AI 업무툴에 회사자료를 넣기 전
보안·개인정보 10분 점검표
AI 도구는 보고서와 회의록 작성 시간을 줄입니다. 문제는 편리함이 업로드 기준을 무너뜨릴 때 생깁니다. 업무용 AI의 첫 규칙은 잘 쓰는 법보다 올리면 안 되는 자료를 먼저 가르는 법입니다.
시각자료로 먼저 보는 AI 업무툴 보안 점검 흐름
AI 업무툴 보안은 “무엇을 넣을지”보다 “넣어도 되는 자료인지 먼저 분류하는 것”에서 시작합니다.
먼저 결론
회사자료를 AI에 넣기 전에는 모델 성능보다 데이터 등급을 먼저 봐야 합니다. 공개자료, 내부 일반자료, 기밀자료, 개인정보 포함자료를 나누고 뒤의 두 범주는 원문 업로드를 기본 금지로 보는 편이 안전합니다.
1. AI 입력 전 자료를 네 등급으로 나눈다
| 등급 | 예시 | 처리 기준 |
|---|---|---|
| 공개자료 | 공시, 보도자료, 공개 통계 | 출처와 날짜를 남기고 사용 가능 |
| 내부 일반자료 | 일반 회의 안건, 공개 가능한 제안서 시안 | 회사 정책상 허용 범위에서 사용 |
| 기밀자료 | 계약 조건, 미공개 실적, 인사평가 | 원문 업로드 금지, 익명화 후 사전 승인 |
| 개인정보 포함 | 주민번호, 연락처, 계좌, 고객명단 | 비식별·마스킹 후 최소 입력 |
2. 10분 점검 순서
3. 입력문에 원문을 다 넣지 않는다
맥락은 필요하지만 원문 전체는 필요하지 않을 때가 많습니다. 회사명, 고객명, 계약금액, 계좌번호, 프로젝트 코드는 치환값으로 바꿔도 대부분의 문서 작업은 가능합니다.
4. 서비스별 설정을 확인한다
ChatGPT, Claude, Gemini, Microsoft 365 Copilot, Perplexity, Notion AI, Slack AI는 데이터 사용 정책과 관리자 통제 방식이 다릅니다. 개인용 계정과 기업용 계정도 다릅니다.
5. 커넥터와 플러그인은 편하지만 위험도 커진다
AI가 구글드라이브, 노션, 슬랙, 깃허브, 메일함을 읽을 수 있으면 업무 효율은 커집니다. 동시에 권한 범위가 넓어지므로 최소 권한 원칙으로 연결해야 합니다.
6. 결과물 검수는 보안 관점에서도 필요하다
AI가 만든 보고서에는 원문에 없던 정보, 과도한 단정, 민감정보 재노출, 라이선스가 불명확한 문구가 섞일 수 있습니다.
7. 팀 단위 운영 규칙
허용 목록
사용 가능한 AI 서비스, 계정 유형, 입력 가능한 자료 등급을 정합니다.
금지 목록
개인정보, 고객명단, 미공개 실적, 계약 원문, 소스코드 비밀키를 예시로 둡니다.
기록 방식
중요 업무는 사용 목적, 입력 자료 등급, 결과물 검수자를 남깁니다.
8. 바로 쓰는 안전 입력문
결론
좋은 운영 기준은 무엇을 넣을 수 있는가보다 무엇은 절대 넣지 않는가를 먼저 정하는 것입니다. 이 기준이 있으면 보고서, 회의록, 검색, 자동화 업무를 더 빠르고 안전하게 확장할 수 있습니다.
9. 회사자료를 넣어도 되는지 판단하는 세 가지 질문
첫 번째 질문은 “이 자료가 외부로 나가도 되는가”입니다. 공개자료라면 출처와 날짜를 남기고 사용할 수 있지만, 내부 자료라면 공개 가능 범위를 따져야 합니다. 두 번째 질문은 “이 자료가 개인이나 거래처를 식별할 수 있는가”입니다. 이름, 연락처, 주소, 계좌번호뿐 아니라 여러 정보가 결합되어 개인을 특정할 수 있다면 개인정보로 봐야 합니다. 세 번째 질문은 “이 자료가 회사의 경쟁력이나 법적 책임과 연결되는가”입니다. 가격표, 원가, 계약 조건, 미공개 실적, 소스코드, 보안 설정은 업로드 전에 별도 승인이 필요합니다.
이 세 질문 중 하나라도 애매하면 원문 업로드를 멈추고 요약본이나 비식별본으로 바꿔야 합니다. AI 업무툴은 빠르지만, 한 번 업로드된 자료가 어떤 로그와 백업에 남는지 사용자가 완전히 통제하기 어렵습니다.
