AI Governance Foundation
이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.
이용을 막기 전에, 기준을 먼저 세운다
생성형 AI가 여러 부서에서 빠르게 확산되던 시점에는 사용을 금지하는 것이 가장 쉬운 선택이었습니다. 하지만 이 작업은 AI 윤리위원회 보안 담당 위원으로서 이용 자체를 막지 않고, 어떤 정보는 입력해도 되고 어떤 정보는 안 되는지, 어떤 절차를 거치면 새 서비스를 도입할 수 있는지를 먼저 정리한 사례입니다.
임직원이 판단 기준 없이 생성형 AI를 피하거나 무분별하게 쓰는 상황을 줄였습니다.
AS-IS / TO-BE
생성형 AI를 개인 계정으로 쓰든 회사 도입 서비스로 쓰든 어떤 정보까지 입력해도 되는지 기준이 없었습니다.
개별 계정과 회사 승인 서비스를 나눠 각각 입력 가능한 정보 범위와 절차를 명확히 정했습니다.
서비스 유형별 준수사항
회사 계정이 아닌 개인 계정·무료 라이선스로 AI를 쓰는 경우, 회사정보 분류 기준상 대외비 이상 정보는 입력을 금지하고 개인정보는 예외 없이 금지합니다.
보안성 검토와 정식 구매 절차를 거쳐 도입한 서비스는 업무 관련 정보 입력은 허용하되, 최고 등급 정보와 개인정보는 여전히 금지합니다.
신규 도입은 보안성 검토를 반드시 거치고, 이미 승인된 서비스의 라이선스 추가 구매는 검토를 생략할 수 있게 해 반복 검토 부담을 줄였습니다.
보안성 검토 프로세스
요청 부서가 이슈 트래커로 보안성 검토를 요청하면 절차가 시작됩니다.
보안 담당 부서가 서비스의 위험 요소를 확인하고 기준 미달 시 보완을 요청합니다.
기준을 충족하면 검토를 완료하고, 미흡하면 보완 요청과 재검토로 되돌립니다.
검토 완료 건은 구매 관리 규정에 따른 정식 구매 절차로 이어집니다.
보안성 검토 기준
새 AI 서비스를 도입할지 판단할 때 기능이나 가격만 보지 않고, 서비스·정책·기술 3개 영역으로 나눠 같은 잣대로 검토했습니다.
입력값이 학습에 쓰이지 않도록 설정할 수 있는지, 관리자가 이용 내역을 감사할 수 있는지를 봅니다.
학습 활용 여부와 데이터 처리 범위가 약관에 명확히 적혀 있는지, 서비스 종료 시 데이터를 회수할 수 있는지를 봅니다.
SOC2·ISO27001 같은 보안 인증, 저장 위치, 암호화, 다중 인증, 최소 권한 설정 여부를 봅니다.
세 영역을 모두 충족해야 정식 구매 프로세스로 넘어갈 수 있게 해 도입 이후 리스크를 줄였습니다.
대부분의 생성형 AI 서비스는 암호화·클라우드 기반으로 동작해 입력된 내용을 기술적으로 직접 확인하거나 회수하기는 불가능합니다. 그래서 이 가이드는 기술적 차단 대신 정책 기반 모니터링과 승인 중심의 보안 체계로 설계했고, 임직원 스스로 입력 전에 판단할 수 있는 기준을 남기는 데 초점을 맞췄습니다.