경험, 활동

[광역청년센터] 생성형 AI 기반의 서비스 기획 실습

postbirds 2026. 7. 15. 22:41

관련 글

 

저번 주의 글에 이어서 광역청년센터에서 지원하는 '잇다' 플랫폼을 통한 IT 멘토링 수업의 두 번째 과제입니다. 3회라는 짧은 만남 특성상 뭔가를 만들어보는 미션을 받기에는 모든 참여자가 시간이 가능하지 않다면 어려울 거라 생각했는데요. 생성형 AI(GPT, Claude, Gemini 등)을 활용해서 기획 역량을 키우는 과제로 진행되어서 나름의 부담을 줄이고 수행할 수 있었습니다.

 

두 번째 과제는 생성형 AI 기반의서비스 기획 실습을 수행하는 것 입니다. AI 시대에는 개발만 하는 개발자가 아니라 더욱 기획 역량이 중요해졌기 때문에 이런 미션을 선정하셨다고 합니다. 이 기획 역량에서 가장 중요한 것은 "유용성"입니다. 내가 궁금하니까 Try 해보는 것은 특정 경험을 늘리기엔 좋지만, 실제로 사람들이 이 제품을 원하는 지를 포커싱 두어야 합니다. 아이디어의 영역이므로 가장 힘든 영역이라고 생각합니다. 생성형 AI를 사용해도 아이디어까지 완벽한 기획을 만들어줄 순 없다고 생각하거든요.

 

미션 정리

  1. 해결하고 싶은 사회적 문제(예: 탄소 배출 저감 등)를 정의한다.
  2. AI를 활용해 서비스의 주요 사용자를 설정하고, 사용자가 겪는 문제 상황과 해결 과정을 시나리오로 작성해 본다.
  3. AI에게 "이 서비스 기획의 논리적 결함 3가지와 기술적 구현 시 예상되는 문제점을 지적해줘"라고 요청한다.

제공해주신 자료에 따르면 서비스 기획을 위해서 AI에게 최소한의 알아야할 것은 위와 같다고 할 수 있습니다.

 

해결하고 싶은 사회적 문제: 개인정보 해킹

제가 해결하고 싶은 사회적 문제는 "사용자 개인정보 해킹 문제"입니다. 이를 선택하게 된 이유는 첫 번째 과제에서 저는 Rust라고 하는 프로그래밍 언어를 소개했고, 이를 사용하면서 저의 성향과 맞는 개발을 할 수 있는 분야로 금융 R&D를 제안해주셨습니다. 이에 '금융 분야에서 뭔가를 만들어 보면 좋지 않을까?' 라는 생각을 했고, 최근 CI 값 문제 등 보안 관련 이슈를 사회적 주제로 선정했습니다.

 

이번 미션에서는 하나의 생성형 AI만 사용하지 않고, 여러 개의 생성형 AI를 사용해보라는 이야기도 하셨기에 Claude, Gemini, Grok을 사용해서 같은 프롬프트를 주었습니다. 제가 준 프롬프트 맥락은 아래와 같습니다.

  1.  사용자 개인정보 탈취 문제를 해결하기 위한 기술적인 과제 3가지를 알려줘.
  2. 사용자 개인정보 탈취 문제를 해결하는 서비스를 만든다면 어떤 서비스를 만들 것 같아?
  3. 해당 서비스의 사용자는 [2번 답변에서 나온 글을 읽고, 내가 예상한 대상 기입]으로 예상된다. 이 사용자가 이 서비스를 사용함으로써 겪는 문제 상황과 해결 과정을 시나리오로 이야기해주고, 한 장의 이미지로 뽑아줘. 
  4. 지금까지 네가 제안한 [서비스 이름] 기획의 논리적 결함 3가지와 기술 구현 시 예상되는 문제점을 지적해줘.

 

Claude

문제 정의 3가지

1. 인증 강화와 사용자 편의성 균형

가장 근본적인 침해 경로는 여전히 취약한 비밀번호, 재사용 비밀번호, 피싱을 통한 자격 증명 탈취이다. 그러므로 비밀번호를 복잡하게 만드는 등 인증을 강화하는 것이 중요하다. 따라서, SIM swapping 공격에 취약한 SMS 기반 OTP 인증 보다는 강력한 다중 인증(MFA), 패스키(FIDO2/WebAuthN)같은 생체 및 하드웨어 기반 인증을 도입하는 중이다. 하지만, 레거시 시스템과의 호환성 문제나 사용자들이 다중인증에 귀찮음을 느낄 수 있다.

