이 글은 AI로 코드, 문서, 자동화 초안을 만드는 직장인이 AI 산출물 보안 검토를 어떻게 업무 절차에 넣어야 하는지 정리한 글입니다. 결론부터 말하면 작업 중 위험 신호를 잡고, 작업 후 변경분을 검토하고, 제출 전 책임 기준을 확인하는 것이 중요합니다. 아래에서는 실제 업무에 바로 적용할 수 있도록 단계, 예시, 프롬프트, 주의사항 순서로 정리합니다.
@choi.openai의 최근 Threads 포스팅은 Anthropic의 Claude Code 보안 가이던스 플러그인을 소개했습니다. 공식 문서에 따르면 이 플러그인은 Claude가 작성하는 코드 변경을 편집 시점, 턴 종료 시점, 커밋 또는 푸시 시점에 나누어 검토합니다.[1] 직장인에게 중요한 메시지는 하나입니다. AI가 만들었다고 끝이 아니라, AI가 만든 순간부터 검토 흐름을 설계해야 한다는 점입니다.
목차
이런 분께 필요합니다
- ChatGPT, Claude, Gemini로 보고서나 이메일 초안을 자주 만드는 분
- Claude Code, Cursor, Copilot 같은 도구로 업무 자동화 스크립트를 만드는 분
- AI 결과물을 팀 문서, 고객 커뮤니케이션, 내부 시스템에 반영하기 전 검토 기준이 필요한 분
핵심 요약
- AI 산출물 검토는 마지막에 한 번 하는 일이 아닙니다. 작업 중, 작업 후, 제출 전으로 나누어야 합니다.
- 코드가 아니어도 같은 원칙을 적용할 수 있습니다. 문서에는 개인정보, 계약 조건, 내부 의사결정 내용이 들어갈 수 있기 때문입니다.
- 보안 검토 프롬프트는 “잘 썼는지 봐줘”가 아니라 위험 유형, 영향, 수정안, 확인 필요 항목을 분리해서 요청해야 합니다.
업무 흐름 먼저 보기
| 단계 | 점검 시점 | 확인할 것 | 예시 |
|---|---|---|---|
| 1 | 작업 중 | 민감정보, 위험 표현, 권한 문제 | 고객명, 계좌, 내부 가격표, 권한 우회 |
| 2 | 작업 후 | 전체 변경분의 논리와 누락 | 초안의 근거, 첨부자료 반영 여부 |
| 3 | 제출 전 | 조직 정책과 책임 소재 | 외부 발송 가능 여부, 승인자 필요 여부 |
Claude Code 보안 가이던스 문서는 플러그인을 “완전한 보안 해결책”이 아니라 방어 계층 중 하나로 보라고 설명합니다.[1] 이 관점은 일반 직장인의 문서 작업에도 그대로 적용됩니다. AI 검토가 사람의 책임을 대체하지 않습니다. 다만 놓치기 쉬운 위험 신호를 더 빨리 발견하게 도와줍니다.
바로 복사해서 쓰는 AI 산출물 보안 검토 프롬프트
보안 주의: 이 글의 프롬프트 예시는 일반 업무 상황을 기준으로 작성했습니다. 회사 내부자료, 고객 개인정보, 계약서, 미공개 재무정보, 영업기밀은 외부 AI 서비스에 입력하지 않는 것이 원칙입니다. 조직의 보안 정책을 먼저 확인한 뒤 활용하시기 바랍니다.
“`text 당신은 10년차 정보보안 담당자이자 업무 문서 검토자입니다. 목표는 아래 AI 산출물을 외부 공유 또는 내부 제출 전에 점검하는 것입니다.
[검토 대상] ‹개인정보와 회사기밀을 제거한 문서 또는 코드 요약을 붙여 넣으세요›
검토 기준:
- 개인정보, 고객정보, 계약정보, 내부 가격정보가 포함되어 있는지 확인합니다.
