기업 AI에 넣으면 안 되는 정보와 보안 기준 체크리스트

기업 AI 활용에서 가장 먼저 정해야 할 기준은 AI에 넣어도 되는 정보와 넣으면 안 되는 정보입니다. ChatGPT, Claude, Gemini 같은 생성형 AI는 업무 생산성을 높이지만, 입력 정보 기준이 없으면 개인정보와 회사 기밀이 외부 서비스로 흘러갈 수 있습니다. AI 보안은 어려운 기술 용어보다, 직원이 매일 입력하는 자료를 어떻게 관리할지 정하는 일에서 시작됩니다.

기업 AI 보안의 핵심은 “AI를 쓰지 말라”가 아니라 “무엇을 넣지 말아야 하는지 명확히 정하는 것”입니다.

AI에 넣으면 안 되는 정보 기준

기업 AI 교육이란 직원이 AI 도구를 업무에 안전하게 적용하도록 기준, 사례, 실습을 함께 설계하는 교육입니다. 이때 가장 중요한 출발점은 입력 금지 정보 목록을 정하는 것입니다.

외부 AI 입력을 피해야 할 정보

아래 정보는 원칙적으로 외부 생성형 AI에 그대로 입력하지 않는 것이 안전합니다. 특히 무료 계정, 개인 계정, 보안 정책을 확인하지 않은 AI 서비스에서는 더 주의해야 합니다.

• 이름, 전화번호, 이메일, 주소, 주민등록번호, 계좌번호 등 개인정보
• 건강정보, 장애정보, 종교, 정치적 견해, 범죄 관련 정보 등 민감정보
• 고객 상담 기록, 구매 이력, 민원 내용, 계약 조건 등 고객정보
• 계약서 원문, 견적서, 단가, 위약금 조항, 납품 조건 등 거래정보
• 연봉, 성과평가, 면담 기록, 채용 평가표, 이력서 원문 등 인사자료
• 미공개 매출, 손익 자료, 투자 계획, 가격 정책, 입찰 전략 등 영업비밀

김지백 강사는 300여 기관 교육 현장에서 AI 도입 실패의 원인이 기술 부족보다 “입력 기준 부재”에 있는 경우를 자주 확인했습니다. 직원이 나쁜 의도로 자료를 넣는 것이 아니라, 어디까지 허용되는지 몰라서 위험이 생기는 경우가 많습니다.

AI에 넣어도 되는 정보와 익명화 기준

AI에는 아무 자료도 넣으면 안 되는 것이 아닙니다. 공개 정보, 가상 데이터, 구조만 남긴 문서처럼 안전한 자료를 활용하면 보고서 초안, 회의록 정리, 교육자료 제작에 큰 도움을 받을 수 있습니다.

안전하게 활용할 수 있는 정보

• 회사 홈페이지 소개문, 보도자료, 공개 행사 안내문 등 이미 공개된 정보
• 고객명, 회사명, 연락처, 금액을 제거한 익명화 자료
• 교육과 실습을 위해 만든 가상의 고객 사례나 회의록
• 보고서 목차, 제안서 구성, 민원 답변서 형식 등 문서 구조
• 개별 고객이나 직원을 특정할 수 없도록 통계화한 데이터

빨강·노랑·초록 분류법

한국경영교육연구소 교육 현장에서는 이 3단계 분류법을 부서별 사례와 함께 설명할 때 직원 이해도가 높아집니다. 보안 기준은 복잡할수록 지켜지기 어렵기 때문에, 실무자가 바로 판단할 수 있는 언어로 바꿔야 합니다.

부서별 AI 보안 체크리스트

부서마다 AI에 넣기 쉬운 자료가 다릅니다. 영업팀은 고객 리스트와 견적 금액, 인사팀은 이력서와 평가표, 회계팀은 계좌번호와 급여대장을 특히 조심해야 합니다.

AI 입력 전 5초 점검법

• 이 안에 사람 이름, 연락처, 주소가 있는가?
• 고객, 직원, 학생, 환자, 민원인을 특정할 수 있는 정보가 있는가?
• 계약금액, 단가, 계좌번호, 급여, 평가정보가 포함되어 있는가?
• 회사만 알고 있는 전략, 노하우, 영업정보가 들어 있는가?
• 이 내용이 외부에 공개되어도 문제가 없는가?

하나라도 해당된다면 바로 입력하지 말고 삭제, 익명화, 요약 후 다시 판단해야 합니다. 이름만 지웠다고 안전한 것은 아닙니다. 날짜, 지역, 직책, 사건 내용이 결합되면 특정 개인이나 회사를 추정할 수 있습니다.

조직 차원의 AI 교육이 필요하다면 기업 AI 교육 과정에서 부서별 AI 활용, 개인정보 보호, 보안 기준 수립을 함께 설계하는 방식으로 접근하는 것이 좋습니다.