국내 주요 기관들이 생성형 AI 도입을 본격화하면서 데이터 보안과 거버넌스의 중요성이 부각되고 있다. 서울대학교가 챗GPT 에듀를 전 구성원에게 순차 제공하기 시작했고, 삼성그룹도 이재용 회장의 지시로 국내 67개 계열사가 챗GPT, 제미나이, 클로드 등 외부 생성형 AI를 업무에 전면 개방했다. 특히 삼성전자 DX 부문은 임직원이 세 가지 AI를 자유롭게 선택하도록 지원 중이다.
다만 전문가들은 AI 활용의 편의성만큼 데이터 흐름에 대한 점검이 중요하다고 지적한다. AI 서비스 제공사들이 「입력·출력 데이터를 모델 학습에 사용하지 않는다」고 약속하더라도, 이것이 데이터가 외부에 노출되지 않는다는 의미는 아니라는 설명이다. 학습 여부, 저장 기간, 로그 보관, 사업자의 접근 가능성, 법적 제출 의무 등이 모두 별개의 사안이기 때문이다. 특히 미국의 클라우드법(CLOUD Act)은 미국 관할의 통신·클라우드 사업자가 미국법상 적법한 절차에 따라 데이터 제출을 요구할 수 있도록 규정하고 있다.
AI가 단순 챗봇에서 조직의 메일, 문서, 데이터베이스와 직접 연결되는 에이전트로 진화하면서 위험도 커지고 있다. 에이전트가 부여받은 권한 내에서 예상보다 넓게 움직일 수 있기 때문이다. 삼성그룹 내에서도 AI 전면 도입 직후 계열사 15곳이 동시에 AI 보안·거버넌스 인력을 채용하기 시작한 것으로 알려졌다.
전문가들은 개인정보와 기밀자료 입력 자제 교육만으로는 불충분하며, 사람의 실수를 전제한 시스템 설계가 필요하다고 조언한다. 데이터 등급 설정, 사내 게이트웨이를 통한 접속 통제, 민감정보 감지 시 전송 차단, 메일·파일·데이터베이스 접근 권한 최소화 등 다층적 통제 체계를 갖춰야 한다는 것이다. 국가핵심기술이나 미공개 연구자료는 외부 상용 AI에 보내지 않는 원칙도 필요하다.
임기범 AI 전문가는 「AI 활용을 늦추자는 말이 아니라, 제대로 활용하기 위해 안전장치를 먼저 갖추자는 것」이라며 「사용 계정 수나 접속률만으로 AI 전환 성과를 평가해서는 안 되고, 데이터 이동 경로, 민감정보 차단 수준, 문제 발생 시 대응 절차까지 함께 검토해야 한다」고 강조했다.