타사 LLM의 데이터 보호를 위해 Microsoft Purview 구성

타사 LLM의 데이터 보호를 위해 Microsoft Purview 구성

2026년 2월 18일

소개: 외부 LLM 시대의 데이터 거버넌스 과제

2026년까지 LLM(대형 언어 모델) 및 생성 인공 지능(AI) 도구의 채택이 많은 조직에서 현실이 되었습니다. Microsoft 365 Copilot과 같은 기본 솔루션은 안전한 통합 및 데이터 거버넌스를 제공하지만 많은 회사에서는 웹 또는 API를 통해 액세스할 수 있는 다양한 타사 LLM도 활용합니다. 이러한 외부 AI 도구의 확산은 혁신과 생산성에 유익하지만 의도하지 않거나 악의적으로 민감한 데이터가 노출되는 심각한 위험을 초래합니다[1].

효율성이나 호기심을 추구하는 직원은 기업 솔루션과 동일한 보안 및 개인 정보 보호를 보장하지 않는 공개 AI 채팅 인터페이스 또는 타사 LLM에 영업 비밀, 고객 정보, 재무 데이터 또는 지적 재산을 실수로 붙여넣을 수 있습니다. 이러한 행동은 대규모 데이터 유출, 규정 준수 위반 및 심각한 평판 손상으로 이어질 수 있습니다. 직원이 민감한 회사 데이터로 공개 AI 모델을 "훈련"하는 위험은 2026년의 가장 큰 데이터 보안 및 거버넌스 문제 중 하나입니다[2].

이 문제를 해결하기 위해 Microsoft Purview는 2026년에 DLP(데이터 손실 방지) 기능을 크게 확장했습니다. Purview는 이제 "AI 보안 게이트웨이" 역할을 하여 중요한 데이터가 승인되지 않은 외부 AI 도구로 전송되는 것을 실시간으로 모니터링하고 차단합니다. 아웃바운드 트래픽을 검사하고, 민감한 데이터 패턴을 식별하고, 유출을 방지하기 위한 정책을 시행하여 AI 혁신이 데이터 보안 및 규정 준수를 손상시키지 않도록 보장합니다[3].

이 기술 및 교육 문서는 규정 준수 관리자, 보안 분석가 및 IT 리더가 타사 LLM과 관련된 위험을 이해하고 중요한 데이터를 보호하기 위해 Microsoft Purview 방어를 구성하도록 안내하기 위한 것입니다. AI 서비스에 대한 특정 DLP 정책을 구현하기 위한 기본 원칙, 전제 조건 및 자세한 단계별 가이드를 다룰 것입니다.

제3자 LLM의 위험과 거버넌스의 필요성

제3자 LLM의 접근성과 강력함은 양날의 검이 될 수 있습니다. 이점을 제공하는 동시에 기업 데이터 보안에 상당한 위험을 초래합니다.

  • 의도하지 않은 데이터 유출: 직원은 이 데이터가 AI 모델을 교육하는 데 저장되거나 사용되어 공개되거나 제3자가 액세스할 수 있다는 사실을 인식하지 못한 채 악의적인 의도 없이 민감한 데이터를 외부 LLM 프롬프트에 복사하여 붙여넣어 콘텐츠를 요약, 분석 또는 생성할 수 있습니다.

  • 악의적인 데이터 유출: 악의적인 직원은 타사 LLM을 통로로 사용하여 기존 보안 제어를 우회하여 민감한 데이터를 유출할 수 있습니다.

  • 규정 준수 위반: 규제 대상 데이터(예: PII, PHI, PCI)를 외부 LLM으로 전송하면 데이터 개인 정보 보호법(GDPR, LGPD) 및 산업별 규정을 위반하여 막대한 벌금이 부과되고 평판이 훼손될 수 있습니다.

  • 지적 재산: 영업 비밀, 독점 소스 코드 및 사업 계획이 제3자 LLM에 삽입되면 노출될 수 있습니다.

