옆자리 동료가 챗GPT나 클로드로 후원 보고서를 뚝딱 써내려가는 걸 보며 '우와' 하셨나요? 아니면 '저래도 되나' 싶어 마음 한구석이 불안하셨나요? 우리 조직은 AI를 어떻게 관리해야 하는지, 지금처럼 아무런 규칙 없이 써도 정말 괜찮은 것인지에 대한 답을 찾아야 할 때입니다. 비영리 현장에서 AI는 이미 거스를 수 없는 대세가 되었지만, 그 이면에는 조직의 신뢰를 한순간에 무너뜨릴 수 있는 거대한 공백이 숨어 있기 때문입니다.
개인의 AI 사용, 조직은 정말 몰랐을까
최근 발표된 조사 결과는 충격적입니다. 원문 보도에 따르면, 2026년 5월 공개된 ‘2026 비영리 활동가 AI 인식·활용 조사 결과’에서 국내 비영리 활동가 804명 중 무려 97%가 이미 업무에 AI를 쓰고 있다고 답했습니다. 설문에 참여한 660개 기관 중 AI를 전혀 쓰지 않는 곳은 단 24곳, 즉 3%에 불과했습니다.
여기서 주목해야 할 점은 이 사용의 주체가 '조직'이 아니라 '개인'이라는 사실입니다. 이를 무승인 AI 사용(Shadow AI, 조직의 공식적인 승인이나 보안 검토 없이 개인이 임의로 도입해 사용하는 IT 도구)이라고 부릅니다. 활동가들은 부족한 인력과 재원 속에서 살아남기 위해 자발적으로 AI를 찾았습니다. 문서 작성, 자료 조사, 홍보 콘텐츠 제작 등 반복적이고 시간이 많이 걸리는 업무를 생성형 AI(Generative AI, 텍스트·이미지 등 새로운 콘텐츠를 만들어내는 인공지능 기술)에게 맡기기 시작한 것이죠.
하지만 조직 차원의 대응은 거북이걸음입니다. 활동가들은 이미 고속도로를 달리고 있는데, 조직은 아직 표지판조차 세우지 못한 형국입니다. 보고서에 따르면 활용 속도에 비해 조직 차원의 가이드라인이나 교육, 데이터 보호 체계는 턱없이 부족합니다. 이는 개인이 도구를 찾아 쓰는 속도를 조직의 시스템이 따라가지 못하는 전형적인 '거버넌스 지체' 현상을 보여줍니다.
비영리 조직이 직면한 세 가지 치명적 위험
영리 기업과 달리 비영리 조직이 AI를 무방비하게 쓸 때 겪는 위험은 훨씬 더 복잡하고 치명적입니다. 단순히 업무 실수를 넘어 조직의 존재 이유인 '사회적 신뢰'를 타격하기 때문입니다.
첫째는 데이터 프라이버시의 붕괴입니다. 비영리 조직은 후원자의 결제 정보, 수혜자의 민감한 개인정보, 내부의 전략적 캠페인 기획안 등을 다룹니다. 활동가가 편의를 위해 이런 데이터를 AI 학습 도구에 입력하는 순간, 해당 정보는 조직의 통제권을 벗어납니다. 이는 단순한 실수처럼 보이지만 법적으로는 심각한 유출 사고가 될 수 있습니다.
둘째는 책임 있는 의사결정의 실종입니다. AI가 내놓은 결과물에는 이른바 '환각 현상'이 섞여 있을 수 있습니다. 사실이 아닌 것을 사실처럼 말하는 AI의 특성을 거르지 못한 채 공공 보고서나 캠페인 문구에 반영한다면, 조직의 전문성은 순식간에 의심받게 됩니다. AI 챗봇의 거짓말이 당신의 구매 결정을 망치고 있다는 이전 글에서 다뤘듯, AI의 오류는 사용자의 신뢰를 갉아먹는 가장 큰 원인입니다.
셋째는 법적 컴플라이언스(Compliance, 법규 준수) 위반입니다. 비영리 조직은 기부금 관리법, 개인정보보호법 등 엄격한 규제의 대상입니다. AI 사용 과정에서 데이터 거버넌스(Data Governance, 데이터의 보안, 가용성, 무결성을 관리하는 전사적 체계)가 작동하지 않는다면, 나중에 문제가 터졌을 때 조직 운영진은 법적 책임을 피하기 어렵습니다.
가이드라인 없을 때의 실제 손해: 현장 응급실의 비유
가이드라인 없이 AI를 쓰는 상황은 마치 "현장 응급실"과 같습니다. 환자(조직의 과업)를 살리기 위해 급한 대로 각 활동가가 검증되지 않은 의료 기구(AI 도구)를 꺼내 쓰는 상황인 것이죠. 운 좋게 수술이 성공해 환자가 살아날 수도 있지만, 소독되지 않은 기구 때문에 환자가 나중에 치명적인 감염(데이터 유출 및 법적 분쟁)을 일으킬 확률이 매우 높습니다.
