AI SOLUTION ADOPTION REVIEW

Gamma 도입 검토서

2026.04.17 | 공공기관 | Gamma | govbrief.kr

종합 판정

도입 불가

위험도 72/100

위험도 스코어카드

데이터 전송85

서버 위치 미명시. 국외 이전 가능성 높음.

개인정보60

삭제 정책 미명시

지적재산75

입력 데이터 소유권 미명시. 생성물 권리 미명시

보안70

보안 인증/통제 정보 부족

컴플라이언스70

한국법 관련 조항 없음

허용 전제조건

한국 리전 또는 데이터 상주 옵션 확인 후 사용
모델 학습 Opt-out 설정 필수. Enterprise/Business 플랜 사용
입력 데이터/생성물 권리 관련 별도 계약 체결
SOC2/ISO27001 인증 확인. SSO+감사로그 활성화
개인정보보호법 제28조의8 국외 이전 동의 절차 마련

금지 조건

감사로그 미지원 시 규제 대상 업무에 사용 금지

PoC 가능 범위

현재 조건에서는 PoC도 권장하지 않음

본운영 전 필수 조치

없음

데이터 분류별 판정

일반정보금지

개인정보금지

신용정보금지

영업비밀금지

소스코드금지

배치 환경

SaaS가능

VPC미지원

On-Premise미지원

폐쇄망미지원

관리자 통제 항목

SSO미확인

RBAC미확인

감사로그미확인

관리자승인미확인

데이터보존정책미확인

암호화미확인

SOC2미확인

ISO27001미확인

계약 검토 항목

책임제한명시 없음

손해배상명시 없음

데이터삭제명시 없음

하위처리자명시 없음

준거법명시 없음

학습활용명시 없음

Opt-out명시 없음

적용 법령

법률

- 개인정보 보호법

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률

- 지능정보화 기본법

감독규정

- 전자금융감독규정 제14조의2(클라우드 이용)

가이드라인

- 금융분야 AI 활용 시 유의사항

- 금융분야 빅데이터 활용 가이드라인

조직 유형별 판정

스타트업조건부 가능

중견기업도입 불가

대기업도입 불가

공공기관도입 불가

금융기관-은행도입 불가

금융기관-증권도입 불가

금융기관-보험도입 불가

금융기관-핀테크도입 불가

검토 체크리스트

검토 항목	요구 수준	판정	비고
정보보호
개인정보 국외 이전 적정성	개인정보보호법 제28조의8 준수	미충족	국외 이전 동의 절차 필요
데이터 암호화 (전송 중/저장 시)	TLS 1.2+ 및 AES-256 이상	미확인
접근 통제 및 인증	SSO/MFA 지원 또는 별도 통제 방안	미확인	SSO 지원 여부 확인 필요
감사 로그 제공	사용자 활동 로그 90일 이상 보관	미확인
침해 사고 통보 체계	사고 인지 후 72시간 내 통보	미확인
개인정보
개인정보 수집/이용 동의	목적 명시, 최소 수집 원칙	미확인
AI 학습 데이터 활용 여부	Opt-out 가능 여부 확인	미확인
데이터 삭제 요청 대응	사용자 요청 시 삭제 가능	미확인
제3자 제공/위탁 현황	서브프로세서 목록 확인	미확인
법무
입력 데이터 소유권	사용자 귀속 명시	미확인
AI 생성물 저작권/권리	사용자 귀속 또는 명확한 조건	미확인
책임 제한 조항	손해배상 범위 검토	미확인
준거법 및 관할	분쟁 시 관할권 검토	미확인
아키텍처
서버 위치/데이터 상주	한국 리전 가용 여부	미확인
배치 환경 적합성	SaaS/VPC/온프레 지원 여부	미확인
기존 시스템 연동	API/SSO/LDAP 연동 가능 여부	미확인