회사에서 ChatGPT 도입하기 전, 이것만은 꼭 확인하세요 – 정책·보안 체크리스트

회사에서 ChatGPT 도입하기 전, 이것만은 꼭 확인하세요 – 정책·보안 체크리스트

최근 ChatGPT를 비롯한 생성형 AI 도구들이 업무 환경에 빠르게 침투하고 있습니다. 특히 글쓰기, 요약, 이메일 초안, 회의록 정리 등 반복 업무를 자동화할 수 있다는 점에서 많은 기업들이 도입을 고려 중이죠. 하지만 이런 흐름 속에서 중요한 것이 하나 빠지고 있습니다.

바로 정책과 보안 기준의 정립입니다.

“일단 써보자!”는 접근도 좋지만, 기업의 민감한 데이터가 오가는 상황에서는 도입 전 체크리스트가 선행되어야 합니다. 이 글에서는 실제 기업 환경에서 고려해야 할 보안·정책적 항목을 중심으로, 실무자와 관리자 모두에게 도움이 되는 정보를 정리했습니다.

---

왜 체크리스트가 필요한가?

ChatGPT는 웹 기반 클라우드 서비스입니다.
즉, 내가 입력한 정보는 OpenAI의 서버를 거쳐 처리되고, 일시적으로 저장될 가능성이 있습니다. 이 점이 일반적인 소프트웨어 툴과 가장 큰 차이입니다.

❗ 실무자의 오해

“AI가 문장을 만들어주는 것뿐이잖아요? 뭐가 위험하죠?”

 

이런 인식이 위험합니다. 예를 들어 회의록 정리를 위해 "지난주 경영전략 회의 요약 좀 해줘"라며 회의 전문을 붙여넣는다면,
그 안에 미공개 실적 전망, 투자 전략, 고객사 이름이 포함되어 있을 수 있습니다.
이렇게 무심코 입력한 데이터가 회사의 핵심 자산을 외부로 전송하는 일이 됩니다.

---

체크리스트 항목별 가이드

1) 사내 정보보안 정책과의 충돌 여부 확인

사내 보안 정책에는 종종 외부 클라우드 툴 사용 금지, 내부 문서 외부 반출 금지, 인증되지 않은 외부 사이트 접속 제한 같은 조항이 포함되어 있습니다.

✅ 먼저 할 일:

• 사내 정보보호팀 또는 CISO 부서에 ChatGPT 사용 문의
• 기존 정책 내 ‘외부 서비스 사용’ 관련 항목 점검
• 외부 반출 기준에 AI 입력도 포함되는지 여부 확인

📌 실제 사례

한 제조업체에서는 인사팀이 신규 인턴 평가표 작성을 ChatGPT로 도와달라고 요청했는데, 그 안에 인사고과 및 개인정보가 포함돼 있었습니다. 보안감사에서 적발되며 회사 차원의 교육과 가이드 개정이 이뤄졌습니다.

---

2) 민감정보 입력 금지 가이드 마련

AI는 훈련 목적이나 기능 향상을 위해 사용자의 입력 데이터를 수집할 수 있습니다. OpenAI는 ‘옵트아웃’을 통해 학습 제외를 요청할 수 있지만, 근본적으로는 입력 자체를 신중히 해야 합니다.

🚫 절대 입력하면 안 되는 정보:

• 고객 이름, 전화번호, 이메일 등 개인정보
• 회계 데이터, 세무자료, 매출 추이 등 내부 정보
• NDA가 포함된 계약서, 내부 보고서 원문

💡 교육 시 이렇게 설명해보세요:
“ChatGPT에 문장을 넣는 건, 회사 자료를 외부 클라우드에 복사하는 것과 같습니다. 사소한 문장도 신중히 생각해야 합니다.”

---

3) 부서별 사용 가능 업무 구분하기

모든 부서가 AI를 동일하게 사용할 수는 없습니다.
마케팅팀은 카피라이팅이나 콘텐츠 아이디어 생성에 유용하게 활용할 수 있지만,
재무팀이나 인사팀은 민감한 데이터에 접근하기 때문에 제약이 필요합니다.

 

✅ 가이드 작성 예시:

부서	사용 가능 업무	사용 금지 업무
마케팅	문구 초안, 광고 아이디어	계약서 내용 입력
인사	면접 질문 생성	인사고과, 급여 입력
재무	회계 개념 설명	회계 데이터 분석

---

4) 사용 이력 및 책임 관리 체계 마련

웹 브라우저에서 ChatGPT를 사용하는 경우, 사용자가 어떤 데이터를 입력했는지 기업 차원에서 확인할 수 없습니다.

🛠️ 추천 조치:

• 사내 전용 챗봇 시스템 구축 (API 연동형)
  → 사용 기록 자동 저장 가능, 로그 추적 가능
• 간이 기록 템플릿 배포
  → “입력한 내용”, “생성된 결과”, “활용 목적” 간단 기록

📌 보안팀에서 최소한 ‘누가, 언제, 어떤 목적으로’ 썼는지는 확인할 수 있어야 리스크 대응이 가능합니다.

---

5) 외부 서비스 연계 시 보안 검토

ChatGPT는 Slack, Notion, Teams 등 다양한 플랫폼과 연동할 수 있습니다.
이 기능이 편리한 만큼, 연동을 통한 정보 유출 우려도 큽니다.

✅ 체크포인트:

• 연동되는 플랫폼의 보안 수준 (SSO, MFA 등 지원 여부)
• 연결된 계정의 범위 (개인 vs 조직 계정)
• 데이터가 어떤 방식으로 전달·처리되는지 API 구조 확인

💬 예를 들어 Notion에 연동된 GPT 기능을 쓸 때, 문서 전체 내용이 전송될 수 있는 구조라면 주의가 필요합니다.

---

실무자를 위한 요약 체크리스트 

• 민감정보 입력 금지 원칙 수립 및 교육
• 사내 보안·정보보호팀과 사전 협의
• 직무별 사용 가능 업무 구분
• 사용 이력 관리 체계 마련 (로그, 문서, 챗봇 등)
• 외부 연동 API 보안 검토 및 차단 기준 수립

---

ChatGPT 도입 프레임워크 예시

AI 도입도 결국 하나의 시스템 전환입니다. 다음의 3단계 프레임워크를 추천합니다:

 

[1단계] 탐색 (Exploration)

• 시범 사용자 설정, 제한된 부서에 우선 도입
• 리스크 테스트 및 사례 수집

[2단계] 기준 수립 (Policy Setup)

• 사용 가능/불가 범위 정의
• 입력 데이터 가이드라인 설정
• 내부 커뮤니케이션 채널 운영

[3단계] 확산 (Controlled Adoption)

• 전사 도입 전 보안 승인을 거친 시스템으로 확산
• 정기적인 사용 피드백 및 보안 점검

---

마무리하며

혁신은 언제나 보안을 수반해야 지속 가능합니다.
ChatGPT는 잘만 활용하면 강력한 업무 보조 도구가 되지만, 아무 준비 없이 도입하면 리스크도 그만큼 커질 수 있습니다. 사전에 충분한 논의와 기준 수립이 필요하며, AI에 대한 막연한 기대가 아닌 균형 잡힌 도입 전략이 중요합니다.

이 글이 조직 내 AI 도입을 고민 중인 분들께 작은 도움이 되기를 바랍니다.

다음 글에서는 직무별 ChatGPT 활용 시나리오 & 실제 도입 사례 (마케팅, 인사, 기획 등)에 대해 알아보도록 하겠습니다.