실제로 가이드라인이 없다면 조직은 다음과 같은 구체적인 손해를 입습니다.
- 신뢰 자산의 손실: 후원자가 자신의 정보가 AI 학습에 쓰였다는 사실을 알게 될 경우, 기부 중단은 물론 사회적 지탄으로 이어집니다.
- 중복 비용 발생: 활동가마다 제각각 유료 계정을 결제하거나, 서로 다른 툴을 쓰면서 협업의 효율이 오히려 떨어지는 현상이 발생합니다.
- 데이터 주권 상실: 우리 조직만의 고유한 노하우와 데이터가 AI 서비스 제공자의 서버로 넘어가면서, 장기적으로는 조직만의 차별화된 자산을 잃게 됩니다.
이런 상황에서 내 블로그 글이 검색에 안 떠도, 애꿎은 AI만 탓할 수 없는 이유에서 언급했듯이, 도구 자체의 문제보다 그 도구를 다루는 방식과 맥락이 훨씬 중요해집니다. 비영리 조직은 AI를 '똑똑한 비서'로만 볼 것이 아니라, '엄격하게 관리해야 할 외부 협력사'로 대해야 합니다.
한국적 맥락에서 본 비영리 AI 도입의 장벽
한국의 비영리 생태계는 특히 '개인정보보호법'과 '기부금 투명성'에 민감합니다. 한국 독자들이 반드시 알아야 할 점은, 국내법상 개인정보보호 컴플라이언스는 영리와 비영리를 가리지 않고 매우 엄격하게 적용된다는 사실입니다. 특히 주민등록번호나 계좌번호가 포함된 후원자 명단이 AI 프롬프트(명령어)에 입력되는 행위는 그 자체로 법적 처벌 대상이 될 수 있습니다.
또한 한국 비영리 조직은 미국 등 해외에 비해 디지털 전환 예산이 턱없이 부족합니다. 이 때문에 저비용 AI 도구에 대한 의존도는 높지만, 보안 솔루션을 갖출 여력은 없습니다. 이러한 간극을 메우기 위해서는 거창한 IT 시스템 구축보다는 '손가락 지침' 수준의 현실적인 가이드라인이 우선되어야 합니다.
예를 들어, 한국의 기부자들은 자신이 낸 기부금이 어떻게 쓰이는지뿐만 아니라, 자신의 정보가 어떻게 관리되는지에 대해서도 매우 높은 기준을 가지고 있습니다. "우리 단체는 AI를 쓰지만, 귀하의 정보는 절대 입력하지 않습니다"라는 선언 하나가 향후 조직의 생존을 결정짓는 신뢰의 척도가 될 수 있습니다.
지금 당장 실천할 수 있는 AI 관리 체크리스트
비영리 조직이 리소스가 부족하다는 점은 엄연한 현실입니다. 대기업처럼 수억 원을 들여 자체 AI를 만들거나 거창한 거버넌스 체계를 구축하라는 것은 불가능에 가깝습니다. 하지만 '아무것도 안 하는 것'과 '최소한의 안전장치를 두는 것' 사이에는 엄청난 차이가 있습니다. 지금 바로 조직 내에서 시작할 수 있는 판단 기준과 체크포인트를 제안합니다.
- AI 사용 현황 전수조사 (설문/간담회): 먼저 우리 활동가들이 어떤 도구를, 어떤 업무에 쓰고 있는지 솔직하게 파악하세요. 처벌이 목적이 아니라 '안전한 사용'이 목적임을 분명히 해야 합니다.
- '절대 금지 데이터' 목록 작성: 이름, 연락처, 주소, 계좌번호 등 개인정보와 내부 보안이 필요한 미발표 사업 계획은 AI에 절대 입력하지 않는다는 원칙을 세우고 공표하세요.
- AI 결과물 검증 책임 명시: "AI가 쓴 글은 반드시 사람이 최종 검토하고, 사실관계를 확인한다"는 원칙을 업무 프로세스에 박아 넣으세요.
- 유료 계정의 조직적 관리: 개인이 따로 결제하기보다 조직 차원에서 보안 옵션이 강화된 팀 플랜을 구독하고, 접근 권한을 관리하는 것이 장기적으로 비용과 보안 면에서 유리합니다.
- 투명한 공개: 외부 홍보물이나 보고서 제작에 AI가 상당 부분 기여했다면, 이를 작게라도 명시하여 독자와 후원자의 알 권리를 존중하세요. 검색창에서 클릭하지 않아도 답이 나온다면, 내 브랜드는 어떻게 팔릴까?에서 보듯, AI 시대의 핵심은 결국 '진정성'과 '관련성'입니다.
비영리 활동가의 97%가 AI를 쓴다는 것은 위기가 아니라 기회입니다. 다만 그 기회는 조직이 방관자에서 관리자로, 그리고 다시 조력자로 거듭날 때만 온전히 누릴 수 있습니다. 지금 우리 조직의 'AI 응급실'에 최소한의 소독 매뉴얼이라도 갖춰져 있는지 확인해 보시기 바랍니다.