3월 24일 RSAC 실행 패널 세션에 참여하세요. "AI 에이전트가 여기 있습니다! 준비되셨나요?"

AI 기반 엔터프라이즈의 보안을 위한 Microsoft 가이드: 데이터 거버넌스 및 보안

개요

조직이 AI를을 대규모로 도입하기 위해 경쟁하면서, 데이터 거버넌스와 데이터 보안은 기업 회복력의 핵심 요소로서 더욱 긴밀하게 연계되고 있습니다. AI 기반 혁신을 선도하는 프런티어 기업에게는 방대한 데이터 자산을 분석할 수 있는 AI 시스템 역량 강화를 위해 CIO(최고 정보 책임자), CISO(최고 정보 보안 책임자) 그리고 데이터 담당자 간의 전례 없는 협력이 필수적입니다. 공유된 책임과 통합된 실행 없이는 데이터 유출, 과도한 공유, AI 오용 등 위험이 기하급수적으로 증가합니다.

이 가이드는 AI 기반 엔터프라이즈의 보안 시리즈의 이전 내용을 기반으로, 안전한 AI 도입과 투자 효과 극대화를 지원합니다.

거버넌스 격차

일부 조직에서는 AI 도입 속도가 기존 거버넌스 체계가 따라잡기 어려울 정도로 빠르게 진행되고 있습니다. Microsoft의 데이터 보안 지수에 따르면, 산업 전반의 조직 중 단 47%만이 특정 GenAI 보안 통제를 구현하고 있으며,¹ 이에 따라 안전한 AI 도입을 위한 조직의 명확한 가시성 확보가 시급한 과제로 떠오르고 있습니다. 더욱 중요한 점은, Microsoft가 Hypothesis Group에 의뢰해 1,700명 이상의 데이터 보안 전문가를 대상으로 실시한 다국적 설문조사에서 이미 29%의 직원이 승인되지 않은 AI 에이전트를 업무에 사용하고 있다는 사실입니다.² 이로 인해 조직은 데이터 처리, 보안 가시성, 규정 준수 측면에서 새로운 과제에 직면하고 있으며, 특히 생성형 AI 도구가 민감하거나 비정형 데이터와 상호 작용할 때 더욱 그렇습니다.

동시에 비즈니스 리더들은 적극 대응하고 있습니다. 더 많은 조직이 생성형 AI 전용 통제를 도입하고, 기술 및 운영 보호에 대한 투자를 가속화하고 있습니다. 메시지는 명확합니다. AI 혁신은 이를 지원하고 보호할 거버넌스 없이는 지속 성장할 수 없습니다.

통합 소유권 모델: 분류, 레이블, 보호, 관리

효과적인 데이터 거버넌스는 CIO, CISO, CDO(최고 데이터 책임자), CPO(최고 개인정보 보호 책임자) 간 명확한 책임 분담이 필수적입니다. 하지만 많은 조직에서 소유권이 여전히 분산되어 있습니다. 이 격차를 해소하기 위해, 공유 모델인 분류, 레이블, 보호, 관리를 권장합니다.

1. 분류: 관찰 가능성과 소유권 확립

거버넌스 경험은 무엇을 보유하고 있는지 파악하는 것에서 시작됩니다. 조직은 정형 데이터, 비정형 데이터, AI 생성 데이터를 포함해 모든 데이터를 완벽히 관찰할 수 있어야 하며, 새롭게 등장하는 AI 에이전트도 추적할 수 있어야 합니다. 분류에 필요한 요소:

비즈니스 위험에 맞춘 명확하고 직관적인 스키마
비즈니스 부서 내 지정된 데이터 소유자 및 관리자
CIO 주도의 지속적인 자산 관리 지원

분류는 모든 후속 작업의 토대를 마련합니다.

2. 레이블: 거버넌스 실행

분류가 의도를 정의한다면, 레이블 지정이 적용됩니다. 민감도 레이블은 정책을 실제 사용과 연결해 보안 시스템, 액세스 제어 및 사용자가 AI 에이전트 결과와 상호 작용하는 방식을 알립니다.

핵심 요소:

레이브르 지정을 적용하는 기술의 도입으로, 레이블이 DLP(보안 및 데이터 손실 방지) 정책을 적극적으로 실행하도록 보장합니다.
비즈니스 영향에 기반한 위험을 감수하는 레이블 지정 전략
언제, 어떻게 레이블을 적용해야 하는지 알리는 직원 교육

3. 보호: 보안 실행

보호는 정책이 가드 레일의 역할을 하도록 만드는 과정입니다. 포함 사항:

RBAC(역할 기반 액세스 제어), JIT(Just-in-Time) 액세스, DLP 등 액세스 제어를 통해 정책을 적용합니다.
미사용 데이터와 전송 중인 데이터를 위한 암호화
과도한 공유 및 정책 위반을 자동으로 모니터링
개인 정보 보호 규정에 부합하는 체계적인 인시던트 응답 계획

이러한 제어를 통해 AI 도구가 액세스하고 대규모로 처리할 때도 민감한 데이터를 안전하게 보호합니다.

