"팀원이 고객사 제안서를 ChatGPT에 붙여 넣었는데, 이게 괜찮은 건가요?" 요즘 AI 도입 담당자들이 가장 많이 받는 질문입니다. 명확한 기준이 없으면 담당자도, 직원도 판단하기 어렵습니다.
AI 도입을 서두르는 기업일수록 정작 중요한 것을 빠뜨리는 경우가 많습니다. 어떤 도구를 쓸지보다 어떻게 써야 하는지가 먼저입니다. 이 글은 기업 AI 사용 정책이 왜 필요한지, 무엇을 담아야 하는지, 어떻게 만들어야 하는지를 순서대로 정리합니다.
목차
정책 없이 AI를 도입하면 두 가지 문제가 반복됩니다. 직원들이 알아서 쓰다가 보안 사고가 나거나, 반대로 "혹시 문제 될까봐" 아무도 안 쓰는 것입니다. 둘 다 기업 입장에서는 손해입니다.
실제로 많은 기업에서 이런 상황이 벌어집니다. 마케팅 팀원이 고객사 이름이 담긴 기획서를 개인 ChatGPT 계정에 입력하고, 개발자가 사내 코드를 AI에 그대로 붙여 넣고, 영업 담당자가 미공개 단가표를 AI에 넣고 제안서를 만듭니다. 개개인은 업무 효율을 위한 선택이었지만, 회사 입장에서는 데이터가 어디로 갔는지 알 수 없는 상황이 됩니다.
정책은 금지를 위한 것이 아닙니다. 직원이 AI를 마음 놓고 쓸 수 있도록 경계를 그어주는 것입니다. Copilot 보안 설정에 대해 더 자세히 알고 싶다면 코파일럿에게 회사 기밀을 물어봐도 괜찮을까? 관리자를 위한 안전한 AI 도입 가이드를 함께 읽어보시면 도움이 됩니다.
많은 직원들이 개인 계정으로 쓰는 무료 ChatGPT와 회사에서 도입한 기업용 AI가 같은 것이라고 생각합니다. 데이터 처리 방식이 근본적으로 다르며, 이 차이를 이해하는 것이 정책 수립의 출발점입니다.
개인용 무료 ChatGPT는 대화 내용이 기본값으로 AI 모델 학습에 활용됩니다. 설정에서 끌 수 있지만(OpenAI 도움말 센터), 직원 개개인이 이 설정을 관리한다고 보장할 수 없습니다. 반면 Microsoft 365 Copilot, Google Workspace의 Gemini, Claude Enterprise 같은 기업용 AI는 계약상 고객 데이터를 AI 학습에 사용하지 않습니다(Microsoft Learn 공식 문서 / Google Workspace 보안·AI 개인정보 보호 / Anthropic 공식). 입력한 내용이 모델에 반영되지 않는다는 것을 계약으로 보장받는 구조입니다.
기업용 AI는 조직의 기존 권한 설정을 그대로 따릅니다. Microsoft 365 Copilot의 경우 해당 직원이 원래 접근할 수 없는 파일에는 Copilot도 접근하지 못합니다. 관리자가 사용 현황을 모니터링할 수 있고, 특정 기능을 부서별로 제한하거나 감사 로그를 확인할 수도 있습니다. 개인용 AI에는 이런 통제 수단이 없습니다.
기업용 AI는 규제 대응을 위한 장치가 내장되어 있습니다. Zoom AI Companion은 2026년 1월 26일부터 호스트가 AI 기능(회의 요약·스마트 녹화)을 켜면 참석자 전원이 AI 정책에 동의해야 회의에 남을 수 있도록 변경됐습니다(Zoom 공식). 이는 AI 사용 사실을 조직 구성원에게 사전 고지해야 한다는 컴플라이언스 원칙이 도구 자체에 반영된 사례입니다. 규제 산업(금융, 의료, 공공 등)에서는 이처럼 감사 추적이 가능한 기업용 도구가 필수입니다.
기업용 AI는 이미 쓰고 있는 업무 도구와 연결됩니다. Copilot은 Teams 회의록을 자동으로 정리하고, Gemini는 Gmail과 Google Drive를 연결하며, Zoom AI Companion은 화상회의 요약을 제공합니다. 개인용 AI는 이 연결이 되지 않아 복사-붙여넣기가 반복되고, 그 과정에서 데이터 유출 위험이 생깁니다.
비용은 더 들지만 데이터 보안, 관리 통제, 업무 통합 세 가지에서 기업용 AI가 압도적으로 유리합니다.
AI 사용 정책을 처음 만든다면 다음 5가지 항목만 명확히 해도 충분합니다. 완벽한 정책보다 직원이 실제로 읽고 따를 수 있는 정책이 중요합니다.
어떤 정보를 AI에 입력하면 안 되는지 명시합니다. 고객 개인정보, 미공개 재무 데이터, 계약서 원본, 사내 인사 정보가 대표적입니다. "민감한 정보는 넣지 마세요"처럼 모호하게 쓰면 직원마다 해석이 달라집니다. 구체적인 데이터 유형을 예시로 들어야 합니다.