10. 마스킹은 글자 몇 개를 가리는 작업이 아니다
마스킹은 단순히 이름을 별표로 바꾸는 작업이 아닙니다. 맥락만으로도 특정 개인이나 거래처가 드러날 수 있기 때문입니다. 예를 들어 “강남구 소재 30대 여성 VIP 고객”처럼 직접 이름이 없어도 식별 가능성이 있을 수 있습니다. 계약서의 경우 회사명, 프로젝트명, 금액, 일정, 담당자, 계좌, 특수 조건이 결합되어 민감도가 올라갑니다.
| 자료 유형 | 마스킹 대상 | 대체 방식 |
|---|---|---|
| 고객 상담 기록 | 이름, 연락처, 주소, 주문번호 | 고객 A, 지역 B, 주문 C처럼 치환한다. |
| 계약서 | 회사명, 금액, 계좌, 특수 조건 | 계약당사자 1, 금액 X, 조항 번호 중심으로 요약한다. |
| 소스코드 | API 키, 토큰, 서버 주소, 내부 경로 | 비밀값을 제거하고 재현 가능한 최소 예제로 줄인다. |
11. 개인용 계정과 기업용 계정은 다르게 봐야 한다
같은 AI 서비스라도 개인용 계정과 기업용 계정의 데이터 처리 조건은 다를 수 있습니다. 관리자 콘솔, 데이터 보관 기간, 학습 사용 여부, 감사 로그, SSO, 접근 권한 관리, 커넥터 제어가 달라집니다. 회사 업무라면 개인 카드로 결제한 유료 계정이라고 해서 안전하다고 볼 수 없습니다.
기업용 계정이라도 설정을 확인해야 합니다. 파일 업로드가 허용되는지, 외부 플러그인을 쓸 수 있는지, 대화 내용이 조직 관리자에게 보이는지, 퇴사자 계정의 데이터가 어떻게 처리되는지까지 확인해야 합니다.
12. 커넥터 권한은 한 번 연결하면 계속 남는다
구글드라이브, 노션, 슬랙, 깃허브, 메일 커넥터는 업무 효율을 크게 높입니다. 그러나 연결 범위가 넓으면 AI가 의도보다 많은 자료를 검색할 수 있습니다. 커넥터를 연결할 때는 전체 드라이브가 아니라 특정 폴더, 전체 워크스페이스가 아니라 특정 채널, 전체 저장소가 아니라 특정 프로젝트처럼 범위를 줄여야 합니다.
연결 전
읽기 권한과 쓰기 권한을 구분하고, 기본값이 전체 접근인지 확인합니다.
사용 중
검색 결과에 민감 문서가 섞이는지 확인하고, 불필요한 연결은 즉시 해제합니다.
사용 후
프로젝트 종료, 담당자 변경, 외부 협업 종료 시 권한을 회수합니다.
13. 결과물에도 민감정보가 다시 나타날 수 있다
입력에서 민감정보를 제거했더라도 결과물 검수는 필요합니다. AI가 문맥상 추정한 이름, 구체적 금액, 내부 의사결정 문장, 법적 책임을 키우는 단정 표현을 만들 수 있습니다. 외부 공유 전에는 사실 검수와 함께 보안 검수를 해야 합니다.
14. 팀에서 바로 쓸 수 있는 운영 기준
첫째, 허용 AI 서비스 목록을 정합니다. 둘째, 입력 가능한 자료 등급을 정합니다. 셋째, 금지 자료 예시를 구체적으로 적습니다. 넷째, 커넥터 연결은 승인제로 둡니다. 다섯째, 중요한 결과물은 사람 검수를 거칩니다. 여섯째, 사고가 의심될 때 누구에게 보고할지 정합니다. 일곱째, 월 1회 실제 사용 사례를 점검해 기준을 업데이트합니다.
AI 업무툴의 보안은 기술팀만의 일이 아닙니다. 보고서를 작성하는 사람, 회의록을 올리는 사람, 고객 자료를 요약하는 사람이 첫 번째 방어선입니다. 좋은 기준은 업무 속도를 늦추는 규제가 아니라 실수를 줄이는 안전장치입니다.
15. AI가 틀린 답을 내는 것보다 위험한 경우
AI 업무툴에서 가장 눈에 띄는 위험은 오답입니다. 그러나 조직 입장에서는 오답보다 더 조용한 위험이 있습니다. 첫째, 민감정보가 입력문나 첨부파일에 남는 경우입니다. 둘째, AI가 만든 문장이 외부 공개 문서에 그대로 들어가 책임 소재가 불명확해지는 경우입니다. 셋째, 커넥터 권한이 과도해져 사용자가 보지 말아야 할 문서까지 검색되는 경우입니다.