  • 가시성 및 제어 부족: 적절한 도구가 없으면 조직에서는 어떤 타사 LLM이 사용되고 있는지, 어떤 데이터가 공유되고 있는지, 이러한 서비스가 내부 보안 정책을 준수하는지 여부에 대한 가시성이 부족합니다.

Microsoft Purview는 DLP 기능을 AI 서비스 도메인으로 확장하여 이러한 위험을 해결합니다. 이를 통해 조직은 이러한 서비스에 대한 민감한 데이터의 흐름을 식별, 모니터링 및 제어하여 데이터 거버넌스 정책이 디지털 생태계 전반에 일관되게 적용되도록 할 수 있습니다[4].

Microsoft Purview의 AI에 대한 데이터 보호 원칙

Microsoft Purview의 타사 LLM에서 중요한 데이터를 효과적으로 보호하는 것은 다음 원칙을 기반으로 합니다.

  1. AI 발견 및 분류: 네트워크에서 어떤 타사 AI 서비스에 액세스하고 있는지 식별하고 해당 수준을 분류합니다.위험합니다. 이를 통해 DLP 정책을 타겟팅하고 효과적으로 수행할 수 있습니다.

  2. 실시간 민감한 데이터 감지: 외부 LLM에 도달하기 전에 아웃바운드 트래픽을 실시간으로 검사하여 민감한 정보(예: 신용카드 번호, 주민등록번호, 건강 데이터)가 있는지 식별합니다.

  3. 액세스 제어 및 차단: 승인되지 않은 LLM과 중요한 데이터를 공유하려는 시도를 차단하거나 경고하는 정책을 적용하여 승인된 채널만 사용되도록 합니다.

  4. 사용자 인식: 사용자에게 정책 위반에 대한 즉각적인 피드백을 제공하고 AI 도구의 안전한 사용과 민감한 데이터 공유와 관련된 위험에 대해 교육합니다.

  5. 감사 및 보고: 모든 정책 위반 시도에 대한 자세한 기록을 유지하고 보안 상태의 분석 및 지속적인 개선을 위한 보고서를 제공합니다.

구현을 위한 전제 조건

타사 LLM에 대한 Microsoft Purview 보호를 구성하려면 다음 요소가 필요합니다.

  • Microsoft 365 E5 또는 Microsoft Purview 규정 준수 제품군 라이선스: 이러한 계획에는 필수 고급 DLP 및 AI 거버넌스 기능이 포함됩니다.

  • 관리 액세스: Microsoft Purview 규정 준수 포털(compliance.microsoft.com)에 대한 규정 준수 관리자, 보안 관리자 또는 전역 관리자 권한이 있는 계정입니다.

  • 데이터 정책에 대한 지식: 조직의 민감한 데이터 유형 및 내부 규정 준수 정책에 대한 지식입니다.

  • DLP 에이전트 배포: 엔드포인트 모니터링의 경우 Microsoft Purview DLP 에이전트를 사용자 장치에 배포해야 합니다.

단계별 가이드: Microsoft Purview에서 AI에 대한 DLP 정책 구성

민감한 데이터를 제3자 LLM으로 전송하지 않도록 보호 설정하려면 위험한 AI 애플리케이션을 식별하고 대상 DLP 정책을 생성해야 합니다.

1단계: 위험한 AI 애플리케이션 식별

첫 번째 단계는 네트워크에서 어떤 타사 AI 서비스에 액세스하고 있는지 파악하고 해당 서비스의 위험을 평가하는 것입니다.

