사내 가이드라인이 통하지 않는 이유, 정보 유출은 안이한 개인 AI 이용에서 시작된다
요약
기업의 생성 AI 거버넌스 구축에도 불구하고 개인 계정 사용 등 '섀도 AI'로 인한 정보 유출 리스크가 심각합니다. 대기업은 통제의 어려움, 중소기업은 인프라 부족이라는 각기 다른 과제에 직면해 있습니다.
핵심 포인트
- 가이드라인 정비와 실제 준수 사이의 괴리 발생
- 개인 계정(Claude, ChatGPT) 사용을 통한 정보 유출 위험
- 대기업의 통제 불능 및 중소기업의 인프라 부족 문제
- 입력 제어, 로그 관리, 액세스 제어 등 기술적 대책 필요
2025~2026년 정부·공공기관의 분석에 따르면, 기업의 생성 AI 거버넌스(Governance)는 "정비는 진행되었으나, 준수는 따라가지 못하고 있다"라는 평가가 공통적으로 나타나고 있다.
특히 디지털청(2025)과 경산성(경제산업성) AI 사업자 가이드라인(2026)은 가이드라인을 만드는 것만으로는 의미가 없다고 명확히 지적하고 있다.
많은 기업이 생성 AI 이용 규칙을 정비했음에도 불구하고, 실제 현장에서는 다음과 같은 과제가 현저하게 나타난다.
・ 직원이 규칙을 이해하지 못함
・ 입력해도 되는 정보의 판단이 어려움
・ 개인 계정의 AI 서비스 이용이 방치됨
・ 로그 관리(Log Management)·액세스 제어(Access Control)가 불충분
즉, 가이드라인은 존재하지만 현장의 행동으로 이어지지 않고 있다. 이러한 상황의 본질적인 과제와 대책을 전달하고자 한다.
정보를 안이하게 보내고 있지는 않은가?
2025~2026년 정부 가이드라인에서는 가장 심각한 리스크로서, 입력 정보의 관리 미비에 대해 반복적으로 경고하고 있다.
전형적인 리스크 사례
・ 직원이 개인 계정의 Claude나 ChatGPT에 업무 데이터를 입력
・ 자택 PC나 스마트폰으로 로그인했을 때, 히스토리를 통해 정보가 유출될 가능성
・ 무료 버전 AI는 기업의 데이터 관리 정책 대상 외
・ 입력 내용이 학습에 이용될 가능성이 있는 서비스도 존재
특히 "개인 계정으로의 Claude 이용" 등은 위험성이 높다. 이유는 간단하다, 기업 측에서 일절 관리할 수 없기 때문이다...
기업과 중소기업의 생성 AI 거버넌스 과제 차이
2025~2026년 공공 가이드라인(디지털청·경산성)에서는 기업 규모에 따라 생성 AI 거버넌스의 과제가 크게 다르다는 점이 지적되고 있다. 대기업은 "정비는 진행되지만 통제가 어렵고", 중소기업은 "정비 자체가 따라가지 못한다"라는 구조적인 차이가 존재한다.
대기업의 경우 가이드라인 자체는 이미 정비되어 있으며, AI 총괄 책임자(CAIO)를 중심으로 한 관리 체제도 구축되고 있으나, 직원 수가 많고 부서마다 이용하는 AI 서비스가 다르기 때문에 현장 수준에서의 통제가 가장 어려운 과제가 되고 있다.
특히 개인 계정의 ChatGPT나 Claude를 업무에 이용하는 사례가 끊이지 않아, 기업 측이 파악할 수 없는 "섀도 AI(Shadow AI)"가 심각해지고 있다. 이로 인해 입력 정보의 관리나 로그 추적이 불가능해지며, 정보 유출 리스크가 급격히 높아지고 있다.
반면 중소기업은 애초에 가이드라인 정비나 교육 체제가 충분히 확립되어 있지 않다. 정보 시스템 부서가 소규모이기 때문에 기술적 통제(액세스 제어·로그 관리·입력 제어)를 구현할 리소스가 부족하다.
