6월 09, 2026 ·

M365 Copilot AI 활동, 어떻게 추적하고 규제에 대응할까?

M365 Copilot AI 기록, 법적 증거로 남기려면?

최근 마이크로소프트가 조사 과정에서 AI 활동을 재구성하는 방법을 공개했어요. 이제 기업들의 고민은 단순히 'AI를 어떻게 도입할까'가 아니라 'AI 거버넌스를 어떻게 잡을까'로 옮겨갔죠. 단순히 Copilot을 쓰는 게 문제가 아니라, AI가 어떤 데이터를 읽었고 사용자가 어떤 프롬프트를 넣었는지 기록하는 텔레메트리 추적이 법적 리스크 대응의 열쇠가 됐거든요.

법전보다 무서운 '그림자 규제(Shadow Regulation)'

실제로 법전의 법보다 무서운 게 판례잖아요. Archive360에서는 AI 관련 소송들이 공식 법규가 나오기 전 실질적인 가이드라인 역할을 하는 '그림자 규제'가 될 거라고 분석했어요.

예를 들어볼까요? 직원이 Copilot으로 기밀 정보를 요약해서 외부로 유출했거나, AI가 만든 잘못된 정보 때문에 법적 분쟁이 생겼을 때 기업이 "우리는 관리 체계가 없었다"라고 답하는 건 정말 위험합니다.

법원은 기업이 AI 활동을 얼마나 적절히 모니터링하고 보존했는지를 보고 '주의 의무'를 다했는지 판단하거든요. AI 활동 로그를 그냥 쌓아두기만 해서는 안 돼요. 법정에서 증거로 인정받을 수 있는 형태로 보존하는 체계가 반드시 필요합니다.

Copilot 활동을 추적하고 증거로 만드는 실무 전략

Copilot 활동은 Microsoft Purview 같은 감사 로그에 남긴 하지만, 보존 기간이 짧고 검색 효율이 떨어지는 경우가 많아요. 실제 조사 상황에서는 특정 시점에 AI가 어떤 문서에 접근했고, 결과값이 무엇이었는지를 타임라인별로 빠르게 재구성하는 게 중요하거든요.

실무에서는 이런 흐름으로 파이프라인을 잡는 게 효율적이에요.

일단 Merge1을 쓰면 Teams, SharePoint Online, OneDrive 같은 M365 핵심 데이터와 120개 이상의 써드파티 소스를 누락 없이 긁어모아 아카이브로 보낼 수 있습니다. 수집된 데이터는 Enterprise Vault(EV)에 저장해 보존 기간을 설정하고, WORM 스토리지를 사용해 수정 불가능한 상태로 묶어둬야 해요. 그래야 나중에 법정에서 데이터 위변조 논란을 피할 수 있거든요.

마지막으로 소송이나 감사 요청이 들어왔을 때 Discovery Accelerator(DA)로 방대한 아카이브 속에서 특정 키워드나 참여자를 기반으로 AI 활동 내역을 빠르게 찾고, 이를 MSG나 EML 형식으로 내보내 증거로 제출하는 방식입니다.

IT 관리자가 놓치기 쉬운 '사후 추적성'

많은 관리자분이 AI 도입할 때 보안 설정에만 집중하시는데, 정작 중요한 건 '사후 추적성'이에요. 데이터 컴플라이언스 관점에서 보면, AI가 접근한 데이터의 권한 설정이 잘못되어 정보가 오남용됐을 때 그 경로를 역추적할 수 있는 '디지털 족적'을 남기는 게 핵심이거든요.

특히 리걸홀드(Legal Hold) 설정은 필수입니다.

특정 임직원이 AI를 이용해 부정행위를 했다고 판단되면, 해당 사용자의 AI 활동 기록이 자동 파기 정책 때문에 삭제되지 않도록 즉시 묶어두는 조치가 필요해요. 이 워크플로우가 자동화되어 있지 않으면 증거 인멸로 몰려 재판에서 완전히 불리해지는 상황이 생길 수 있습니다.

자주 묻는 질문

  • Q: M365 기본 로그만으로도 AI 활동 추적이 충분하지 않나요?
    A: 기본 로그는 저장 기간이 너무 짧아요. 대규모 데이터 속에서 특정 맥락을 빠르게 찾아 법적 증거로 제출하기에는 기능적 한계가 많기 때문에 별도의 아카이빙 체계가 필요한 거죠.
  • Q: Copilot이 참조한 원본 문서도 같이 보존해야 하나요?
    A: 네, 당연합니다. AI의 답변뿐만 아니라 그 답변의 근거가 된 원본 데이터가 함께 있어야 조사 과정에서 인과관계를 입증할 수 있거든요.
  • Q: AI 데이터 보존 정책은 어떻게 세우는 게 좋을까요?
    A: 금융 SEC 17a-4 같은 산업별 규제와 기업 내부의 데이터 생애주기 관리 정책을 합쳐야 합니다. EV의 250개 이상 분류 정책을 활용해 민감 정보 포함 여부에 따라 보존 기간을 다르게 적용하는 방식을 추천드려요.

요약: AI 시대의 컴플라이언스는 '사용'보다 '추적'과 '보존'에 달려 있습니다. M365 Copilot의 텔레메트리를 Merge1으로 수집하고, EV로 안전하게 보관하며, DA로 신속하게 증거를 추출하는 체계를 갖추는 것이 가장 현실적인 대응 방안입니다.

더 자세한 데이터 거버넌스 전략이 궁금하시다면 휴미즈 공식 홈페이지에서 확인해 보세요.

본 콘텐츠는 10년 차 데이터 컴플라이언스 전문가의 실무 경험과 최신 글로벌 기술 동향을 바탕으로 작성되었습니다.

댓글

댓글 쓰기