  1. Microsoft Purview 규정 준수 포털에 액세스: 브라우저를 열고 compliance.microsoft.com으로 이동합니다. 필요한 관리 권한이 있는 계정으로 로그인하세요.

  2. AI Hub로 이동: 왼쪽 탐색 창에서 AI Hub > 검색으로 이동합니다. AI Hub는 AI 보안 및 규정 준수를 관리하기 위해 2026년에 도입된 새로운 섹션입니다.

  3. 발견된 AI 서비스 검토: Purview는 네트워크에서 액세스한 모든 타사 웹사이트 및 AI 서비스를 나열합니다. 각 서비스에 대해 제공업체의 평판, 알려진 개인 정보 보호 정책, 데이터 위치, 서비스가 처리하는 데이터 유형 등의 요소를 기반으로 "위험 점수"를 할당합니다. 이를 통해 조직에 가장 큰 위험을 초래하는 타사 LLM을 식별할 수 있습니다.

  4. 애플리케이션 분류: 위험 점수 및 내부 정책에 따라 AI 애플리케이션을 "승인됨", "모니터링됨" 또는 "승인되지 않음"으로 분류합니다.

2단계: 타사 LLM에 대한 DLP 차단 정책 만들기

위험한 AI 애플리케이션이 식별되면 DLP 정책을 생성하여 민감한 데이터의 흐름을 제어할 수 있습니다.

  1. 새 DLP 정책 생성: Microsoft Purview 규정 준수 포털에서 데이터 손실 방지 > 정책으로 이동합니다. + 정책 만들기를 클릭합니다.

  2. 템플릿 선택 또는 사용자 정의: 기존 템플릿(예: "금융 데이터", "건강 데이터")으로 시작하거나 사용자 정의 정책을 만들 수 있습니다. 타사 LLM의 경우 사용자 정의 정책이 더 큰 유연성을 제공합니다.

  3. 위치 설정: 위치 섹션에서 "AI 서비스 및 챗봇"을 선택합니다. 이는 타사 LLM과의 상호 작용을 위해 특별히 정책을 대상으로 지정할 수 있도록 2026년에 도입된 새로운 옵션입니다. 끝점과 같은 다른 위치를 포함하여 복사/붙여넣기를 모니터링할 수도 있습니다.

  4. 조건 정의: 정책을 트리거할 조건을 구성합니다. 여기에는 다음과 같은 특정 SIT(민감한 정보 유형) 감지가 포함되는 경우가 많습니다.

  5. 재무 데이터: 신용카드 번호말했다, 은행 계좌.

  6. 개인 데이터: CPF, ID 번호, 회사 이메일 주소.

  7. 지적 재산: 소스 코드, 특정 민감도 레이블이 있는 문서(예: "기밀").

  8. 독점 데이터를 나타내는 키워드나 정규식을 포함하도록 조건을 구체화할 수 있습니다.

  9. 작업 설정: 승인되지 않았거나 위험도가 높은 타사 LLM의 경우 작업을 "정책 팁으로 차단"으로 설정합니다. 정책 팁은 사용자에게 해당 작업이 차단되었다는 사실과 그 이유를 알리고 보안 정책에 대해 교육합니다. 모니터링되는 LLM의 경우 "감사" 또는 "사용자 재정의로 차단"(사용자가 정당화하고 진행할 수 있도록 허용)을 선택할 수 있습니다.

  10. 정책 저장 및 활성화: 정책을 검토하고 활성화합니다. DLP 정책이 전체 환경에 완전히 적용되려면 다소 시간이 걸릴 수 있습니다.

3단계: 모니터링 및 지속적인 교육

모니터링은 DLP 정책의 효율성을 보장하고 추가 교육이 필요한 영역을 식별하는 데 필수적입니다.

  1. AI Hub 보고서 사용: Microsoft Purview AI Hub에서는 타사 LLM과 관련된 DLP 정책 위반에 대한 자세한 보고서를 찾을 수 있습니다. 이 보고서에는 다음이 표시됩니다.

  2. 사용 중인 타사 LLM: 가장 인기 있는 서비스와 가장 큰 위험을 초래하는 서비스를 식별합니다.

  3. 공유되는 민감한 데이터: 사용자가 외부 LLM에 보내려고 하는 정보 유형을 이해합니다.

