AI 보안 도입 체크리스트 2026, 권한·로그·데이터 보호를 먼저 보는 법
AI 보안 도입 체크리스트 2026, 권한·로그·데이터 보호를 먼저 보는 법
AI 도구를 팀에 들일 때 가장 먼저 볼 것은 기능 수가 아닙니다. 누가 접속할 수 있는지, 어떤 데이터가 입력되는지, 관리자 로그를 남길 수 있는지, 퇴사자나 외주 계정을 회수할 수 있는지가 먼저입니다.
특히 ChatGPT, Microsoft 365 Copilot, Gemini for Google Workspace, Claude, AWS Bedrock처럼 업무 문서와 연결되는 AI 도구는 보안 검토 없이 바로 결제하면 나중에 정리 비용이 커집니다. 아래 기준은 소규모 팀이나 운영자가 AI 구독을 시작하기 전 최소한으로 확인할 항목입니다.
먼저 결론
AI 보안 도입은 별도 보안 제품을 하나 더 사는 문제가 아니라, 기존 SaaS 운영 기준을 AI 도구에 맞게 확장하는 일입니다. 최소 기준은 다섯 가지입니다.
- 관리자 계정과 결제 계정을 개인 메일에 묶지 않습니다.
- 팀원별 권한, 외주 계정, 공유 링크를 분리해서 봅니다.
- 입력 데이터가 학습, 보관, 검토에 어떻게 쓰이는지 확인합니다.
- 감사 로그와 내보내기 기록을 남길 수 있는 플랜인지 봅니다.
- 퇴사자 계정 회수와 구독 좌석 정리를 월 1회 반복합니다.
1. 관리자 권한을 먼저 분리합니다
AI 도구를 개인 계정으로 먼저 결제하면 빠르게 시작할 수는 있습니다. 하지만 팀 사용량이 늘면 결제 카드, 관리자 메일, 워크스페이스 소유권이 뒤섞입니다. 이 상태에서는 담당자가 바뀌거나 퇴사했을 때 접근 권한 회수가 어려워집니다.
도입 전에는 아래 항목을 확인합니다.
- 관리자 계정이 회사 공용 메일 또는 역할 계정인지
- 최소 2명 이상이 관리자 권한을 나눠 갖는지
- 개인 계정으로 만든 워크스페이스를 팀 계정으로 이전할 수 있는지
- 결제 담당자와 보안 담당자가 각각 확인 가능한지
- 외주, 프리랜서, 임시 계정을 별도 그룹으로 묶을 수 있는지
팀 단위 AI 구독은 단일 사용자의 편의보다 관리 가능성이 중요합니다. 관리자 권한을 정리하지 못하면 좋은 도구를 사도 계정 회수, 비용 정산, 보안 점검에서 계속 손이 갑니다.
2. 입력 데이터 사용 범위를 확인합니다
AI 도구는 사용자가 넣은 문서, 회의록, 코드, 고객 문의, 내부 기획안을 처리합니다. 그래서 가격표보다 먼저 데이터 사용 조건을 읽어야 합니다.
확인할 질문은 간단합니다.
- 입력한 데이터가 모델 학습에 쓰이는지
- 서비스 개선 검토나 사람이 보는 절차가 있는지
- 조직 관리자가 데이터 보관 기간을 조절할 수 있는지
- 파일 업로드, 커넥터, 브라우징 결과가 같은 기준으로 처리되는지
- 민감한 고객 정보나 계약 정보를 넣지 않도록 제한할 수 있는지
공급사 문서에서 "업무용", "엔터프라이즈", "관리자 제어"라고 되어 있어도 플랜별 조건이 다를 수 있습니다. 무료 플랜, 개인 유료 플랜, 팀 플랜, 엔터프라이즈 플랜의 데이터 처리 조건을 따로 확인하는 편이 안전합니다.
3. 로그와 감사 기록이 남는 플랜인지 봅니다
AI 사용이 늘면 "누가 어떤 문서를 넣었는지", "외부 공유가 있었는지", "관리자 설정을 누가 바꿨는지"를 확인할 일이 생깁니다. 이때 감사 로그가 없는 플랜이면 문제 원인을 추적하기 어렵습니다.
구매 전에는 아래 기능을 확인합니다.
