사내 AI 비서 도입 전, 접근권한부터 설계하는 방법
사내 AI 비서를 바로 연결하기 전에 업무 범위, 데이터 등급, 실행 권한, 로그·승인 루틴을 먼저 정리하는 실무 체크리스트입니다.
AI 비서를 사내 문서, 메신저, CRM, 결재 시스템에 붙이면 편해 보입니다. 그런데 실제 운영에서는 “무엇을 읽고, 무엇을 실행해도 되는가”가 정리되지 않아 도입이 멈추는 경우가 많습니다.
좋은 프롬프트보다 먼저 필요한 것은 권한 설계입니다. AI가 답변만 하는지, 초안을 만드는지, 실제 업무를 실행하는지에 따라 위험과 관리 방식이 완전히 달라집니다.
핵심은 간단합니다. AI 비서에게 모든 권한을 한 번에 주지 말고, 업무·데이터·실행 단계별로 작게 나누어 시작해야 합니다.
핵심 요약
- 사내 AI 비서는 “답변 도구”가 아니라 내부 시스템을 대신 다루는 운영 주체로 봐야 합니다.
- 처음부터 전체 문서함·CRM·결재 권한을 연결하면 보안 검토와 현업 신뢰를 동시에 잃기 쉽습니다.
- 업무 범위, 데이터 등급, 실행 권한, 로그 보관, 권한 회수 기준을 먼저 정하면 PoC가 훨씬 빨라집니다.
- HeyRatty처럼 업무 흐름 단위로 자동화를 설계하면 “AI가 어디까지 해도 되는지”를 팀이 이해하기 쉬워집니다.
1. 먼저 “AI가 맡을 업무”를 한 문장으로 좁히기
사내 AI 비서 도입 회의에서 가장 흔한 실수는 “우리 회사 문서를 다 읽게 하자”로 시작하는 것입니다. 이렇게 시작하면 문서 권한, 개인정보, 책임 소재가 한꺼번에 튀어나와 아무것도 연결하지 못합니다.
처음에는 업무를 한 문장으로 줄여야 합니다. 예를 들면 “영업팀 상담 기록에서 다음 액션을 요약한다”, “신규 문의 내용을 보고 담당자와 우선순위를 추천한다”, “사내 규정 문서에서 휴가·정산 질문에 답한다”처럼 좁혀야 합니다.
- 나쁜 범위: “전사 문서를 읽는 AI 비서”
- 좋은 범위: “고객 문의 내용을 읽고 담당자 배정 초안을 만드는 AI 비서”
- 더 좋은 범위: “최근 30일 문의 중 가격·일정 질문만 분류하고, 담당자가 승인하면 답변 초안을 남기는 AI 비서”
2. 데이터 등급표를 먼저 만들기
AI 비서가 접근할 수 있는 데이터는 최소 4단계로 나누는 것이 좋습니다. 복잡한 보안 문서가 아니라, 현업이 바로 판단할 수 있는 표면 충분합니다.
- 공개 가능: 홈페이지, 공개 가격표, 공개 FAQ, 이미 외부에 노출된 콘텐츠
- 내부 업무용: 회의록, 업무 매뉴얼, 담당자별 진행 상황처럼 사내에서만 쓰는 자료
- 민감 정보: 고객 연락처, 계약 금액, 인사·평가, 계정 정보, 개인식별정보
- 승인 필요: 법무·계약·정산·채용처럼 AI 답변이 바로 의사결정으로 오해될 수 있는 자료
PoC 단계에서는 공개 가능 + 내부 업무용 일부만 연결하는 편이 안전합니다. 민감 정보는 마스킹하거나 샘플 데이터로 검증한 뒤, 운영 기준이 생긴 후에 단계적으로 연결합니다.
3. 읽기, 초안, 실행 권한을 분리하기
AI 비서 권한은 “접근 가능/불가능”보다 “어떤 행동까지 가능한가”로 나누어야 합니다. 같은 CRM을 보더라도 읽기만 하는 AI와 고객에게 메시지를 보내는 AI의 위험은 다릅니다.
- 읽기 권한: 문서를 검색하고 요약합니다. 처음 도입할 때 가장 안전한 단계입니다.
- 초안 권한: 이메일, 메신저 답변, 업무 카드 내용을 작성하지만 사람이 확인 후 보냅니다.
- 실행 권한: 담당자 배정, 상태 변경, 알림 발송, 티켓 생성처럼 시스템에 실제 변경을 남깁니다.