"AI 써도 됩니다"가 아니라 "이 도구는 써도 됩니다"로 명시해야 합니다. 개인 계정의 무료 AI와 회사 계약 기반의 기업용 AI를 구분해서 안내합니다. 허용 목록에 없는 도구는 IT 부서 승인 후 사용 가능하도록 절차를 만들어두면 새로운 AI 서비스가 나올 때마다 정책을 수정하지 않아도 됩니다.
AI가 만든 초안을 그대로 외부에 발송하거나 제출하는 사고를 막기 위해 "AI 생성 콘텐츠는 반드시 담당자 검토 후 사용"을 원칙으로 명시합니다. 특히 수치, 날짜, 고객 정보가 들어간 문서는 검토를 필수로 지정합니다. AI는 실수를 하지 않는 것이 아니라 사람보다 빠르게 초안을 만들어주는 도구입니다. 검토 책임은 여전히 사람에게 있습니다.
AI가 생성한 이미지나 텍스트를 마케팅 자료나 공식 문서에 사용할 때 저작권 문제가 생길 수 있습니다. 특히 이미지 생성 AI의 경우 어떤 데이터로 학습됐는지에 따라 기업의 법적 책임이 달라집니다. 사용 범위와 출처 표기 방식을 미리 정해두면 분쟁을 예방할 수 있습니다.
단속이 목적이 아니라 직원이 실수했을 때 어떻게 대응해야 하는지 경로를 알려주는 것입니다. 신고 창구와 처리 절차가 명확하면 초기 대응이 빠릅니다. 위반 수위에 따른 조치도 사전에 정의해두어야 "몰랐다"는 변명을 방지할 수 있습니다.
AI 사용 정책을 만드는 데 수개월이 걸릴 필요는 없습니다. 5단계를 순서대로 밟으면 빠르면 한 달 안에 전사 적용이 가능합니다.
어떤 AI 도구가 기업 환경에 적합한지, 비용 대비 보안 수준은 어떤지 판단하기 어렵다면 쏟아지는 AI 툴, 다 사줘야 할까? 관리자를 위한 현명한 도입 기준을 함께 읽어보시면 기준을 잡는 데 도움이 됩니다.
AI 사용 정책은 거창하게 시작할 필요가 없습니다. "우리 회사에서 AI를 쓸 때 이것만큼은 지키자"는 합의부터 시작하면 됩니다. 정책이 있는 조직과 없는 조직의 차이는 AI 도입 6개월 후부터 선명하게 드러납니다. 보안 사고 한 번이 정책 수립에 드는 노력보다 훨씬 큰 비용을 만들어냅니다.
마드라스체크는 Microsoft 365, Google Workspace, Zoom, Adobe 등 기업용 AI 도구 도입과 사내 정착을 지원합니다. 어떤 도구가 우리 조직에 맞는지, 정책을 어떻게 수립해야 하는지 함께 고민합니다.
사용되지 않습니다. Microsoft 공식 문서에 따르면 Microsoft 365 Copilot의 프롬프트, 응답, Microsoft Graph 데이터는 AI 기반 모델 학습에 사용되지 않습니다. 또한 기존 Microsoft 365의 권한 설정을 그대로 따르기 때문에 해당 직원이 원래 접근할 수 없는 파일에는 Copilot도 접근하지 못합니다.
다릅니다. 무료 ChatGPT 계정은 기본값으로 대화 내용이 모델 학습에 활용될 수 있으며, 사용자가 직접 설정에서 학습 동의를 해제해야 합니다. 반면 ChatGPT Team·Enterprise 플랜은 기본값으로 학습에 사용되지 않습니다. 기업 환경에서 무료 계정을 개인 설정 없이 사용하면 회사 데이터가 학습에 포함될 수 있어 주의가 필요합니다.
우선 어떤 데이터가 어느 도구에 얼마나 입력됐는지 파악합니다. 개인용 무료 AI에 고객 정보가 입력된 경우라면 해당 AI 서비스의 데이터 삭제 요청 절차를 즉시 확인합니다. 이후 재발 방지를 위해 정책 교육과 허용 도구 목록을 재공유합니다. 처음부터 위반 처리 절차를 정책에 명시해두면 사고 발생 시 초기 대응이 빠릅니다.
적용하는 것이 권장됩니다. 외부 인력이 우리 회사 데이터를 다루는 업무를 한다면, 그들이 사용하는 AI 도구에도 동일한 보안 기준이 적용되어야 합니다. 계약서나 NDA에 AI 사용 관련 조항을 추가하거나, 별도 외부 인력용 가이드라인을 만들어 전달하는 방식이 현실적입니다.
최소 6개월에 한 번 정기 검토를 권장합니다. AI 도구와 관련 정책이 빠르게 바뀌기 때문입니다. 특히 새로운 기업용 AI 서비스 출시, 주요 도구의 데이터 정책 변경, 법·규제 개정이 있을 때는 즉시 검토하고 반영해야 합니다. Zoom이 2026년 1월 AI 참석자 동의 정책을 업데이트한 것처럼, 도구 자체의 정책 변화도 주기적으로 확인할 필요가 있습니다.