재무 데이터, 그리디에 맡겨도 안전한가요?

회계사가 직접 만든 AI라서, 보안을 가장 먼저 생각했습니다

저는 15년 넘게 회계사로 일하다 그리디(Gridie)를 창업했습니다. 그래서 누구보다 잘 압니다. 재무팀이 다루는 엑셀 한 장에 무엇이 담겨 있는지를요. 결산 직전의 매출 데이터, 거래처별 단가, 급여 대장, 아직 공시되지 않은 실적, 임직원 개인정보까지. 이 데이터가 한 번이라도 잘못 새어 나가면 회사 전체가 흔들립니다.

그래서 "AI에 우리 재무 데이터를 넣어도 괜찮을까?"라는 질문은 너무나 당연합니다. 오히려 그 질문을 하지 않는 재무 담당자가 더 걱정스럽습니다. ChatGPT 같은 일반 도구에 회사 데이터를 붙여 넣는 순간 그 데이터가 어디로 가는지, 학습에 쓰이는지, 누가 보는지 알 수 없으니까요.

그리디는 처음 설계할 때부터 이 불안을 정면으로 마주했습니다. 편리한 AI를 만드는 것보다, 안심하고 맡길 수 있는 AI를 만드는 것을 먼저 생각했습니다. 이번 글에서는 재무팀이 가장 많이 묻는 질문에 하나씩 솔직하게 답해 드리겠습니다.

Q. 그리디는 제 데이터를 서버에 저장하나요?

아니요. 그리디는 여러분이 작업한 스프레드시트 데이터를 서버에 영구 저장하지 않습니다.

이게 그리디 보안의 가장 중요한 출발점입니다. 데이터를 쌓아 두지 않으면, 애초에 유출될 데이터 자체가 없습니다.

그리디는 AI 처리가 끝나는 즉시 해당 데이터를 서버 메모리에서 삭제합니다. 옆에서 누군가 빠르게 계산을 도와주고는 종이를 바로 파기하는 것과 같습니다. 작업이 끝나면 그 흔적이 서버 어딘가에 남아 떠돌지 않습니다.

데이터 처리 흐름을 그대로 옮기면 이렇습니다.

1. 입력 — 사용자가 브라우저에서 스프레드시트 데이터를 입력 (TLS 1.2+ 암호화 전송)

2. 수신 — AWS 서울 리전 내부 서버에서 요청 수신 (VPC 내부 처리, 접근 통제)

3. AI 처리 — 필요한 부분만 AI로 전송해 처리 (최소 데이터 전송, 암호화, ZDR 적용)

4. 반환 — 결과를 사용자 브라우저로 반환 (TLS 1.2+ 암호화 전송)

5. 삭제 — 처리 완료 후 서버 메모리에서 데이터 자동 삭제

남는 것이 없으니, 샐 것도 없습니다.

Q. 제 재무 데이터가 AI 학습에 쓰이지는 않나요?

쓰이지 않습니다. 이 부분은 계약과 기술로 이중 차단합니다.

재무 담당자들이 가장 크게 걱정하는 지점입니다. "우리 회사 매출 데이터가 AI를 더 똑똑하게 만드는 데 쓰이고, 언젠가 다른 사람의 답변에 흘러나오면 어쩌지?" 하는 불안이죠. 정당한 걱정입니다.

그리디는 OpenAI, Anthropic(Claude), Google(Gemini)의 유료 API만 사용합니다. 이 세 곳 모두 유료 API로 전송된 고객 데이터를 모델 학습에 사용하지 않는다고 공식 정책으로 명시하고 있으며, 그리디는 이를 계약에 반영했습니다. 일반 소비자용 챗봇과는 데이터 처리 방식 자체가 다릅니다.

여기에 더해 ZDR(Zero Data Retention, 제로 데이터 보존) 정책을 적용합니다. 쉽게 말해 AI 제공사 쪽에도 데이터가 남지 않도록 하는 장치입니다.

그리디는 여기서 한 발 더 나아갑니다. 원본 데이터 전체를 외부로 보내지 않습니다. AI 처리에 꼭 필요한 최소한의 부분 데이터만 전송하고, 불필요한 개인정보는 전송 전에 마스킹 처리합니다. 보낼 필요가 없는 데이터는 애초에 그리디 밖으로 나가지 않습니다.

Q. 해킹이나 외부 침입 걱정은 없나요?

가장 검증된 인프라 위에, 다층 방어로 막고 있습니다.

그리디는 AWS 서울 리전(ap-northeast-2) 기반의 인프라에서 운영됩니다. 즉, 데이터가 국내에 상주합니다. 데이터가 해외 어딘가의 서버로 빠져나가지 않습니다.

침입을 막는 장치는 한 겹이 아닙니다.

