들어가며

생성형 AI는 상당수 기업에서 이미 워크플로우(workflow)의 일부가 되었습니다. 보고서 작성, 자료 요약, 코드 검토, 번역까지 — 직원들은 매일 외부 AI 서비스에 회사의 자료를 입력합니다. 문제는 그 자료 안에 영업비밀이 섞여 있을 때입니다.

한국영업비밀보호협회는 “생성형 AI 사용 그 자체보다 중요한 것은 비밀관리성의 기록”이라는 점을 짚습니다. 본 글은 기업이 실제로 갖춰야 할 다섯 가지 기본 조치를 실무 체크리스트로 정리합니다.

AI 사용을 금지하는 게 아니라, ‘기준을 가지고 안전하게 사용하는 운영체계’를 만드는 것이 목적입니다.

왜 ‘비밀관리성’이 출발점인가

「부정경쟁방지 및 영업비밀보호에 관한 법률」은 비공지성·경제적 유용성·비밀관리성을 모두 갖춘 정보만 영업비밀로 보호합니다.

이 중에 기업이 가장 자주 무너지는 지점이 ‘비밀관리성’입니다. 아무리 중요한 정보라도 ‘비밀로 관리했다는 증거’가 없으면 법원은 영업비밀로 인정하지 않습니다. 생성형 AI 환경에서는 이 위험이 더 커집니다. 자료가 외부 서버로 빠져나가는 통로는 늘었는데, 그 과정을 기록하고 통제하는 체계는 과거에 멈춰 있기 때문입니다.

이에 ‘비밀관리성을 증명할 수 있는 상태’를 만드는 데 초점을 둔 아래 다섯 가지 조치를 제안합니다.

조치 1. 입력금지 정보 분류

가장 먼저 할 일은 “무엇을 AI에 넣어도 되고, 무엇은 절대 안 되는가”부터 정하는 것입니다.

모든 정보를 똑같이 다루면 관리가 불가능합니다. 정보를 등급별로 나누고, 그중 외부 생성형 AI에 입력이 금지되는 항목을 명확하게 지정해야 합니다. 일반적으로 미공개 기술·설계 자료, 고객 개인정보, 단가·원가 정보, 미공개 계약 조건 등은 입력금지로 분류합니다. 포인트는 아래와 같습니다.

· 정보 별로 등급(공개 / 내부용 / 비밀 / 극비 등)을 분류한다
· 등급별로 외부 AI 입력 가능 여부를 표시한다
· 문서·파일로 된 입력금지 정보에 식별 표시를 남긴다

조치 2. 생성형 AI 사용 내부 규정

기준을 정했다면, 이제는 ‘규정’을 통해 그것을 문서화해야 합니다. 규정에는 어떤 AI 서비스를 회사 업무에 사용할 수 있는지(허용 도구), AI 서비스에 무엇을 입력하면 안 되는지(금지 정보), 위반하면 어떻게 되는지(책임)를 담아야 합니다. 사내에 승인된 도구와 그렇지 않은 도구를 구분하는 것도 중요합니다. 아래 포인트를 참고하세요.

· 업무용으로 허용된 AI 서비스 목록을 정하고 관리한다
· 입력금지 정보와 예외 승인 절차를 규정에 명시한다
· 규정 위반 시의 조치(징계·책임)를 사전에 임직원에게 고지한다

조치 3. 임직원 교육 및 서약

규정의 존재를 임직원이 모르면 지켜질 수가 없습니다. 그리고 법원은 “직원이 규정을 알고 있었는가”를 비밀관리성의 한 요소로 봅니다.

정기 교육을 통해 ‘무엇이 비밀이고, 왜 AI에 넣으면 안 되는지’를 반복해서 알리고, 그 사실을 서약서로 남겨야 합니다. 입사 때 한 번 받은 서약서만으로는 부족합니다. 생성형 AI 사용처럼 새로운 위험이 생기면 그에 맞춘 별도의 서약과 교육 기록이 필요합니다.

· 생성형 AI·영업비밀 교육을 정기적으로 실시하고 이수 기록을 남긴다
· 입사·재직·퇴직 / 중요 프로젝트 시작·종결 단계별로 비밀유지 서약을 받는다
· 교육 일자, 대상, 내용을 사진 촬영과 출석부 등 증빙으로 보관한다

조치 4. 접속·반출 로그 관리

“누가, 언제, 어떤 정보에 접근하고 반출했는가.” 이 기록이 분쟁의 승패를 가릅니다.

접근권한을 직무별로 차등하고, 비밀 정보의 접근·복사·반출 이력을 남겨야 합니다. 로그가 있어야 사고가 났을 때 경로를 추적할 수 있고, 평소에 통제했다는 사실도 증명됩니다. 권한 없는 사람이 핵심 자료를 열람할 수 있는 상태 자체가 비밀관리성을 약화시킵니다.

· 비밀 정보의 접근권한을 직무·등급별로 분리한다
· 접근·다운로드·반출 로그를 남기고 일정 기간 보관한다
· 퇴직 예정자의 비정상적 대량 반출을 점검하는 절차를 둔다

조치 5. 외부 AI 서비스 약관 및 학습 여부 검토

같은 자료라도 어떤 AI 서비스에 입력하느냐에 따라 위험이 달라집니다. 서비스 또는 유료/무료 여부에 따라 입력 데이터의 보관 기간, 모델 학습 사용 여부, 제3자 제공 여부가 다르기 때문입니다.

외부의 AI 서비스를 업무에 도입하기 전에 약관을 확인하고, 가능하면 입력 데이터를 학습에 쓰지 않는 기업용(엔터프라이즈) 조건이나 옵트아웃 설정을 확보해야 합니다. 검토 결과와 계약 조건은 문서로 남겨 두는 것이 안전합니다.

· 도입 전 입력 데이터의 보관·학습·제3자 제공 조건을 확인한다
· 학습 비사용·데이터 격리 등 기업용 조건을 우선 검토한다
· 검토 결과와 계약 조건을 기록으로 남긴다

※ AI 환경에서 영업비밀 보호 자가진단 체크리스트

☐ 입력금지 정보가 분류·표시되어 있는가

☐ 생성형 AI 사용 규정이 문서로 존재하는가

☐ 임직원 교육과 서약 기록이 남아 있는가

☐ 접근권한이 직무별로 나뉘고 로그가 남는가

☐ 사용 중인 AI 서비스의 약관·학습 여부를 확인했는가

위 다섯 항목 중 빈칸이 많을수록 비밀관리성의 증명이 어려워집니다.

맺으며

위에서 본 다섯 가지는 거창한 보안 투자가 아닙니다. 단지 ‘비밀을 비밀로 관리했다’는 사실을 평소에 남겨 두는 일입니다. AI 사용을 금지하는 것이 아닌, 안전하게 쓰기 위한 조치입니다.

개인정보는 시민의 권리, 영업비밀은 기업의 생명, 기술주권은 국가의 미래입니다. 기업 하나하나가 자사의 비밀을 지키는 체계를 갖추면, 그 힘이 모여 우리 산업 전체의 경쟁력이 됩니다. 한국영업비밀보호협회는 그 출발점을 기업과 함께 만들어 가겠습니다.