4. 관리: 전체 데이터 수명 주기 거버넌스

거버넌스는 계속되어야 합니다. 조직은 다음 사항을 반드시 유지해야 합니다.

최소화 원칙에 부합하는 데이터 보존 및 삭제 정책
데이터 드리프트, 잘못된 레이블 지정 액세스 이상 징후에 대한 지속적 모니터링
데이터 소유권에 대한 자동 재인증
IT, 개발, 보안 팀 전반에서 AI 에이전트의 가시성과 거버넌스 확보

수명 주기 관리는 공격 표면을 줄이고 데이터 사용량과 비즈니스 가치의 장기적 일치를 보장합니다.

미래 전망: 인간과 AI 에이전트가 함께하는 업무 환경 관리

AI 에이전트가 점점 더 복잡한 워크플로를 수행함에 따라 거버넌스도 한 단계 더 진화해야 합니다. Frontier Firms는 에이전트 보스라는 개념을 도입했습니다. 각 직원이 자신이 배치한 디지털 작업자에 대한 책임을 지는 새로운 역할입니다.

이 변화는 기술 리더십에 새로운 과제를 부여합니다.

CIO의 경우:

비즈니스 부서가 승인된 템플릿으로 안전하게 에이전트를 생성하고·배포할 수 있는 연합 AI 생태계를 구축하고, 유수의 AI 센터가 이를 관리하도록 하세요.

CISO의 경우:

제로 트러스트를 인간 사용자뿐 아니라 자율 에이전트까지 확장하세요. 즉,

모든 에이전트와 해당 ID의 인벤토리 만들기
각 에이전트의 업무 권한에 맞게 최소한의 액세스 권한을 적용하세요.
에이전트가 민감한 데이터를 다룰 때 행동을 모니터링하고, 침해 가능성을 항상 염두에 두세요.

자율 기업 준비는 이러한 새로운 통제와 인간의 책임을 결합하는 데 달려 있습니다.

첫 180일: CIO와 CISO를 위한 공동 플레이북

이 여정은 IT 및 보안 리더가 엔터프라이즈급 AI 거버넌스를 실현할 수 있도록 체계적인 로드맵으로 시작됩니다.

첫 주: 기본 조정

공유 데이터 분류 체계를 정의합니다.
핵심 자산과 연속성 요구사항을 매핑합니다.
AI 에이전트 생성 및 인증 표준에 대해 합의합니다.

첫 90일: 발견 및 통제 매핑

AI 활용 사례와 관련 데이터 소스를 인벤토리화합니다.
DLP 및 통제 격차 분석을 수행합니다.
공유 위험 등록 체계를 구축하고 파일럿 사용 사례의 우선 순위를 지정합니다.

첫 180일: 구현 및 검증

새로운 레이블 및 정책을 파일럿 사업부에 배포합니다.
고위험 시나리오에 자동화된 DLP를 도입합니다.
월간 거버넌스 위원회를 구성하여 통제 체계를 세부적으로 개선합니다.

이 플레이북은 조직이 데이터 거버넌스를 단순한 규정 준수 기능에서 AI 혁신을 이끄는 전략적 자산으로 전환할 수 있도록 지원합니다.

AI 준비 기업 구축하기

AI 기반의 미래로 나아가는 여정은 견고하고 공동 책임으로 운영되는 데이터 거버넌스 및 보안 기반에서 시작됩니다. CIO와 CISO의 역할을 조율하고, 공동 수명 주기 모델을 수립하며, 인간과 에이전트가 공존하는 하이브리드 인력을 준비함으로써 조직은 AI의 잠재력을 더욱 자신 있고 안전하게 실현할 수 있습니다.

이 기반을 다질 시기는 바로 지금입니다.

가이드 다운로드

NEW Cyber Pulse An AI Security Report라는 텍스트가 보이고 소파에 앉아 있는 사람들.

사이버 펄스: AI 보안 보고서

AI 에이전트 성장에 대한 인사이트와 가시성, 거버넌스, 보안을 통한 책임 있고 안전한 도입 경로

‘Microsoft Security Strategies for Governing AI’라는 텍스트와 녹색 셔츠를 입은 남성이 컴퓨터 앞에 앉아 있는 일러스트가 포함된 책 표지.

AI 관리 전략

신뢰 구축, 위험 감소, 비용 절감, 혁신 촉진을 위한 실행 가능한 단계

파란 배경 위에 ‘New’가 표시가 있는 봉투 속 종이를 흰색 선으로 표현한 일러스트.

CISO 다이제스트 받기

격월로 발송되는 이 이메일 시리즈를 통해 전문가 인사이트, 업계 동향, 보안 연구 자료를 미리 확인하고 한발 앞서 나가세요.

[1]
Microsoft 데이터 보안 지수 2026: 데이터 보호와 AI 혁신의 통합, Microsoft Security, 2026
[2]
2025년 7월, Microsoft가 Hypothesis Group에 의뢰해 1,700명 이상의 데이터 보안 전문가를 대상으로 실시한 다국적 설문 조사입니다.