AI 도입 확산에 따른 정보보안 인증 수요 증가… 기업 보안 거버넌스 강화 필요

"정보보호컨설팅 · 모의해킹 · 보안취약점진단" 전문기업 『라스컴 시큐리티』  www.lassecu.com  T:1522-3863  secu@lascom.co.kr         

안녕하세요. 라스컴 시큐리티입니다.

2025년은 생성형 AI가 기업 업무 환경에 본격적으로 자리 잡은 원년으로 평가받고 있습니다.

불과 2~3년 전만 해도 일부 IT 기업이나 개발 조직에서만 활용되던 생성형 AI는 이제 일반 기업의 문서 작성, 고객 응대, 마케팅, 데이터 분석, 소프트웨어 개발까지 폭넓게 활용되고 있습니다.

기업 입장에서는 업무 생산성을 높이고 비용을 절감할 수 있다는 장점이 있지만, 한편으로는 새로운 정보보안 위험도 함께 증가하고 있습니다.

실제로 최근 국내외 보안기관들은 생성형 AI 사용 과정에서 발생할 수 있는 정보 유출, 개인정보 노출, 기업 기밀 유출 위험에 대해 지속적으로 경고하고 있습니다.

특히 많은 기업들이 생성형 AI를 도입하고 있음에도 불구하고 "어떤 정보를 입력해도 되는지", "누가 사용할 수 있는지", "결과물을 어떻게 검증해야 하는지"에 대한 내부 기준은 마련하지 못한 상태인 경우가 많습니다.

정보보호컨설팅 전문기업 라스컴 시큐리티는 최근 기업들의 ISMS, ISMS-P, ISO27001 인증 문의와 함께 AI 활용 환경에 대한 보안 컨설팅 요청도 증가하고 있다고 밝혔습니다.

AI를 활용하는 기업이 늘어날수록 기술 도입 자체보다 이를 안전하게 관리할 수 있는 체계 구축이 더욱 중요해지고 있습니다.

1. AI 도입보다 중요한 것은 AI 거버넌스 구축

많은 기업이 "어떤 AI를 사용할 것인가"에 집중하고 있지만 실제 보안 관점에서는 "AI를 어떻게 관리할 것인가"가 더 중요한 문제입니다.

최근 발생하는 AI 관련 보안 이슈의 상당수는 기술 자체의 문제보다 관리 체계 부재에서 시작됩니다.

대표적인 사례는 다음과 같습니다.

     1)임직원의 무분별한 정보 입력

• 고객 정보
• 내부 보고서
• 계약서
• 소스코드
• 기술 문서

등이 생성형 AI에 입력되는 사례가 증가하고 있습니다.

기업 내부에서는 단순 업무 편의라고 생각할 수 있지만 입력된 정보의 종류에 따라 개인정보보호법, 영업비밀 보호, 계약상 비밀유지 의무 등 다양한 문제가 발생할 수 있습니다.

2. AI 사용 정책 부재

• 어떤 AI 서비스를 사용할 수 있는지
• 무료 버전 사용이 가능한지
• 업무 데이터 입력이 가능한지
• 결과물을 검증해야 하는지

등에 대한 기준이 없는 경우가 많습니다.

그 결과 동일한 조직 내에서도 직원마다 전혀 다른 방식으로 AI를 활용하는 상황이 발생합니다.

기업용 AI 서비스를 사용하더라도 다음 사항이 관리되지 않는 경우가 많습니다.

3. 접근권한 및 계정관리 미흡

• 퇴사자 계정 삭제
• 관리자 권한 관리
• 부서별 접근권한 통제
• 사용 이력 확인

AI도 결국 하나의 업무 시스템이므로 기존 정보시스템과 동일한 수준의 계정 관리가 필요합니다.

2. 지금 우리 회사가 점검해야 할 5가지 질문

1. 우리 회사는 AI 사용 현황을 알고 있는가?

• 어떤 AI 서비스를 사용하고 있는가?
• 몇 명이 사용하고 있는가?
• 유료 계정은 몇 개인가?

생각보다 많은 기업이 정확한 현황조차 파악하지 못하고 있습니다.

2. AI에 입력하면 안 되는 정보가 정의되어 있는가?

• 개인정보
• 고객 데이터
• 계약서
• 내부 경영자료
• 소스코드
• 연구개발 자료

3. AI 사용 정책이 문서화되어 있는가?

구두 지시는 관리가 어렵습니다.

최소한 아래 내용은 문서화가 필요합니다.

• 사용 가능 서비스
• 사용 금지 정보
• 결과물 검증 절차
• 책임 범위

4. AI 계정과 접근권한은 관리되고 있는가?

• 퇴사자 계정 삭제
• 관리자 권한 통제
• MFA 적용
• 사용 이력 관리

등이 실제로 운영되고 있는지 확인해야 합니다.

5. AI 관련 보안사고 발생 시 대응절차가 있는가?

만약 직원이 고객정보를 AI 서비스에 업로드했다면?

기업은 아래 사항을 즉시 판단해야 합니다.

• 어떤 정보가 유출되었는가
• 외부 전송이 발생했는가
• 법적 신고 의무가 있는가
• 고객 통지가 필요한가

하지만 상당수 기업은 관련 대응 프로세스를 갖추고 있지 않습니다.

3. AI 시대에는 정보보안 인증이 더욱 중요해진다

과거 정보보안 인증은 규제 대응 수단으로 인식되는 경우가 많았습니다.

그러나 AI 활용이 증가하면서 ISMS, ISMS-P, ISO27001과 같은 인증 체계는 AI 활용 과정에서 발생할 수 있는 보안 위험을 관리하는 실질적인 기준으로 활용되고 있습니다.

특히 최근에는 거래처와 투자기관이 기업의 보안 수준을 중요한 평가 요소로 검토하면서 인증 취득의 중요성이 더욱 높아지고 있습니다.

또한 공급망 보안 요구사항이 강화되면서 협력사에 대한 보안 수준 검증 역시 확대되는 추세입니다.

4. AI 활용 기업이 취할 수 있는 현실적인 다음 단계

모든 기업이 즉시 완벽한 AI 보안 체계를 구축하기는 어렵습니다.

다만 아래 4가지는 우선적으로 검토할 필요가 있습니다.

1. AI 사용 현황 조사 - 어떤 부서가 어떤 서비스를 사용하는지 파악

2. AI 사용 가이드라인 수립 - 입력 가능 정보와 금지 정보를 명확히 정의

3. 계정·권한 관리 체계 구축 - MFA 적용 및 접근권한 통제

4. ISMS·ISMS-P·ISO27001 기반 관리체계 점검

AI는 기업 경쟁력을 높여주는 강력한 도구입니다.

그러나 적절한 관리 체계 없이 활용될 경우 개인정보 유출, 영업비밀 노출, 규제 위반 등 예상치 못한 리스크로 이어질 수 있습니다.

AI 시대의 정보보안은 기술 도입을 막는 것이 아니라 안전하게 활용할 수 있는 기준을 만드는 것입니다.

라스컴 시큐리티는 취약점 진단·모의해킹, ISMS·ISMS-P·ISO27001 인증 컨설팅, 정보보호 관리체계 구축 및 침해사고 대응 체계 수립을 통해 기업이 AI를 보다 안전하게 활용할 수 있도록 지원하고 있습니다.

AI 활용에 따른 보안 위험 점검 또는 정보보안 인증 취득이 필요하신 경우 라스컴 시큐리티로 문의해 주시기 바랍니다.

정보보호컨설팅 · 모의해킹 · 취약점진단