내부정책

스타트업 AI 도구 사용 정책 만들기

임직원이 생성형 AI를 쓸 때 고객정보, 소스코드, 저작권, 검수 책임, 공개 문구를 관리하는 기준입니다.

핵심 요약

생성형 AI 도구는 업무 속도를 높이지만 고객정보, 내부 소스코드, 계약서, 미공개 전략을 무심코 입력하면 보안과 법적 위험이 생깁니다. 반대로 무조건 금지하면 생산성 기회를 놓칩니다. AI 도구 사용 정책은 금지 목록이 아니라 어떤 업무에 어떻게 안전하게 쓸지 정하는 실무 기준입니다.

생성형 AI 도구는 업무 속도를 높이지만 고객정보, 내부 소스코드, 계약서, 미공개 전략을 무심코 입력하면 보안과 법적 위험이 생깁니다. 반대로 무조건 금지하면 생산성 기회를 놓칩니다. AI 도구 사용 정책은 금지 목록이 아니라 어떤 업무에 어떻게 안전하게 쓸지 정하는 실무 기준입니다.

영역확인할 것운영 이유
허용아이디어, 초안, 요약, 코드 보조생산성
제한고객정보, 비밀자료, 계약서보안
검수사실 확인, 저작권, 품질책임
공개AI 사용 고지, 고객 안내투명성

입력해도 되는 정보와 안 되는 정보를 나눈다

AI 정책의 첫 기준은 입력 데이터입니다. 공개된 자료, 익명화된 예시, 내부 일반 문서 초안은 허용할 수 있지만 고객 개인정보, 비공개 재무자료, 접근키, 계약서 원문, 미공개 제품 전략은 제한해야 합니다. 직원이 판단하기 쉬운 예시가 필요합니다.

완전 금지보다 비식별 처리 기준을 주는 편이 현실적입니다. 고객 이름, 이메일, 전화번호, 계정번호, 거래 내역을 제거하고 사례를 일반화해 입력하도록 안내하세요. 다만 비식별이 어려운 민감 자료는 입력 금지로 두는 것이 안전합니다.

업무 유형별 허용 범위를 정한다

마케팅 초안, 고객센터 답변 초안, 코드 리뷰 보조, 회의록 요약, 리서치 정리처럼 업무별 허용 범위가 다릅니다. 고객에게 바로 나가는 문장과 내부 참고용 초안은 검수 수준도 달라야 합니다.

개발 업무에서는 소스코드와 비밀키 입력 기준이 중요합니다. 공개 저장소 코드와 내부 핵심 로직, 고객 데이터 처리 코드는 다르게 다뤄야 합니다. 외부 AI 도구에 입력 가능한 코드 범위와 사내 승인 절차를 정하세요.

출력물 검수 책임을 사람에게 둔다

AI가 만든 결과는 사실 오류, 오래된 정보, 과장 표현, 저작권 문제가 있을 수 있습니다. 최종 책임자는 도구가 아니라 업무 담당자입니다. 발행 전 사실 확인, 출처 확인, 금지 표현 확인, 개인정보 포함 여부를 점검해야 합니다.

고객에게 제공되는 문서나 법률·세무·의료처럼 민감한 주제는 전문가 검토가 필요할 수 있습니다. AI 초안을 그대로 고객 안내로 쓰지 않도록 검수 단계를 명확히 하세요.

도구 목록과 계정 관리를 유지한다

직원들이 각자 무료 도구를 쓰면 어떤 정보가 어디에 입력되는지 알 수 없습니다. 회사가 허용하는 AI 도구 목록, 계정 생성 방식, 유료 플랜 승인 기준, 로그 보관 여부를 정하세요.

퇴사자 계정과 공유 프롬프트도 관리해야 합니다. AI 도구에 저장된 대화나 파일이 회사 밖으로 남지 않도록 계정 회수와 데이터 삭제 절차를 퇴사 체크리스트에 넣습니다.

실행 체크리스트

  • AI 도구에 입력 가능한 정보와 금지 정보를 예시로 구분했습니다.
  • 업무 유형별 허용 범위와 검수 수준을 정했습니다.
  • 고객에게 나가는 출력물은 사실, 출처, 개인정보, 저작권을 확인합니다.
  • 회사 허용 AI 도구 목록과 계정 승인 절차를 만들었습니다.
  • 퇴사 시 AI 도구 계정 회수와 저장 데이터 삭제를 점검합니다.

이 글은 AI와 개인정보 보호 자료, 저작권과 생성물 관련 자료, AI 정책과 디지털 안전 자료의 공개 자료를 바탕으로, 작은 팀이 바로 점검하고 문서화할 수 있는 운영 절차로 재구성했습니다. 실제 적용 전에는 업종, 고객 유형, 계약 구조, 보관 중인 데이터와 사용하는 도구가 다른지 먼저 확인해야 합니다.

