AI 사용 정책 만들기 — 직원에게 무엇을 허용하고, 무엇을 금지할 것인가

직원들은 이미 AI를 쓰고 있습니다. 문제는 당신이 그것을 모른다는 겁니다.

정책 없는 AI는 양극단으로 간다

두 가지 상황을 봅니다.

한쪽은 직원들이 고객 데이터를 ChatGPT에 넣고 보고서를 만들고 있습니다. 아무도 말하지 않았지만, 편하니까 쓰고 있습니다. 회사는 모릅니다.

다른 한쪽은 "AI 쓰지 마세요"라는 분위기 때문에 아무도 건드리지 않습니다. 경쟁사는 AI로 고객 응대 시간을 절반으로 줄였는데, 우리 팀은 예전 방식 그대로입니다.

두 경우 모두 정책이 없어서 생기는 문제입니다.

정책이란 "금지 목록"이 아닙니다. "여기까지는 자유롭게, 여기서부터는 확인을 받아라"는 경계선입니다. 경계가 있어야 안에서 자유롭게 움직일 수 있습니다.

3단계로 나누면 된다

복잡하게 만들 필요 없습니다. AI 활용을 세 구간으로 나누세요.

자유 구간: 승인 없이 사용 가능. 일반적 업무 보조, 공개 정보 기반 작업, 내부 아이디어 정리.

확인 구간: 팀장 또는 담당자 승인 후 사용. 고객 데이터 포함 작업, 외부 발송 콘텐츠 생성, 의사결정 보조.

금지 구간: 사용 불가. 개인정보(주민번호, 의료 기록), 계약서 원문, 미공개 재무 정보, 영업 비밀.

이 세 구간의 경계는 회사마다 다릅니다. 중요한 건 경계가 존재하고, 모두가 안다는 것입니다.

데이터 등급이 핵심이다

결국 "무엇을 AI에 넣어도 되는가"의 문제입니다.

공개 데이터: 이미 웹에 있는 정보, 일반적 업계 지식. AI에 자유롭게 사용 가능.

내부 데이터: 사내 문서, 회의록, 프로세스 설명. 기업용 AI(데이터 학습에 사용되지 않는 유료 플랜)에서 사용 가능.

민감 데이터: 고객 개인정보, 계약 조건, 재무 수치. 승인 후 또는 온프레미스/프라이빗 AI에서만.

극비 데이터: 미공개 M&A, 핵심 기술, 법적 분쟁 자료. AI 사용 금지.

보안과 개인정보 편에서 다룬 원칙을 여기에 구체적으로 적용하는 것입니다.

정책 문서는 한 장이면 된다

A4 한 장, 또는 사내 위키 한 페이지. 길어지면 아무도 안 읽습니다.

포함해야 할 내용:

목적: "AI를 안전하고 적극적으로 활용하기 위한 기준입니다." 금지가 목적이 아님을 명시.

허용 도구 목록: 회사가 공식적으로 인정하는 AI 도구. 예: "ChatGPT Team, Claude Pro, Copilot은 사용 가능. 무료 버전은 데이터 학습 리스크가 있으므로 업무용 사용 금지."

3단계 구간 표: 자유/확인/금지 구간과 예시.

위반 시 절차: 처벌보다는 "보고 → 영향 평가 → 개선"의 학습형 절차.

갱신 주기: 분기 1회 검토. AI 환경은 빠르게 변하므로, 정책도 살아있어야 합니다.

흔한 실수 세 가지

실수 1: 너무 엄격하게 시작한다. "모든 AI 사용은 사전 승인 필요." 이러면 아무도 안 씁니다. 자유 구간을 넓게 열고, 문제가 생기면 좁히는 게 낫습니다.

실수 2: 정책만 만들고 교육하지 않는다. 문서 배포만으로는 부족합니다. 교육과 온보딩 편에서 다룬 것처럼, 30분짜리 설명 세션이 필요합니다.

실수 3: 예외를 인정하지 않는다. 현실의 업무는 구간 사이에 걸치는 경우가 많습니다. "애매하면 물어보세요"라는 창구가 있어야 합니다. 질문 자체가 데이터입니다 — 어떤 질문이 반복되면 정책을 구체화하면 됩니다.

정책의 진짜 효과

좋은 AI 정책은 사용을 제한하는 게 아니라, 사용을 촉진합니다.

"여기까지는 괜찮다"가 명확하면, 사람들은 그 안에서 적극적으로 실험합니다. 막연한 불안("이거 써도 되나?")이 사라지니까요.

AI가 조직 문화로 정착하려면, 실험이 안전해야 합니다. 정책은 그 안전의 울타리입니다.

울타리가 있어야 아이들이 뛰어놀 수 있는 것처럼, 정책이 있어야 직원들이 AI를 자유롭게 씁니다.