크몽 AX

AI 도입할 때 회사 보안 해결 방법 | 회사가 AI를 못 쓰는 진짜 이유

2026-05-06

📍 핵심 요약

AI 도입을 막는 7가지 보안 이슈의 실제 메커니즘
실제 발생한 국내·외 유출 사례와 그 원인
AX 컨설팅 단계의 보안 설계 4단계 구조
외부 LLM 사용 시 안전한 통제 방법
회사 단계별 보안 도입 우선순위

"AI 도입하고 싶은데, 보안이 걱정이네요. 죄송합니다."

AI 컨설팅 상담이 실제 실행으로 끝나지 않는 가장 큰 이유. 비용도 인력도 아닌 보안 문제가 가장 큽니다. AI는 본질적으로 데이터를 빨아들이는 기술이라, 도입 검토에 들어가는 순간 데이터 유출·접근권한·법적 책임 같은 변수가 한꺼번에 떠오릅니다. 늦출수록 경쟁사와 격차가 벌어진다는 사실을 알면서도, 보안이라는 큰 장벽 앞에서 의사결정이 멈추는 회사가 적지 않습니다.

이 글은 그 막힘을 풀기 위한 가이드를 드리고자 정리했습니다. AI 도입을 가로막는 보안 이슈 7가지를 분류하고, AX 컨설팅 단계에서 어떻게 풀어내는지를 정리했습니다. "보안이 중요합니다" 수준의 추상적 안내가 아니라, 의사결정자가 점검해야 할 항목과 컨설팅사가 설계하는 통제 구조를 함께 다룹니다.

📍 목차

왜 보안이 AI 도입의 첫 번째 장벽인가
AI 보안 이슈 7가지 분류
실제 발생한 유출·사고 사례
AX 컨설팅의 4단계 보안 설계
외부 LLM 안전 통제 방법
회사 단계별 보안 도입 순서
크몽 AX의 보안 접근법

1. 왜 보안이 AI 도입의 첫 번째 장벽일까요?

AI는 일반 IT 솔루션과 데이터 처리 방식이 다릅니다. 기존 ERP·CRM은 정해진 필드에 입력·조회하는 구조여서 접근권한 통제가 단순합니다. 하지만 AI는 다릅니다. 비정형 자료(문서·이미지·코드·대화 기록)를 통째로 학습·참조하기 때문에, 한 번의 잘못된 입력이 모델·로그·외부 학습 데이터로 흩어집니다. 의사결정자의 보안 부담이 커지는 것도 이 때문입니다. 매출에 직결되는 영업기밀·고객 데이터·R&D 자료는 데이터 등급이 가장 높습니다. 그런데 AI를 가장 효과적으로 적용할 영역도 이런 자료들입니다. 보호해야 할 것과 활용해야 할 것이 겹치는 이 모순이 AI 도입에 '보안' 문제가 가장 큰 장벽이 되는 이유입니다.

2. AI 보안 이슈 7가지 분류

AI 보안 문제 1 : 영업기밀·R&D 자료의 외부 LLM 유출

임직원이 일반 ChatGPT·Claude 무료 계정에 사내 자료를 입력하는 순간 시작되는 위험입니다. 입력 내용은 모델 개선용 데이터로 흘러가고, 한 번 외부 서버로 나간 정보는 다시 가져올 수 없습니다.

AI 보안 문제 2 : 개인정보보호법 위반 리스크

고객 데이터를 가명·익명 처리 없이 LLM에 입력하면 개인정보 처리 목적 외 사용으로 분류됩니다. 2024년 개정 PIPA는 자동화된 의사결정 거부권, 국외 이전 고지 의무, 가명·익명 처리 기준을 강화했습니다. 이 글은 보안 거버넌스 관점만 다루며, PIPA 점검 7가지와 가명 처리 실무는 AI 개인정보보호법(PIPA) 완전 가이드에서 별도로 정리했습니다.

AI 보안 문제 3 : 임직원 무단 사용으로 인한 섀도우 IT

회사가 AI 사용 정책을 명확히 잡지 않으면 직원 각자가 외부 도구를 임의로 씁니다. 이른바 '섀도우 IT' 현상입니다. 보안팀이 사내에 어떤 도구가 돌고 있는지조차 모르는 상태를 뜻합니다. 이것이 가장 위험한 단계입니다.

AI 보안 문제 4 : AI 모델의 환각으로 인한 잘못된 의사결정

LLM이 학습 데이터에 없는 내용을 사실처럼 만들어내는 환각(Hallucination). 이 환각이 고객 응대·내부 보고서·의사결정에 그대로 반영되면, 결과로 인한 손해는 회사가 떠안습니다.

AI 보안 문제 5 : 사내 시스템 접근권한 설계 부재

AI 에이전트가 사내 시스템을 자율적으로 다루는 시점부터 접근권한 설계가 변수로 떠오릅니다. 어떤 데이터·기능까지 닿게 할지 사전에 정의하지 않으면 권한 과잉(Over-privilege)이 발생합니다. 사람에게 적용하는 직급·부서별 통제 원칙이 AI에게도 동일하게 들어가야 합니다.