정책이나 체크리스트는 작성보다 적용이 더 어렵습니다. 최근 사례 하나를 골라 접수, 판단, 승인, 기록, 고객 안내까지 끝까지 통과시켜 보세요. 이 과정에서 담당자가 헷갈리는 표현, 빠진 승인자, 기록 위치가 드러납니다.

팀원이 늘어날수록 구두 합의는 빠르게 흔들립니다. 고객에게 설명할 문장, 내부 담당자가 확인할 표, 예외를 승인할 기준을 같은 문서 안에 두면 담당자가 바뀌어도 품질을 유지할 수 있습니다. 특히 고객 돈, 개인정보, 계약 권리, 채용, 보안처럼 외부 신뢰가 걸린 업무는 기록이 비용을 줄입니다.

처음부터 완벽한 양식을 만들려고 멈추지 마세요. 한 페이지 표로 시작하고, 월 1회 회고에서 누락된 항목을 보강하면 됩니다. 적용 결과는 처리 시간, 재문의 건수, 이탈률, 환불률, 승인 대기 시간처럼 작은 숫자로 남기면 다음 개선 방향이 보입니다.

예외 처리 기준도 함께 정해야 합니다. 모든 예외를 대표가 판단하면 병목이 생기고, 아무나 판단하면 기준이 흔들립니다. 금액, 고객 영향, 법적 위험, 공개 노출 여부에 따라 어느 단계에서 누가 승인하는지 정하면 빠른 실행과 일관성을 함께 얻을 수 있습니다.

문서의 소유자와 개정 주기도 지정하세요. 담당자가 없는 문서는 오래된 상태로 남고, 오래된 문서는 현장에서 신뢰를 잃습니다. 분기마다 한 번 실제 사례와 비교해 맞지 않는 문장을 고치고, 바뀐 기준은 공지나 회의록에 남겨야 합니다.

고객에게 노출되는 정책이라면 내부 운영표와 외부 안내문을 분리하는 것이 좋습니다. 내부표에는 승인권자, 예외 조건, 증빙 위치를 자세히 쓰고, 외부 안내문에는 고객이 이해해야 할 기준과 문의 경로만 간결하게 담습니다. 두 문서가 같은 기준을 말해야 상담 품질이 흔들리지 않습니다.

또한 정책이 실제로 효과가 있었는지 확인할 지표를 하나만 정해도 좋습니다. 예를 들어 처리 시간, 반복 문의, 반려율, 오류 건수, 재방문율처럼 업무와 직접 연결된 숫자를 보면 됩니다. 지표가 있어야 다음 달에 유지할 기준과 고칠 기준을 구분할 수 있습니다.

실패 사례를 기록하는 습관도 중요합니다. 처리 지연, 잘못된 안내, 권한 회수 누락, 정산 오류처럼 한 번 발생한 문제는 다음 체크리스트의 항목이 됩니다. 작은 실패를 기록으로 바꾸는 팀이 같은 실수를 덜 반복합니다.

자주 묻는 질문

처음에는 어느 정도까지 문서화해야 하나요?

처음부터 긴 규정을 만들기보다 허용, 제한, 검수처럼 반복해서 판단하는 항목부터 표로 정리하는 것이 좋습니다. 각 항목에 담당자, 판단 기준, 기록 위치, 재검토일을 넣으면 작은 팀에서도 바로 실행할 수 있습니다.

팀원이 문서를 잘 따르지 않으면 어떻게 하나요?

문서가 너무 길거나 실제 도구와 연결되지 않았을 가능성이 큽니다. 결재 문서, 고객센터 매크로, CRM, 대시보드, 계약 폴더처럼 팀원이 매일 쓰는 위치에 체크 항목을 붙이세요. 교육보다 업무 흐름 안에 넣는 편이 오래갑니다.

전문가 검토가 꼭 필요한가요?

고객 권리, 결제, 개인정보, 보안 사고, 계약, 채용처럼 외부 이해관계가 큰 주제라면 전문가 검토를 받는 편이 안전합니다. 다만 전문가에게 맡기기 전에도 회사의 현재 처리 방식과 원하는 기준을 정리해두면 검토 비용과 시간이 줄어듭니다.

작성 후 바로 전면 적용해도 되나요?

최근 사례 3개에 먼저 대입해 보는 편이 좋습니다. 기준이 너무 엄격해서 업무가 멈추는지, 반대로 예외가 많아 정책 의미가 사라지는지 확인한 뒤 팀 공지와 고객 안내 문구를 맞추면 적용 실패가 줄어듭니다.

마무리

AI 도구 사용 정책은 새로운 도구를 막는 문서가 아니라 안전하게 쓰기 위한 가드레일입니다. 입력 정보, 업무 범위, 검수 책임, 계정 관리를 정해두면 생산성은 살리면서 보안과 신뢰 리스크를 줄일 수 있습니다.

확인한 공식 출처

#AI도구#보안정책#업무자동화