"AI를 도입해야 한다"는 말이 자연스러워진 지 꽤 됐다.
경영진은 관심을 보이고, 직원들은 이미 각자 도구를 쓰고 있다. 파일럿을 검토하는 조직도 있고, 어느새 운영 중인 곳도 있다. 분위기는 충분히 무르익었다.
그런데 막상 조직에 넣으려고 하면, 이런 질문들이 줄줄이 따라온다.
• 직원이 민감정보를 프롬프트에 입력하면 어떻게 되는가?
• 외부 API로 나가는 데이터의 경계는 어디인가?
• 결과물의 책임은 누가 지는가?
• 누가 무엇을 사용했는지 추적할 수 있는가?
• 이 시스템을 감사받는다면, 무엇을 보여줄 수 있는가?
아무도 선뜻 답하지 못하는 질문들이다. 그리고 답하지 않은 채 도입을 시작하면, 결국 누군가 나중에 정리해야 한다.
───
보안 컨설팅에서 본 패턴
나는 오랫동안 보안 컨설팅과 이행 업무를 해왔다.
주로 하는 일은 이것이다. 조직의 요구사항을 통제 목표로 번역하고, 그것을 아키텍처에 반영하는 것. 법령이나 규정은 대부분 추상적이다. "적절한 조치를 하여야 한다", "안전하게 관리하여야 한다." 이 표현은 그대로 설계로 내려올 수 없다. 설계자는 그 의도를 해석하고, 질문으로 바꾸고, 구체적인 구조를 만들어야 한다.
AI 도입 논의를 보면서 똑같은 패턴이 보인다.
"AI를 안전하게 도입하라"는 말도 마찬가지로 추상적이다. 이것을 실제 설계 언어로 번역하지 않으면, 도입은 시작되지만 통제는 따라오지 않는다.
───
이 시리즈에서 하려는 것
가상의 중견 조직을 설정하고, AI 도입을 가정했을 때 실제로 마주치는 문제들을 구조적으로 풀어보려 한다.
요구사항이 어떻게 나오는지, 컴플라이언스를 통제 목표로 번역하면 무엇이 남는지, 어떤 아키텍처 선택이 현실적인지, 그리고 어디서 문제가 터지는지.
정답을 제시하는 것이 목적이 아니다. 도입 전에 반드시 던져야 할 질문들을 구조화하는 것이 목적이다.
다음 글에서는 이 실험의 조건과 범위를 먼저 설정한다.
'project' 카테고리의 다른 글
| mvper 개요 — 자연어로 MVP를 뽑아내는 클로드 코드 지침 (1) | 2026.02.19 |
|---|