- 예외 처리 권한: 금액, 계약, 개인정보, 클레임처럼 사람이 반드시 검토해야 하는 케이스를 자동으로 멈춥니다.
처음부터 실행 권한을 주기보다 “읽기 → 초안 → 제한적 실행” 순서로 넓히면 보안팀·현업·대표 모두가 결과를 확인하면서 신뢰를 쌓을 수 있습니다.
4. 로그와 승인 루틴을 업무 흐름 안에 넣기
AI 비서가 무슨 문서를 참고했고 어떤 답변을 만들었는지 남지 않으면, 문제가 생겼을 때 되돌리기 어렵습니다. 로그는 개발자용 기록이 아니라 운영팀이 확인할 수 있는 업무 화면에 있어야 합니다.
- 참고한 문서 또는 데이터 출처
- AI가 만든 요약·분류·답변 초안
- 사람이 승인, 수정, 반려한 기록
- 실행된 액션과 실행 시각
- 권한 오류·예외 처리로 멈춘 케이스
이 기록이 쌓이면 “AI가 잘못했다”가 아니라 “어느 업무 규칙을 보완해야 하는가”로 논의가 바뀝니다. AX 도입에서 중요한 것은 모델 성능만이 아니라 운영 피드백 루프입니다.
도입 전 체크리스트
작은 팀이라면 이번 주에는 이렇게 시작하세요
완벽한 보안 정책을 만들기 전에도 작은 실험은 가능합니다. 다만 실험의 범위를 좁혀야 합니다.
- 반복 질문이 많은 업무 하나를 고릅니다. 예: 상담 문의 분류, 사내 규정 Q&A, 회의록 액션아이템 정리.
- 실제 고객 데이터 대신 익명화한 샘플 30건으로 먼저 테스트합니다.
- AI가 바로 실행하지 않고 초안만 만들게 합니다.
- 현업 담당자가 초안을 수정한 이유를 짧게 남깁니다.
- 일주일 뒤 수정 패턴을 보고 프롬프트, 문서 구조, 권한 범위를 조정합니다.
이 방식은 느려 보이지만, 실제로는 가장 빠른 길입니다. 처음부터 전사 시스템을 연결하는 것보다 작은 업무에서 신뢰를 만든 뒤 확장하는 편이 도입 저항이 훨씬 적습니다.
FAQ
Q. AI 비서에는 관리자 권한을 주면 안 되나요?
처음부터 관리자 권한을 주는 것은 권장하지 않습니다. 최소 권한 원칙으로 시작하고, 필요한 액션만 별도 API나 승인 흐름으로 열어두는 편이 안전합니다.
Q. RAG를 붙이면 보안 문제는 해결되나요?
RAG는 필요한 문서를 찾아 답하게 해주는 구조일 뿐, 권한 설계를 대신하지 않습니다. 어떤 문서를 검색할 수 있는지, 검색 결과를 누구에게 보여줄 수 있는지, 답변에 민감 정보가 섞이면 어떻게 막을지가 따로 필요합니다.
Q. 작은 회사도 이런 기준이 필요할까요?
오히려 작은 회사일수록 간단한 기준이 필요합니다. 담당자 한두 명이 모든 데이터를 갖고 있으면 AI 연결도 쉬워 보이지만, 고객 정보와 계약 정보가 섞여 있을 가능성이 높습니다. 가벼운 등급표와 승인 루틴만 있어도 사고 가능성을 줄일 수 있습니다.
HeyRatty가 도와드릴 수 있는 부분
HeyRatty는 AI 에이전트를 “기술 데모”가 아니라 실제 업무 흐름에 붙이는 관점으로 설계합니다. 상담, 문의 분류, 내부 문서 검색, 업무 알림, 승인 기반 자동화처럼 작은 흐름부터 권한과 로그를 함께 정리합니다.
우리 회사에도 사내 AI 비서가 맞을지 궁금하다면, 먼저 반복 업무와 데이터 흐름을 같이 살펴보는 AX 진단부터 시작해보세요.
참고 및 이미지 출처
- NIST AI Risk Management Framework — AI 위험 관리 프레임워크 참고
- OWASP Top 10 for Large Language Model Applications — LLM 애플리케이션 보안 위험 참고
- 이미지: Data Innovation Day 2016 - Algorithms, Automation, and Public Policy by datainnovation, Flickr, CC BY 2.0