 

2. 대규모 시스템에서의 데이터 암호화 및 접근 제어 설계

기업들이 다루는 데이터 양이 많아지면서 저장/전송 데이터 암호화 및 최소 권한 원칙에 따른 접근 제어를 두는 것이 점점 복잡해 진다. 암호화된 상태에서도 효율적으로 검색 및 연산이 가능해야 하고, MSA와 클라우드, 서드파티 API가 얽힌 복잡한 환경에서 "누가 어떤 데이터에 왜 접근했는지" 추적하는 감사 체계가 필요하다. 또한, 내부자의 위협이나 권한 오남용을 실시간으로 탐지하는 시스템 정확도도 필요하다.

 

3. 공급망 및 제 3자 리스크 관리

개인정보 유출 사고의 상당수는 직접적인 시스템 침투보다는 협력업체나 오픈소스 라이브러리, SaaS 벤더를 통한 간접 경로에서 발생한다. 이를 해결하기 위해서 소프트웨어 구성 요소 명세를 통한 의존성 추적과 취약점을 자동 탐지해야한다. 또한, API 연동이 많아지면 데이터 흐름을 파악하기 어려워지는 "새도우 데이터 문제"가 발생한다. 

 

제안 서비스: 데이터 공급망 관측 플랫폼

전송 구간이 TLS로 안전하다고 해도, 벤더 손에 들어간 순간부터는 통제할 수 없는 블랙박스 영역이 된다. 이 문제를 해결하는 서비스인 "데이터 공급망 관측 플랫폼"을 제안한다. 이 서비스의 핵심 철학은 "벤더가 자체 신고하는 것(보고하는 것)을 신뢰할 수 없으니, 실제 데이터 흐름을 관측해서 증거 기반으로 관리하자"는 것이다. 

 

이에 핵심 기능 3가지는 아래와 같다. 

1. 데이터 흐름 자동 매핑

API 게이트웨이, 아웃바운드 네트워크 트래픽(eBPF 기반), DB 스키마를 스캔해서 "우리 회사의 어떤 개인정보 필드가 어떤 외부 벤더로 나가는지"를 자동으로 그래프화 한다. 이 흐름이 계약서에 적힌 내용과 다르면 자동으로 플래그를 한다. 

 

2. 벤더 리스크를 "내 데이터 노출도"로 환산

기존 보안 등급 서비스는 벤더의 일반적인 보안 점수만 보여준다. 하지만, "이 벤터가 뚫리면 우리 고객 데이터 중 정확히 어떤 데이터가 새는지"를 계산하는 것이다. 벤더 A는 보안점수는 낮지만 우리 데이터는 중요하지 않은 데이터만 보낸다와 벤더 B는 보안 점수는 높지만 주민번호 정보를 가지고 있으므로 더 위험하다 등을 계산하는 것이다.

 

3. 카나리아 토큰 기반 조기 유출 탐지

각 벤더에 넘기는 데이터에 추적 가능한 가짜 레코드(카나리아)를 몰래 섞어서 보낸다. 이 가짜 데이터가 다크웹 등에 나타나면 어떤 벤더에서 데이터가 샌 것인지 확인할 수 있다. 그리고, 데이터가 샌 것이 탐지되면 해당 벤더로의 API키/데이터 흐름을 자동으로 차단한다.

 

페르소나: 실제 사용 사례

실제 사용 사례 부분은 이미지로 대체해서 처리하려고 하였다. Claude의 경우는 절차적 다이어그램을 보여준 느낌이다.  

Claude 생성 이미지

SI 회사에서 근무 중이고 A, B, C사 등 5~6개의 외부 API를 붙여서 사용하고 있다. 회사 보안 팀이 따로 없으면서 개발자가 어느정도의 보안까지챙겨야 하는 상황이다.