또한 비용 문제로 인해 무료 버전 AI 서비스에 의존하기 쉬우며, 결과적으로 "입력 내용이 학습에 이용될 가능성이 있는 AI"를 업무에 사용하게 되는 경우가 많다. 이는 대기업 이상으로 위험한 상황이다.
| 항목 | 대기업 |
|---|---|
| 가이드라인 정비 | 진행되고 있음 |
| 통제의 어려움 | 인원이 많아 통제 곤란 |
| ... |
기업에 요구되는 생성 AI 대책
2026년 경산성 「AI 사업자 가이드라인(제1.2판)」 및 디지털청 가이드라인에서는 기업이 취해야 할 대책이 명확히 제시되어 있다. 공통되는 키워드는 「입력 제어」 「로그 관리」 「액세스 제어」 「안전한 AI 환경의 통일」의 4가지이다.
먼저 최우선이 되는 것은 입력 제어의 철저이다. 기밀 정보·개인 정보·고객 데이터를 생성 AI에 입력하지 않는 것은 당연하지만, 실제로는 직원이 판단하지 못하고 입력해 버리는 사례가 많다.
특히 개인 계정의 Claude나 ChatGPT를 업무에 이용하는 행위는 극히 위험하다. 개인 계정은 기업의 관리하에 있지 않기 때문에, 자택 PC나 스마트폰으로 로그인하면 히스토리를 그대로 열람할 수 있으며, 정보 유출이 발생해도 기업 측에서는 추적도 삭제도 할 수 없다.
다음으로 요구되는 것은 로그 관리와 액세스 제어이다.
누가, 언제, 어떤 AI에, 어떤 정보를 입력했는지를 기록하고, 퇴직자의 계정을 즉시 정지할 수 있는 메커니즘이 필요하다. 이는 개인 계정 AI로는 실현 불가능하며, 기업 계정으로 통일된 AI 환경이 필수적이다.
따라서 2026년 가이드라인에서는 안전한 AI 환경으로의 통일을 강력히 권장하고 있다.
여기서 중요한 역할을 하는 것이 M365 Copilot이다.
M365 Copilot은 기업의 ID 기반인 Entra ID (구 Azure AD)와 완전히 통합되어 있어, 다음과 같은 기업용 통제가 가능하다.
・ 기업 계정으로만 이용 가능 (개인 계정 배제)
・ 입력 데이터는 학습에 이용되지 않음
・로그 관리 및 액세스 제어 (Access Control)가 기본적으로 구현됨
・퇴직자의 계정을 즉시 정지 가능
・데이터는 Microsoft 365의 보안 경계 내에서 처리
즉, M365 Copilot은 "기업이 생성형 AI (Generative AI)를 안전하게 사용하기 위한 최소 조건"을 충족하는 유일한 환경이라고 할 수 있다.
개인용 AI와 M365 Copilot의 차이
| 항목 | 개인 계정 AI |
|---|---|
| 데이터 관리 | 기업이 관리 불가능 |
| --- | --- |
| 데이터 관리 | 기업이 관리 불가능 |
| 입력 데이터 취급 | 학습에 이용될 가능성 있음 |
| ... |
요약
2026년 기업에 요구되는 것은 "가이드라인을 만드는 것"에서 "실제로 지키게 하는 것" 단계로의 전환이다.
이를 위해서는,
・개인 계정 AI의 이용 금지
・입력 제어 · 로그 관리 · 액세스 제어 (Access Control)의 철저한 이행
・직원 교육의 지속
・안전한 AI 환경 (M365 Copilot)으로의 통합
이 필수적이다.
생성형 AI (Generative AI)는 기업의 생산성을 크게 향상시키는 한편, 사용법을 잘못 다루면 기업의 정보 자산을 순식간에 잃을 수 있다. 2026년의 기업에 요구되는 것은 편리함보다 통제된 안전한 이용임을 강력히 전달하고 싶다.
Discussion
AI 자동 생성 콘텐츠
본 콘텐츠는 Zenn AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기