오답은 검수 과정에서 발견될 가능성이 있지만, 권한 과다와 데이터 노출은 나중에 로그를 뒤져야 드러나는 경우가 많습니다. 따라서 업무용 AI 도입의 핵심은 “얼마나 똑똑한가”보다 “어떤 데이터에 접근하고, 무엇을 저장하며, 누가 검수하는가”입니다.
16. 외부 공유 문서는 한 번 더 엄격하게 본다
내부 메모와 외부 제안서는 기준이 달라야 합니다. 외부 공유 문서는 사실 오류, 과장 표현, 저작권 문제, 개인정보 노출, 영업비밀 노출을 동시에 점검해야 합니다. AI가 만든 표, 그래프 설명, 출처 요약은 반드시 원문 링크와 숫자를 다시 대조해야 합니다. 특히 법률·세금·투자 판단이 들어간 문장은 단정형을 피하고 근거와 한계를 같이 적어야 합니다.
외부 문서에 AI 사용 사실을 항상 표시해야 하는지는 조직 정책과 문서 성격에 따라 다릅니다. 다만 중요한 것은 책임 회피가 아니라 검수 체계입니다. AI가 문서 작성을 보조했더라도 최종 책임자는 사람이므로, 누가 어떤 기준으로 검수했는지 남겨야 합니다.
17. 작은 조직일수록 간단한 규칙이 더 효과적이다
큰 보안 정책을 만들기 어렵다면 세 문장으로 시작할 수 있습니다. “개인정보와 고객명단은 원문 업로드 금지.” “계약서·실적·가격표는 비식별 요약본만 사용.” “외부 공유 전에는 사실과 보안 검수를 한 사람이 확인.” 이 정도만 지켜도 많은 사고를 줄일 수 있습니다.
규칙은 길수록 잘 지켜지는 것이 아닙니다. 실제 업무자가 기억하고 적용할 수 있어야 합니다. 허용 사례와 금지 사례를 같이 적고, 애매하면 누구에게 물어볼지 정해 두는 것이 중요합니다. AI 업무툴은 계속 바뀌므로 정책도 분기별로 업데이트해야 합니다.
18. 결론을 한 문장으로 줄이면
AI 업무툴은 자료를 더 많이 넣을수록 좋아지는 도구가 아니라, 필요한 맥락만 안전하게 넣을수록 오래 쓸 수 있는 도구입니다. 업무 속도를 높이고 싶다면 먼저 데이터 등급표, 마스킹 기준, 커넥터 권한, 결과물 검수 규칙을 정해야 합니다.
19. 도입보다 중요한 것은 사용 후 점검이다
AI 업무툴은 처음 도입할 때만 검토하고 끝내면 위험합니다. 서비스 약관, 데이터 처리 정책, 관리자 기능, 커넥터 권한은 계속 바뀝니다. 새 기능이 켜지면서 파일 검색 범위가 넓어지거나, 외부 앱과 연동되거나, 대화 공유 링크가 만들어질 수 있습니다. 월 1회 정도는 실제 사용 중인 서비스와 권한을 점검해야 합니다.
점검은 복잡할 필요가 없습니다. 어떤 팀이 어떤 AI를 쓰는지, 어떤 자료를 넣는지, 외부 공유 문서에 AI 결과물이 들어가는지, 커넥터 권한이 과도하지 않은지, 퇴사자 계정이 정리됐는지만 확인해도 효과가 큽니다. 빠르게 쓰되, 흔적과 책임은 남기는 방식이 업무용 AI의 기본 운영 원칙입니다.
마지막으로 확인할 독자 질문
이 글의 목적은 한 번에 결론을 강요하는 것이 아니라, 독자가 자신의 상황에 맞는 다음 행동을 고를 수 있게 하는 것입니다. 따라서 실제 판단 전에는 현재 보유 자료, 적용 기준일, 공식 원문, 개인별 예외 조건을 다시 확인해야 합니다. 숫자와 제도는 시점에 따라 바뀔 수 있고, 같은 조건처럼 보여도 계약 구조나 소득 구조, 자산 구조에 따라 결과가 달라질 수 있습니다.
가장 좋은 활용법은 본문을 읽고 바로 결정하는 것이 아니라, 체크리스트 항목을 하나씩 지워 가며 빠진 자료를 찾는 것입니다. 빠진 자료가 많다면 판단을 미루는 편이 낫고, 공식 원문과 증빙이 모두 맞으면 그때 비교와 선택으로 넘어가는 순서가 안전합니다.
공식 자료·근거 링크
본 글은 일반 정보 제공 목적이며 투자·세무·법률 판단을 대신하지 않습니다. 실제 의사결정 전에는 원문 공고, 법령, 공식 기관 안내를 확인해야 합니다.