 

  • 문제 상황1: C사와 API 계약 갱신하는데, 우리가 어떤 데이터를 보내는지 확신이 안 서는 상황에서 '데이터 흐름매핑 에이전트' 기능을 통해서 어떤 데이터를주는지 확인할 수 있고, 계약서에 적힌 내용 외의 정보를 보내거나 받는지를 알 수 있다.
  • 문제 상황2: 보안 사고가 발생 했을 때, 우리 데이터가 유출된 게 아닌지 명확하게 확인할 수 있다. 
  • 문제 상황3: 다른 회사들이 안전한지 객관적 근거로 확인할 수 있다.

논리적 결함과 기술적 구현 시 예상 문제점

논리적 결함

  1. 카나리아 토큰이 다크웹에서 발견되었다는 것이 이 벤더 구간에서 데이터가 샌 것이라는 것이 100% 증명되지 않는다.
  2. 데이터 흐름을 관측한다는 것이 문제의 핵심인 것(그 데이터를 어떻게 사용하는 지에 대한 블랙박스 영역)을 해결하지 못한다.
  3. 이미 존재하는 워크플로우(GRC/벤더 리스크 평가)와의 차별화가 약하다. → 있으면 좋은 것과 돈주고 쓰고 싶은 것은 다른 의미이다. 

기술적 구현 시 예상 문제점

  1. TLS 암호화 구간에서는 eBPF만으로 페이로드를 못 본다. 
  2. 카나리아 토큰이 실운영 시스템을 오염시킬 위험이 있다.
  3. 다크웹 모니터링의 법적, 정확도 리스크가 있다.

Gemini

문제 정의 3가지

사용자 개인정보 탈취 문제를 근본적으로 해결하기 위해서는 공격자가 침입하더라도 데이터를 가져가거나 읽을 수 없도록 만드는 강력한 기술적 장벽이 필요하다.

 

1. 제로 트러스트 기반의 지속적 신증명 및 권한 제어

2. 고성능 종단간 암호화(E2EE) 및 동형 암호 기술 상용화

3. 데이터 유출 방지(DLP) 알고리즘의 지능화 및 난독화 해제 대

 

제안 서비스: 지능형 파일 무결성 실시간 감시 및 내부 데이터 보호 플랫폼

대기업 금융 시스템 구축 외주사 혹은 기업의 개발 총괄 책임자를 대상으로 동작하는 플랫폼이다. 해커의 침입 경로를 막기보다는 이미 경로가 뚫린 경우를 고려해 데이터 접근을 실시간으로 감지하고 데이터 자체를 암화하는 것이 목표이다.

 

핵심 기능 4가지는 아래와 같다.

1. AI 기반 실시간 파일 무결성 및 행동 감시

2. 메모리 보호를 위한 기밀 컴퓨팅 보안 영역 제공

3. 리스크 기반 제로 트러스트 연속 인증

4. 개발 생산성을 해치지 않는 'DevSecOps 최적화' 툴킷  

 

페르소나: 실제 사용 사례

Gemini 생성 이미지

 

논리적 결함과 기술적 구현 시 예상 문제점

논리적 결함

  1. 보안 전제(AI 학습)와 모순되는 개발 활동의 변동성
  2. '선택적 암호화'로 인한 보안 사각지대 발생
  3. 내부 위협 방어와 개발 권한 제어의 경계 모호성 

기술적 구현 시 예상 문제점

  1. 기밀 컴퓨팅 도입의 높은 허들
  2. 소스코드 수정 요구로 인한 개발자 친화성 상실
  3. 실시간 컨텍스트 분석의 성능 및 네트워크 병목 

Grok

문제 정의 3가지

 

1. 강력하고 확장 가능한 인증/인가 체계

2. 데이터 수명주기 전반에 걸친 암호화와 최소화

3. 실시간 이상 탐지와 자동 대응 체계

 

 

제안 서비스: VaultGuard

VaultGuard라는 Zero-Trust와 Client-Side Everything을 밀어붙인 개인 정보 보호 플랫폼을 제안 받았다. 사용자 개인정보를 어떤 서비스에도 평문으로 저장하지 않고, 탈취 당할 것이 거의 없도록 설계한다.

 

주요 기능 3가지는 아래와 같다.