AI 보안 문제 6 : 학습 데이터 활용 동의 누락

고객 데이터로 사내 AI를 학습시키려면, 수집 시 동의받은 처리 목적에 'AI 학습'이 들어 있어야 합니다. 이 절차가 빠진 채 학습이 진행되면, 추후 데이터 삭제 명령은 물론 학습된 모델 자체의 폐기 명령까지 떨어질 수 있습니다.

AI 보안 문제 7 : AI 결과물 책임 소재 불명

AI가 만든 보고서·답변·계산 결과에 오류가 났을 때 누가 책임지는지 사전에 정해지지 않으면, 사고 직후 부서 간 책임 떠넘기기로 인해 해결할 수 있는 골든타임이 사라집니다. 거버넌스 문서에 책임 소재를 명문화하는 작업이 사고 대응의 시작입니다.

3. 실제 발생한 유출·사고 사례

국내 : 2023년 삼성전자 ChatGPT 유출 사건

반도체 사내 코드와 회의록 일부가 ChatGPT에 입력된 사실이 알려지면서, 삼성전자는 즉시 사내 ChatGPT 사용을 제한했습니다. 같은 해 JP모건과 아마존도 같은 조치를 내렸습니다. 임직원 한 명의 무심한 입력이 회사 전체 정책을 뒤집은 사례입니다.

국외 : 2024년 Air Canada 챗봇 판결

캐나다 항공사 Air Canada가 챗봇의 잘못된 환불 정책 안내로 손해를 본 고객에게 책임을 져야 한다는 판결이 나왔습니다. "AI가 답한 것이지 회사가 답한 것이 아니다"라는 항변은 법원이 받아들이지 않았습니다. AI 환각이 법적 책임으로 직결된 첫 판례로 꼽힙니다.

4. AX 컨설팅의 4단계 보안 설계 방식

현장에서 검증된 AI 보안 설계는 4단계 구조입니다. 단계별로 어떤 회사 자료가 어디서 처리되는지를 분리하는 것이 핵심입니다.

AI 도입을 위한 보안 및 거버넌스 설계 프로세스를 단계, 설계 항목, 적용 영역의 세 가지 관점에서 분석한 도표로, 1단계 '데이터 분류'는 데이터를 공개·내부·기밀·극비의 4단계 등급으로 정의하고 등급별 처리 가능 범위를 명문화하여 전사 공통으로 보안팀 주도하에 적용하며, 2단계 '도구 분리'는 일반 업무에는 외부 LLM API(Enterprise·Team)를 사용하고 민감 영역에는 사내 폐쇄망 LLM을 구축하여 금융·의료·R&D 부문에 적용하고, 3단계 '가드레일'은 입력 및 출력에 대한 사전 검사로 민감 정보·욕설·오용을 차단하고 데이터 마스킹을 자동화하여 모든 AI 도입 영역에 적용하며, 마지막 4단계 '감사 로그'는 누가 언제 어떤 입력을 했는지 추적 가능한 로그 기록과 정기 감사를 수행함으로써 규제 산업에서 필수적으로 관리해야 할 핵심 보안 설계 항목들을 상세히 기술하고 있는 이미지입니다.

5. 외부 LLM 안전 통제 방법

모든 회사가 사내 폐쇄망 LLM을 구축할 이유도 없고 가능하지도 않습니다. 비용과 운영 부담을 따져 보면, 외부 LLM을 안전하게 쓰는 구조가 더 현실적인 경우가 많기 때문입니다. 그럴 때는 아래와 같은 대안들을 사용해보세요.

기업용 계정 의무화 : ChatGPT Enterprise·Team, Claude Team, Gemini Workspace는 입력 내용을 학습에 쓰지 않습니다. 무료·Plus 계정은 회사 자료에 손대지 않도록 정책으로 차단합니다.
API 호출 환경 제한 : Azure OpenAI Service, AWS Bedrock은 Private Endpoint로 데이터 외부 노출을 막습니다. 금융권의 표준 구조로 사용하기도 합니다.
DLP 솔루션 결합 : 데이터 유출 방지(DLP) 도구로 사내 네트워크에서 일반 LLM 사이트 접속을 감시·차단합니다.
승인된 도구 목록 : 사내 사용 가능한 AI 도구를 명시적으로 정의하고 그 외는 사용하지 못하도록 막습니다. 화이트리스트가 블랙리스트를 확실히 정하는 것이 안전합니다.

6. 회사 단계별 보안 도입 순서

모든 통제 요소를 한 번에 구축하면 AI를 도입하는 시도 자체가 어려워질 수 있습니다. 제한사항이 많아져서 심적 부담이 늘어나기 때문입니다. 회사 단계와 데이터 민감도에 맞춰 우선순위를 잡는 편이 현실적입니다. 보안 설계는 'AI 도입 후 보강'하는 것이 아니라 '도입 전 설계'해야합니다. 데이터 등급 분류와 사용 정책부터 만들고, 도구는 그 다음에 고르시기 바랍니다.

