All Work

생성형 AI 활용 보안 가이드 수립

AI 윤리위원회 보안 담당 위원으로 참여하며, 생성형 AI 서비스 이용 시 정보 유출 위험을 통제 가능한 기준으로 정리하고, 도입 서비스에 대한 보안성 검토 프로세스를 설계한 거버넌스 사례입니다.

AI GovernancePolicySecurity ReviewEthics Committee
Role AI 윤리위원회 보안 담당 위원, 보안 가이드 작성, 보안성 검토 프로세스 설계
Scale / Signal 개인 계정 AI와 회사 승인 AI를 유형별로 나눠 준수사항을 분리
Outcome 생성형 AI 이용을 막는 가이드가 아니라, 임직원이 안심하고 쓸 수 있도록 유형별 기준과 검토 절차를 먼저 세운 사례입니다.
Theme AI Governance Foundation
Scope 개인 계정 AI와 회사 승인 AI를 유형별로 나눠 준수사항을 분리
Process JIRA 티켓 기반 보안성 검토 요청부터 반려·승인까지 이어지는 절차
Criteria 서비스·정책·기술 3개 영역, 11개 세부 항목으로 구성된 검토 기준표
Case Blueprint

AI Governance Foundation

이 사례는 아래 순서로 보면 배경, 판단 기준, 산출물 흐름이 가장 자연스럽게 이어집니다.

01 이용을 막기 전에, 기준을 먼저 세운다 lead
02 AS-IS / TO-BE compare
03 서비스 유형별 준수사항 cards
04 보안성 검토 프로세스 architecture
05 보안성 검토 기준 decision-matrix

이용을 막기 전에, 기준을 먼저 세운다

생성형 AI가 여러 부서에서 빠르게 확산되던 시점에는 사용을 금지하는 것이 가장 쉬운 선택이었습니다. 하지만 이 작업은 AI 윤리위원회 보안 담당 위원으로서 이용 자체를 막지 않고, 어떤 정보는 입력해도 되고 어떤 정보는 안 되는지, 어떤 절차를 거치면 새 서비스를 도입할 수 있는지를 먼저 정리한 사례입니다.

Operating Unit AI 보안 가이드

임직원이 판단 기준 없이 생성형 AI를 피하거나 무분별하게 쓰는 상황을 줄였습니다.

AS-IS / TO-BE

AS-IS 판단 기준 없는 이용

생성형 AI를 개인 계정으로 쓰든 회사 도입 서비스로 쓰든 어떤 정보까지 입력해도 되는지 기준이 없었습니다.

TO-BE 유형별 준수사항

개별 계정과 회사 승인 서비스를 나눠 각각 입력 가능한 정보 범위와 절차를 명확히 정했습니다.

서비스 유형별 준수사항

01 개별 계정 AI

회사 계정이 아닌 개인 계정·무료 라이선스로 AI를 쓰는 경우, 회사정보 분류 기준상 대외비 이상 정보는 입력을 금지하고 개인정보는 예외 없이 금지합니다.

02 회사 승인 AI

보안성 검토와 정식 구매 절차를 거쳐 도입한 서비스는 업무 관련 정보 입력은 허용하되, 최고 등급 정보와 개인정보는 여전히 금지합니다.

03 구매 절차 연동

신규 도입은 보안성 검토를 반드시 거치고, 이미 승인된 서비스의 라이선스 추가 구매는 검토를 생략할 수 있게 해 반복 검토 부담을 줄였습니다.

보안성 검토 프로세스

01 Request 검토 요청

요청 부서가 이슈 트래커로 보안성 검토를 요청하면 절차가 시작됩니다.

02 Assess 위험성 확인

보안 담당 부서가 서비스의 위험 요소를 확인하고 기준 미달 시 보완을 요청합니다.

03 Decide 승인 또는 반려

기준을 충족하면 검토를 완료하고, 미흡하면 보완 요청과 재검토로 되돌립니다.

04 Purchase 구매 연동

검토 완료 건은 구매 관리 규정에 따른 정식 구매 절차로 이어집니다.

보안성 검토 기준

새 AI 서비스를 도입할지 판단할 때 기능이나 가격만 보지 않고, 서비스·정책·기술 3개 영역으로 나눠 같은 잣대로 검토했습니다.

Service 비학습 설정, 프롬프트 모니터링, Public/Private 모델 여부
Policy 학습 활용 명시, 개인정보 처리 조항, 서비스 종료 시 데이터 회수
Technical 보안 인증, 데이터 저장 위치, 암호화, 접근 통제, 감사 로그
Service Security

입력값이 학습에 쓰이지 않도록 설정할 수 있는지, 관리자가 이용 내역을 감사할 수 있는지를 봅니다.

Policy Security

학습 활용 여부와 데이터 처리 범위가 약관에 명확히 적혀 있는지, 서비스 종료 시 데이터를 회수할 수 있는지를 봅니다.

Technical Security

SOC2·ISO27001 같은 보안 인증, 저장 위치, 암호화, 다중 인증, 최소 권한 설정 여부를 봅니다.

Purchase Gate

세 영역을 모두 충족해야 정식 구매 프로세스로 넘어갈 수 있게 해 도입 이후 리스크를 줄였습니다.

정책 기반 통제로 설계한 이유

대부분의 생성형 AI 서비스는 암호화·클라우드 기반으로 동작해 입력된 내용을 기술적으로 직접 확인하거나 회수하기는 불가능합니다. 그래서 이 가이드는 기술적 차단 대신 정책 기반 모니터링과 승인 중심의 보안 체계로 설계했고, 임직원 스스로 입력 전에 판단할 수 있는 기준을 남기는 데 초점을 맞췄습니다.