- 로그인 기록과 관리자 설정 변경 기록
- 파일 업로드와 커넥터 연결 기록
- 외부 공유 링크 생성 기록
- 사용자별 사용량 또는 활동 리포트
- 로그 내보내기 또는 보안 도구 연동 가능 여부
처음에는 사용자가 3명뿐이어도, 팀 문서와 고객 데이터가 들어가기 시작하면 감사 로그는 선택 기능이 아닙니다. 월 구독료를 비교할 때 로그 제공 여부를 같은 표에 넣어야 합니다.
4. DLP와 공유 링크 기준을 같이 봅니다
AI 도구 자체가 안전해도 연결된 저장소와 공유 설정이 느슨하면 위험이 생깁니다. Google Drive, OneDrive, Slack, Notion, GitHub, CRM 같은 도구와 연결할 때는 AI 도구만 보지 말고 원본 SaaS의 공유 권한도 같이 봐야 합니다.
점검 순서는 다음처럼 잡으면 됩니다.
- 외부 공유 링크가 열려 있는 문서를 먼저 찾습니다.
- 퇴사자, 외주, 임시 계정을 별도 목록으로 뽑습니다.
- AI 도구가 접근할 수 있는 폴더와 워크스페이스를 제한합니다.
- 고객 정보, 계약서, 인사 자료는 AI 입력 금지 또는 별도 승인 대상으로 둡니다.
- 월 1회 권한 검토와 좌석 정리를 반복합니다.
AI 보안은 AI 서비스 안에서만 끝나지 않습니다. 기존 파일 공유, 비밀번호 관리자, SSO, 2단계 인증 기준과 같이 묶어야 실제 운영 비용이 줄어듭니다.
5. 비용표에는 보안 기능을 따로 표시합니다
AI 도구 비교표를 만들 때 월 요금만 적으면 판단이 흔들립니다. 팀에서 실제로 돈이 되는 비교표는 가격 옆에 보안 기능을 같이 적은 표입니다.
| 확인 항목 | 낮은 위험 | 높은 위험 |
|---|---|---|
| 관리자 계정 | 역할 계정과 보조 관리자 있음 | 개인 메일 1개에 의존 |
| 데이터 사용 | 학습 제외와 보관 조건 확인 | 조건을 읽지 않고 사용 |
| 로그 | 관리자 활동과 공유 기록 확인 가능 | 로그 확인 불가 |
| 외부 공유 | 폴더·그룹 단위 제한 가능 | 공개 링크와 외주 계정 방치 |
| 계정 회수 | 월 1회 좌석·권한 정리 | 퇴사 후에도 접근 가능 |
이 표를 먼저 채운 뒤 가격을 비교하면, 싼 플랜이 정말 싼지 판단하기 쉬워집니다. 보안 기능이 빠져 있어 나중에 별도 도구를 추가해야 한다면 실제 비용은 더 높아질 수 있습니다.
구매 전 체크리스트
- 팀 플랜 이상에서 관리자 콘솔을 제공하는지 확인했습니다.
- 데이터가 학습에 쓰이는지, 보관 기간은 어떻게 되는지 확인했습니다.
- 감사 로그와 활동 리포트 제공 여부를 확인했습니다.
- SSO, 2단계 인증, 비밀번호 관리자와 함께 운영할 기준을 정했습니다.
- 외부 공유 링크와 퇴사자 계정 정리 주기를 정했습니다.
- 고객 정보, 계약서, 인사 자료 등 입력 제한 데이터를 정했습니다.
- 파일 공유 도구와 AI 도구의 권한 범위를 함께 점검했습니다.
함께 보면 좋은 내부 체크리스트
공식 자료로 확인할 링크
정리
AI 보안 도입은 거창한 보안 전략보다 작은 운영 규칙에서 시작하는 편이 효과적입니다. 관리자 계정, 데이터 사용 조건, 로그, 외부 공유, 퇴사자 회수 기준을 먼저 정하면 AI 도구를 더 빠르게 쓰면서도 나중에 생길 정리 비용을 줄일 수 있습니다.
처음 결제하기 전에는 "이 도구가 무엇을 할 수 있나"보다 "누가 접근하고, 무엇이 기록되고, 어떤 데이터를 넣지 않을 것인가"를 먼저 확인하는 것이 좋습니다.
About The Author