1단계 (1~2개월) : 정책 기반 보안

기술 구축 전에 사내 AI 사용 정책부터 만듭니다. 데이터 등급 4단계 분류, 사용 가능·불가 영역 정의, 승인된 도구 목록, 임직원 교육. 이 네 가지를 구축하는 것이 1단계의 기본 골격입니다. 비용은 거의 들지 않지만 효과는 가장 빠르게 나옵니다.

2단계 (2~6개월) : 기술 가드레일 수립

입력·출력 검사, 데이터 마스킹, 감사 로그를 붙입니다. 외부 LLM 환경에서도 적용할 수 있는 통제수단입니다. 일반 기업은 대부분 이 단계까지로 충분합니다.

3단계 (6개월 이상) : 폐쇄망 LLM

금융·의료·국방·법률처럼 외부 유출이 법적으로 제한된 영역만 폐쇄망 LLM을 별도 구축합니다. 초기 투자는 크지만 월 운영비는 외부 LLM보다 낮은 경우가 많습니다.

보안 때문에 AI 도입이 멈춘 회사와, 보안을 풀어낸 회사의 차이는 기술 수준에서 오지 않습니다. 누가 먼저 데이터 등급을 분류해서 관리하고 사용 정책을 명문화했느냐, 그 한 번의 결정이 갈림길을 만듭니다.

크몽이 지금까지 진행한 수백 건의 AX 상담에서 발견한 공통점이 하나 있습니다. 보안 때문에 도입을 미루던 회사들은 대부분, 막상 정책 한 페이지를 정리하는 순간 막혔던 의사결정이 풀렸습니다. 문제는 보안 자체가 아니라, 보안을 다루는 절차가 없었다는 점이라는 것입니다.

이 글을 읽고 '우리 회사도 데이터 등급 분류부터 시작해야겠다'는 감이 왔다면, 그것으로 충분합니다. 다음 단계는 크몽이 함께 설계하겠습니다. AI 보안의 진짜 출발점은 거창한 솔루션 도입이 아니라, 기준 설정에서 시작합니다. 비즈니스부터 이해하는 크몽 AX팀에게 무료 진단부터 맡겨보세요.

자주 묻는 질문이에요

Q1. AI 도입을 막는 보안 이슈는 구체적으로 어떤 것이 있습니까?

크게 7가지로 정리할 수 있습니다. ① 영업기밀·R&D 자료의 외부 LLM 유출, ② 개인정보보호법 위반 리스크, ③ 임직원 무단 사용으로 인한 섀도우 IT, ④ 모델 환각으로 인한 잘못된 의사결정, ⑤ 사내 시스템 접근권한 설계 부재, ⑥ 학습 데이터 활용 동의 누락, ⑦ AI 결과물 책임 소재 불명. 이 일곱 가지가 실무 상담의 90% 이상을 차지합니다.

Q2. ChatGPT 같은 외부 LLM을 회사에서 안전하게 쓰는 방법이 있습니까?

있습니다. 일반(무료·Plus) 계정 대신 ChatGPT Enterprise·Team 또는 API 호출 환경을 사용하면 입력 내용이 기본적으로 모델 학습에 사용되지 않습니다. 추가로 데이터 마스킹·프롬프트 가드레일·감사 로그를 결합한 4단계 통제 구조가 표준입니다.

Q3. 사내 폐쇄망 LLM은 모든 회사가 구축해야 합니까?

아닙니다. 금융·의료·국방 등 데이터 외부 유출이 법적으로 제한되거나 영업 비밀 민감도가 매우 높은 영역만 폐쇄망 LLM이 필요합니다. 대부분의 일반 기업은 핵심 영업기밀·R&D 자료 등 특정 영역만 폐쇄망으로 격리하고, 나머지 일반 업무는 외부 LLM API로 처리하는 하이브리드 구조가 보편적입니다.

Q4. AI 컨설팅에서 보안 설계는 도입 시점 이후에 진행됩니까?

보안 설계는 AI 도입의 첫 단계에 포함되어야 합니다. '도입 후 보강'이 아닌 '도입 전 설계'가 원칙입니다. 데이터 등급 분류와 사용 정책을 먼저 만들고 도구를 선택해야 사후 리스크를 줄일 수 있습니다. 크몽 AX는 진단 단계부터 데이터 등급에 따른 분리 운영을 설계합니다.

Q5. 임직원이 회사 자료를 ChatGPT에 입력하는 것을 막을 수 있습니까?

기술적·정책적 양면 통제가 필요합니다. 기술적으로는 사내 네트워크에서 일반 ChatGPT 계정 접속 차단, 또는 DLP(데이터 유출 방지) 솔루션 도입이 가능합니다. 정책적으로는 AI 사용 가능·불가 영역을 명문화한 사내 가이드라인과 승인된 도구 목록을 운영합니다. 두 가지가 결합되어야 섀도우 IT를 실질적으로 줄입니다.

작성 ✍️ : fore (크몽 브랜드마케터)