  4. 정책을 위반하는 사용자/부서: 추가 교육이나 인식이 필요한 영역을 식별합니다.

  5. 사고 조사: Purview의 Activity Explorer를 사용하여 사용자, 파일, 관련된 AI 서비스 및 차단된 콘텐츠를 포함하여 DLP 사고를 자세히 조사합니다.

  6. 교육 및 인식: 보고 데이터를 사용하여 AI 보안 인식 교육을 추진합니다. 직원들에게 민감한 데이터를 제3자 LLM과 공유할 때의 위험성을 설명하고 회사에서 승인한 AI 도구의 사용을 장려합니다.

  7. 정기적인 정책 검토: AI 환경은 끊임없이 진화하고 있습니다. 타사 LLM에 대한 DLP 정책을 정기적으로 검토하여 새로운 위협과 새로운 AI 서비스에 대해 관련성과 효율성을 유지하는지 확인하세요.

추가 고려 사항 및 모범 사례

  • 데이터 분류: 강력한 데이터 분류는 효과적인 DLP 정책의 기초입니다. 민감도 레이블을 사용하여 중요한 데이터를 자동 또는 수동으로 분류합니다.

  • 명확한 의사소통: AI 사용 정책을 직원들에게 명확하게 전달합니다. 무엇이 허용되고 무엇이 허용되지 않는지, 그리고 승인되지 않은 LLM 사용과 관련된 위험을 설명하십시오.

  • 단계적 접근 방식: 하드 차단을 적용하기 전에 사용자 행동을 이해하기 위해 감사 모드부터 시작하여 DLP 정책을 단계적으로 구현하는 것을 고려하세요.

  • SIEM/SOAR 통합: Microsoft Purview DLP 경고를 SIEM 시스템(예: Microsoft Sentinel)과 통합하여 보안 사고를 중앙 ​​집중식으로 확인하고 자동화된 대응을 조율합니다.

  • AI 공급업체 평가: 제3자 LLM 사용을 고려할 때 공급업체에 대한 엄격한 보안 및 개인 정보 보호 평가를 수행하여 규정 준수 요구 사항을 충족하는지 확인하세요.

결론

타사 LLM에 광범위하게 액세스할 수 있는 세상에서 민감한 데이터를 보호하는 것은 2026년의 중요한 정보 보안 과제입니다. 향상된 DLP 및 AI 거버넌스 기능을 갖춘 Microsoft Purview는 데이터 유출 및 규정 준수 위반 위험을 완화하는 강력한 솔루션을 제공합니다. 표적화된 DLP 정책을 구현하고, 위험한 AI 애플리케이션을 식별하고, 사용자를 교육함으로써 조직은 가장 귀중한 자산의 보안을 손상시키지 않으면서 인공 지능의 이점을 실현할 수 있습니다. 타사 LLM의 데이터 보호를 위해 Microsoft Purview를 효과적으로 구성하는 것은 단순한 기술적 조치가 아니라 포괄적이고 사전 대응적인 AI 보안 전략의 기본 기둥입니다.

참고자료

[1] Microsoft 데이터 보안 지수 2026." 살펴보기새로운 혁신과 전략, 권장 사항 및 모범 사례를 포함한 데이터 보안의 미래." 다음에서 확인 가능: https://info.microsoft.com/ww-landing-data-security-index-2026.html?lcid=en-us [2] Microsoft 보안 블로그. "2026년 AI 기반 ID 및 네트워크 액세스 보안을 위한 4가지 우선순위." 이용 가능: [https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/) [3] Microsoft 365 로드맵. "Microsoft 365 로드맵은 상용 기능에 대한 예상 출시 날짜와 설명을 제공합니다." 사용 가능 위치: https://www.microsoft.com/microsoft-365/roadmap?featureid=109581 [4] 마이크로소프트 보안. "AI로 신원보안 강화" 사용 가능 위치: https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id