template poc, pilot, production pm 8min

AI 보안 검토 체크리스트

보안팀에 AI 도입 승인을 요청하기 전에 작성하는 체크리스트. 데이터 분류·벤더 보안 인증·PII 처리·접근 제어·규제 준수까지 항목별로 정리했습니다.

#SECURITY #CHECKLIST #GOVERNANCE #COMPLIANCE #TEMPLATE

Deliverables

Checklist

Summary

AI 도입 시 보안 검토를 효율적으로 통과하기 위한 체크리스트다. 이 문서를 보안팀에 제출하기 전에 작성하면 검토 시간을 단축하고 승인 확률을 높일 수 있다.

When to Use

  • AI/LLM 기능 도입을 위해 보안 검토를 요청할 때
  • 외부 AI API (OpenAI, Anthropic, Google 등)를 사용할 때
  • PoC/Pilot 단계에서 보안 승인이 필요할 때
  • 기존 승인된 AI 시스템을 변경할 때

체크리스트

1. 데이터 분류 및 흐름

데이터 유형 식별

  • 처리할 데이터 유형을 식별했다
    • 개인정보 (PII): 이름, 이메일, 전화번호 등
    • 민감 개인정보: 건강정보, 금융정보, 위치정보 등
    • 영업 비밀: 소스코드, 사업 계획, 고객 목록 등
    • 일반 업무 데이터: 비민감 문서, 공개 정보 등

데이터 플로우 문서화

  • 데이터 흐름도를 작성했다
    • 입력 데이터 → 전처리 → AI 서비스 → 후처리 → 출력/저장
  • 각 단계에서 데이터가 어디에 저장되는지 명시했다
  • 데이터가 어느 국가/리전을 통과하는지 확인했다

첨부: [ ] 데이터 플로우 다이어그램

2. 외부 AI 벤더 보안

벤더 보안 인증

항목확인비고
SOC 2 Type II[ ]인증서 첨부
ISO 27001[ ]인증서 첨부
GDPR 준수[ ]DPA 확인
HIPAA (해당 시)[ ]BAA 확인

데이터 처리 정책

  • 고객 데이터가 모델 학습에 사용되지 않음을 확인했다
  • 데이터 보존 기간을 확인했다: ____일
  • Zero Data Retention (ZDR) 옵션 적용 여부: [ ] 예 / [ ] 아니오
  • Data Processing Agreement (DPA)를 검토/체결했다

사용 플랜

  • Enterprise 플랜을 사용한다 (Free/개인 플랜 아님)
  • 플랜 이름: **____**

첨부: [ ] 벤더 보안 인증서 [ ] DPA 사본

3. 데이터 보호 조치

전송 중 보호

  • TLS 1.2 이상 암호화 적용
  • API 키/토큰이 안전하게 관리됨 (환경변수/Secret Manager)
  • 네트워크 경로가 안전함 (VPN, Private Endpoint 등)

저장 시 보호

  • 로그/캐시에 민감 데이터가 저장되지 않음
  • 저장 시 AES-256 암호화 적용
  • 암호화 키 관리 방안이 있음

PII 처리

  • PII 마스킹/가명화 로직이 구현됨
    • 마스킹 대상: **____**
    • 마스킹 방식: **____**
  • 원본 PII는 외부로 전송되지 않음
  • PII 마스킹 테스트를 완료했다

첨부: [ ] PII 마스킹 로직 설명서

4. 접근 제어

인증/인가

  • API 키/토큰 발급 및 관리 절차가 있다
  • 사용자 인증이 필요하다 (SSO 연동 등)
  • 역할 기반 접근 제어 (RBAC)가 적용된다
  • 최소 권한 원칙이 적용된다

API 키 관리

  • API 키가 소스코드에 하드코딩되지 않는다
  • API 키 로테이션 주기가 정의되어 있다: ____개월
  • API 키 유출 시 대응 절차가 있다

5. 로깅 및 모니터링

감사 로깅

  • 모든 AI API 호출이 로깅된다
  • 로그에 다음 정보가 포함된다
    • 사용자 ID
    • 타임스탬프
    • 요청 유형
    • 응답 상태
  • 로그에 민감 데이터(입력/출력 원문)가 포함되지 않는다
  • 로그 보존 기간: ____일

모니터링

  • 이상 탐지 알림이 설정되어 있다
    • 대량 요청 탐지
    • 비정상 사용 패턴 탐지
    • 에러율 급증 탐지
  • 보안 인시던트 대응 절차가 있다

6. 규제 준수

개인정보보호법

  • 개인정보 처리 동의를 받았거나 법적 근거가 있다
  • 개인정보 처리 목적이 명시되어 있다
  • 제3자 제공 동의 (해외 전송 포함)를 받았다
  • 개인정보 처리방침이 업데이트되었다

GDPR (해당 시)

  • EU 개인정보 처리가 있는 경우 GDPR 준수
  • 적법한 처리 근거가 있다
  • 데이터 주체 권리 보장 방안이 있다

산업별 규제 (해당 시)

  • 금융: 전자금융거래법 준수
  • 의료: 의료법, HIPAA 준수
  • 공공: 전자정부법 준수

7. 사고 대응

인시던트 대응 계획

  • AI 관련 보안 사고 유형을 식별했다
    • 데이터 유출
    • 프롬프트 인젝션
    • 서비스 장애
    • 부적절한 출력 생성
  • 각 사고 유형별 대응 절차가 있다
  • 비상 연락망이 정의되어 있다
  • 서비스 긴급 중단 절차가 있다

롤백 계획

  • AI 기능 비활성화 절차가 있다
  • 폴백 시스템/수동 프로세스가 준비되어 있다

8. 기타

테스트

  • 보안 테스트를 완료했다
    • 프롬프트 인젝션 테스트
    • 입력 검증 테스트
    • 출력 필터링 테스트

문서화

  • 시스템 아키텍처 문서가 있다
  • 운영 매뉴얼이 있다
  • 보안 설정 문서가 있다

제출 정보

항목내용
프로젝트명
신청 부서
신청자
신청일
서비스 예정일
사용 AI 벤더
데이터 민감도[ ] 높음 / [ ] 중간 / [ ] 낮음

첨부 목록

  • 데이터 플로우 다이어그램
  • 시스템 아키텍처 다이어그램
  • 벤더 SOC 2 / ISO 27001 인증서
  • Data Processing Agreement (DPA)
  • PII 마스킹 로직 설명서
  • 보안 테스트 결과 보고서