자 + 보안팀장 3명이 동시에 승인하면 1일 안에 처리하는 식이다. 대신 긴급 승인을 받은 도구는 프로젝트 종료 후 30일 이내에 재검토하는 조건을 단다.
Q3. 정책 문서에 어떤 AI 도구를 허가할 도구 목록을 만들어야 하는가.
초기에는 IT와 보안이 검토한 도구만 허가 목록에 넣는 것이 맞다. 그런데 허가 목록 자체가 자주 바뀐다. 각 도구의 보안 업데이트, 요금 인상, 기능 변화, 규제 변경을 계속 모니터링해야 하기 때문이다. 정책 문서는 ‘이런 기준을 만족하는 도구를 쓸 수 있다’는 원칙을 정해두고, 허가 목록은 별도 문서로 관리하면서 분기별 검토 일정을 잡는 게 실무적이다.
Q4. 외부 협력사나 프리랜서가 우리 데이터로 AI 도구를 쓸 때도 정책을 적용하는가.
꼭 적용해야 한다. 정책에 ‘외부 협력자가 우리 조직 데이터를 사용하는 모든 AI 도구는 별도 승인 필요’라고 명시하고, 계약서에도 같은 내용을 넣는다. 협력자가 쓰는 도구까지 보안팀이 전부 확인하기는 어렵지만, 최소한 계약상 책임 소재는 분명히 해야 나중에 문제가 터졌을 때 대응이 빠르다.
이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.