1. 통합 Passwordless Identity Vault

2. 사용자 측에서 개인정보를 암호화

3. AI 기반 실시간 위협 감지

 

 

페르소나: 실제 사용 사례

Grok은 한글을 잘 생성하지 못한다. 

Grok 생성 이미지

 

논리적 결함과 기술적 구현 시 예상 문제점

논리적 결함

  1. 모든 것을 한 곳에 모은다는 것이 새로운 Single Point of Failure를 만드는 것이다.
  2. 사용자 편의성과 보안의 극단적인 트레이드 오프를 과소 평가한 것이다.
  3. 기업 측의 인센티브가 부족하므로 B2B 채택이 어렵다.  

기술적 구현 시 예상 문제점

  1. 키 관리 지옥
  2. 성능 및 UX 저하
  3. 실시간 AI 위험 감지의 False Positive, False Negative 문제

피드백

피드백을 정리하기에 앞서서 생성형 AI만 가지고 여러 영역을 질문한 것을 조합해서 '하나의 기획'으로 내놓는 것이 이번 과제였던 것 같다. 그래서 제대로 정리하지 못하고 단편적인 조사만으로 과제를 끝낸 것이 아쉬움이 있다. 핑계일 수 있지만, 다른 급한 것을 하느라 조금 정신이 없었다. 

 

개인 피드백을 정리해보면,

내가 작성한 위 내용들은 보안 관련 전문가가 보기에 택도 없는 내용이다. 그러니 내가 잘 모르는 영역에 대한 서비스 기획을 하게 되었을 때 어떤 부분이 중요한지를 생각해보는 것을 권장하셨고, 그 서비스를 위해서 관련 지식을 먼저 학습하고 LLM을 이용해서 찾고, 정리해나가는 것에 대해 이야기해주셨다.

 

공통 피드백을 정리해보면,

문제정의, 페르소나(이용 대상자), 시나리오, 기획의 논리적 적결함과 기술적 취약점 보완사항 이 4가지 영역에 대해서 질문자인 내가 잘 이해하면서 질문을 해야한다.

 

1. 문제 정의는 '실제 수요자'가 명확해야 하고, 이 아이디어가 누군가에게 '실제적인' 편의를 제공하는가? 를 명확하게 정리하는 일이다. (인공지능은 잘하지 못하는 일이다)

2. 논리는 사람이 직접가정하고, 직접 검증해야 한다. (인공지능은 검토는 가능하지만 못 하는 일이다)

3. 문제와 페르소나, 시나리오, 결함, 보완에 대한 모든 추측과 검증은 인공지능이 가능하지만, 결국 사람이 해야 할 일이다. 어떻게 도움을 받아서 내 의견을 보다 객관적으로/명확하게 가공할 수 있을지 생각해보자.    

 

후기

초기에 예상하기로는 세 가지 AI가 모두 동일한 서비스를 제안할 거라고 생각했다. 조금씩은 다른 관점으로 서비스를 제안해서 놀랐다. 큰 맥락에서 Claude와 Grok은 동일한 '데이터를 추적하거나 관리하는 것'이라는 비슷한 답을 주었고, Gemini만 다른 답변인 '파일 무결성 탐지기'를 제안했다고 생각한다. 그 이유는 평소에 Gemini를 메인으로 쓰고 있어서 다른 대화들을 이용했기 때문이라고 판단했다. 

 

이렇게 기획을 위해서 AI를 사용함으로써 느끼는 것은 "아이디어의 영역"이 중요하다는 것과 그 아이디어의 영역을 만들기 위해서는 특정한 분야에 대한 관심과 지식이 필요하다는 것이다. 관심이 있어야 계속 찾아보는 동력이 되기 때문이다. 내가 실제로 이런 서비스가 있었으면 좋지 않을까? 한 영역은 누군가 빠르게 만들었거나 실질적으로 IT 기술로 해결하기 어려운 영역이라고 생각한다. 주로 관심 있는 영역이 사회 복지에 대한 영역이기 때문이다.

 

3번의 멘토링 기간 동안 할 수 있던 가장 좋은 과제였다.

'경험, 활동' 카테고리의 다른 글

[광역청년센터] LLM 활용 기술 리서치  (0) 2026.07.09