- 외부 발송 시 오해될 표현이나 법적 리스크가 있는 문장을 찾습니다.
- 사실과 추측이 섞인 문장을 구분합니다.
- 권한, 승인, 보안 정책 확인이 필요한 항목은 “확인 필요”로 표시합니다.
- 문제가 있는 문장은 안전한 대체 문장으로 바꿔 제안합니다.
출력 형식:
| 구분 | 위험 내용 | 왜 문제인지 | 수정안 | 확인 필요 여부 |
|---|
“`
결과물을 검토하는 기준
AI에게 검토를 맡긴 뒤에도 사람이 봐야 할 기준은 분명해야 합니다. 첫째, AI가 “문제없음”이라고 했더라도 원문에 민감정보가 있었는지 직접 확인해야 합니다. 둘째, AI가 제안한 수정문이 실제 회사 정책과 맞는지 확인해야 합니다. 셋째, 고객이나 외부 이해관계자에게 전달되는 문장이라면 승인권자가 필요한지 확인해야 합니다.
| 검토 항목 | 통과 기준 | 실패 신호 |
|---|---|---|
| 민감정보 | 일반화된 예시만 포함 | 실명, 금액, 계약 조건 포함 |
| 사실성 | 출처 또는 내부 근거가 있음 | “아마”, “대부분” 같은 추측 표현 |
| 책임 소재 | 담당자와 승인자가 분명함 | AI 답변을 그대로 붙여 넣음 |
| 보안 정책 | 조직 규정과 충돌하지 않음 | 외부 AI 입력 금지 자료 포함 |
자주 막히는 지점
AI가 “문제없다”고만 답할 때
프롬프트가 너무 넓기 때문입니다. “보안 검토해줘”라고 쓰지 말고 위험 유형을 나누어 달라고 요청해야 합니다. 특히 개인정보, 영업기밀, 계약조건, 미공개 재무정보처럼 확인 항목을 명시하면 결과 품질이 좋아집니다.
문서가 길어서 검토가 흐려질 때
문서를 한 번에 넣기보다 “제목과 목적”, “본문”, “첨부 또는 근거”, “외부 발송 문구”로 나누어 검토합니다. AI는 긴 문서에서 중요한 위험을 놓칠 수 있습니다. 구간을 나누면 검토 기준이 선명해집니다.
오늘 바로 해볼 체크리스트
- [ ] AI로 만든 문서에서 실명, 회사명, 금액, 계약조건을 먼저 제거한다.
- [ ] 작업 중, 작업 후, 제출 전 3단계 검토 흐름을 만든다.
- [ ] 검토 프롬프트에 위험 유형과 출력 표를 포함한다.
- [ ] AI 답변의 “문제없음”을 최종 승인으로 간주하지 않는다.
- [ ] 조직의 보안 정책과 승인 절차를 따로 확인한다.
함께 읽으면 좋은 글
관련해서 ChatGPT로 보고서 작성하는 법, NotebookLM으로 PDF 요약하는 법, 회사에서 AI 쓸 때 보안 주의사항도 함께 읽으면 업무 적용 흐름을 더 쉽게 잡을 수 있습니다.
FAQ
코드 작업을 하지 않아도 이 절차가 필요한가요?
필요합니다. 문서, 회의록, 이메일에도 민감정보와 책임 리스크가 들어갑니다. 코드 보안 검토 원칙을 문서 검토 방식으로 바꾸어 적용하면 됩니다.
무료 AI 도구로 검토해도 되나요?
회사 정책을 먼저 확인해야 합니다. 민감정보가 포함된 문서라면 외부 AI 서비스에 입력하지 않는 것이 원칙입니다. 필요한 경우 내부 승인된 도구만 사용해야 합니다.
References
[1]: https://code.claude.com/docs/en/security-guidance “Claude Code Security Guidance” [2]: https://www.threads.com/@choi.openai “@choi.openai Threads profile”