• 데이터 암호화 — 전송 중에는 TLS 1.2 이상, 저장 시에는 AES-256으로 암호화합니다. AES-256은 현재 국제적으로 가장 강력한 수준의 암호화 방식입니다. 인증서·크리덴셜 같은 민감 정보는 애플리케이션 레벨에서 한 번 더 암호화합니다.

• 네트워크 격리 — VPC 기반으로 네트워크를 분리하고, Security Group과 NACL로 외부 접근을 통제합니다.

• 실시간 방어 — 웹 애플리케이션 방화벽(WAF)과 침입 탐지/방지 시스템(IDS/IPS)을 운영하며, 이상 행위를 24시간 탐지·대응합니다.

• 정기 점검 — 취약점 점검과 패치 관리, 소스코드 보안 검토와 시큐어 코딩을 적용합니다.

그리디가 직접 인프라를 다 만든 것이 아니라, SOC 2 Type 2, ISO 27001 같은 국제 인증을 보유한 검증된 인프라(AWS, Supabase, Vercel) 위에서 운영한다는 점도 중요합니다. 보안의 토대 자체가 글로벌 수준에서 이미 검증되어 있습니다.

Q. 누가 제 데이터에 접근할 수 있나요?

업무상 꼭 필요한 최소한의 인원만, 그것도 기록을 남기며 접근합니다.

• 역할 기반 접근 제어(RBAC) — 최소 권한 원칙에 따라 사람마다 접근 권한을 다르게 부여합니다.

• 다중 인증(MFA) — 관리자·개발자 계정은 MFA를 의무 적용합니다.

• 고객사별 데이터 격리 — 멀티테넌트 환경에서 고객사 간 데이터를 완전히 분리합니다. 다른 회사가 우리 데이터를 볼 수 없습니다.

• 접근 이력 관리 — 모든 데이터 접근을 로그로 기록하고 정기적으로 감사합니다.

여기에 더해 운영·개발·스테이징 환경을 물리적·논리적으로 분리하고, 전 직원이 입·퇴사 시 비밀유지서약서를 제출하며, 연 2회 이상 정보보안 교육을 받습니다. 사람으로 인한 사고 가능성까지 관리한다는 뜻입니다.

Q. 만약 보안 사고가 생기면요?

숨기지 않고, 정해진 절차에 따라 빠르게 알립니다.

보안에서 "사고는 절대 없다"는 약속만큼 믿기 어려운 말도 없습니다. 중요한 건 사고가 났을 때 얼마나 투명하고 빠르게 대응하느냐입니다. 그리디는 사고 대응 절차를 문서화해 두고 정기적으로 훈련합니다.

• 탐지 즉시 초기 분석에 착수하고

• 인지 후 1시간 이내 경영진·관련 부서에 보고하며

• 인지 후 24시간 이내 고객사와 관계 기관에 통지하고

• 피해 확산을 막은 뒤 사고 종료 후 7일 이내 원인 분석과 재발 방지 대책을 수립합니다.

Q. 데이터를 지우고 싶으면 완전히 삭제되나요?

네. 계약 종료나 요청 시 지체 없이, 복구 불가능한 방법으로 파기합니다.

전자적 파일은 복구할 수 없는 방식으로 영구 삭제하고, 출력물은 분쇄합니다. 실시간으로 처리되는 데이터는 AI 처리가 끝나는 즉시 메모리에서 삭제됩니다. 계약이 끝나면 계정 정보와 로그도 30일 내에 파기합니다.

그리디는 고객사의 데이터를 소유하지 않습니다. 법적으로도 그리디는 고객사의 지시에 따라 데이터를 처리하는 수탁자(Processor)일 뿐, 데이터의 주인은 어디까지나 고객사입니다. 「개인정보 보호법」을 준수하며, 위탁받은 목적 외에는 데이터를 절대 이용하지 않습니다.

재무팀이 믿고 쓸 수 있는 AI를 만들고 싶었습니다

그리디의 보안 설계를 한 문장으로 정리하면 이렇습니다.

남기지 않고, 배우지 않고, 가두지 않는다.

데이터를 서버에 쌓아 두지 않고(남기지 않고), AI 학습에 쓰지 않으며(배우지 않고), 암호화와 접근 통제로 안전하게 보호합니다(가두지 않는다 — 외부로 새어 나가지 않게).

저는 회계사로서, 재무 데이터를 다루는 일이 얼마나 무거운 책임인지 압니다. 숫자 하나가 회사의 신뢰와 직결되니까요. 그리디는 그 무게를 가볍게 여기지 않습니다. 여러분이 가장 민감한 데이터를 다루는 순간에도 편안하게 일에만 집중할 수 있도록, 보안만큼은 타협하지 않겠습니다.

더 자세한 보안 정책이나 기업용 도입 관련 문의는 언제든 연락 주세요.

Gridie: 개인정보처리방침