vox.ai 도입을 검토하는 기업이라면 반드시 한 번은 짚고 넘어가는 질문이 있습니다. 바로 ‘보안 체계’입니다.
콜센터는 고객 이름, 전화번호, 주민등록번호, 카드번호 등 민감한 개인정보가 실시간으로 오가는 핵심 인프라입니다. 이런 환경에서 외부 AI 솔루션을 연동한다는 것은 단순한 기능 추가가 아니라, 중요한 데이터를 외부 시스템과 연결하는 일이기 때문입니다. 그만큼 보안에 대한 우려는 기능 검토 이전에 반드시 해소되어야 합니다.
이번 글에서는 vox.ai가 어떤 보안 구조 위에서 운영되는지, 그리고 엔터프라이즈 환경에서 요구하는 까다로운 보안 기준을 어떻게 충족하고 있는지 정리했습니다.
AI 콜센터 도입을 고민 중이라면, 실제 운영 환경에서 어느 수준의 보안 체계가 확보되는지 먼저 확인해보시기 바랍니다.
1. 왜 엔터프라이즈는 AI 콜센터 보안을 더 까다롭게 볼 수밖에 없을까요?
대규모 조직의 콜센터는 단순한 전화 응대 창구가 아닙니다. 수백만 건의 고객 이력, 거래 정보, 민감 개인정보가 집중되는 곳입니다. 외부 솔루션을 연결할 때 내부 보안팀, 컴플라이언스 담당자, 법무팀이 각각 검토에 들어가는 것은 이 때문입니다. 기능 데모보다 보안 아키텍처 문서 요청이 먼저 나오는 이유도 마찬가지입니다.
2025년 한 해 동안 국내 주요 기업들의 개인정보 유출 건수는 7,500만 건을 넘었습니다. 국민 1인당 평균 1회 이상 유출된 셈입니다. 이러한 문제는 국내에만 국한되지 않습니다. 글로벌 기업에서도 고객센터 시스템의 접근 통제 설정 오류 하나로 개인정보가 대량 유출되고, 사고 인지까지 2주 이상 지연된 사례가 존재합니다.
결국 엔터프라이즈 기업이 AI 콜센터 보안을 까다롭게 검토하는 것은 과도한 요구가 아닙니다. 대규모 데이터와 리스크를 고려했을 때, 이는 ‘선택’이 아니라 필수적인 검증 절차에 가깝습니다.
2. AI 콜센터 도입 시 발생하는 주요 보안 리스크 유형
AI 콜센터를 도입할 때 발생할 수 있는 보안 리스크는 크게 세 가지 영역으로 나눌 수 있습니다.
① 데이터 전송 구간 노출
통화 데이터와 변환된 텍스트가 AI 솔루션 서버로 전달되는 과정에서, 전송 구간이 암호화되지 않으면 도청이나 데이터 변조가 가능합니다. 기존 콜센터 시스템과 AI 솔루션 간의 API 연동 구간이 특히 이 리스크에 노출되기 쉽습니다.
② 관리자 접근 통제 미흡
AI 콜센터 솔루션의 웹 관리 콘솔에는 통화 데이터 조회, 시나리오 설정, 사용자 권한 관리 기능이 집중되어 있습니다. API 보안만 갖추고 관리자 화면에 대한 접근 통제가 없다면, 외부 네트워크에서도 이 화면에 접속할 수 있습니다. 인증 정보 탈취 한 번으로 모든 운영 데이터가 노출될 수 있습니다.
③ 민감정보의 외부 서버 저장
AI 콜센터 솔루션은 통화 내용을 STT(음성→텍스트)로 변환해 처리하는데, 이 과정에서 주민등록번호나 카드번호 같은 민감정보가 원본 그대로 외부 솔루션 서버에 저장될 수 있습니다. 개인정보보호법은 외부 사업자의 민감정보 수집·보관을 최소한으로 제한하고 있어, 이 구조가 해결되지 않으면 법적 리스크로 이어집니다.
3. 연동 방식별 보안 구조 — CTI/PBX · SIP · API
vox.ai는 기존 콜센터 인프라를 교체하지 않고 AI 기능만 추가로 연동하는 Add-on 방식으로 도입할 수 있습니다. 연동 방식은 크게 두 가지이며, 어느 방식이든 ‘기존 운영 시스템은 그대로, AI 기능만 추가’하는 구조이기 때문에 새로운 보안 리스크를 최소화할 수 있습니다. (연동 방식에 대한 보다 자세한 내용은 이 글에서 확인하세요.)
방식 1. CTI/PBX + SIP 프로토콜 연동
기존 전화 교환 시스템(PBX/CTI)과 국제 표준 프로토콜인 SIP으로 직접 연결하는 방식입니다.
- 모든 통화 정보를 실시간으로 주고받아 가장 정교한 AI 상담이 가능
- 기존 통신 인프라를 그대로 유지하므로 내부 통제 체계 유지 가능
- 기업 규모에 맞춰 동시 통화 채널 수 조정 가능
보안 측면에서 기존 시스템 위에 AI를 얹는 구조이기 때문에 신규 보안 리스크가 가장 적은 방식입니다.
Genesys, NICE, Avaya 등 이미 콜센터 솔루션을 운영 중이고, 기존 인프라와 내부 보안 체계를 그대로 유지하면서 AI 기능만 추가하고 싶은 경우
방식 2. API 연동 (착신 전환 포함)
기존 CRM, ERP, 주문 시스템과 AI가 API로 데이터를 주고받는 방식입니다. 착신 전환 방식의 경우 IT 부서 협조 없이도 즉시 운영이 가능합니다.
이 방식에서 보안의 핵심은 세 가지입니다.
별도의 PBX/CTI 시스템 없이 CRM 중심으로 운영 중이거나, IT 리소스 없이 빠르게 AI 상담을 시작해보고 싶은 경우
4. 엔터프라이즈 도입 방식과 데이터 보호 구조
클라우드 인프라 보안, RLS 기반 데이터 분리, 정기 보안 점검, API 연동 보안으로 구성된 기본 보안 체계는 대부분의 운영 환경에서 적용됩니다. 여기에 더해 금융권·의료기관·대기업처럼 내부 보안 규정과 감사 기준이 엄격한 조직의 경우, 세 가지 추가 보안 설계가 필요합니다.
기본 보안 체계에서 핵심 중 하나는 RLS(Row-Level Security) 기반 데이터 분리입니다.
여러 기업이 하나의 AI 콜센터 플랫폼을 함께 사용하는 구조입니다. 비용 효율이 높지만, 각 회사의 데이터가 섞이지 않도록 완벽하게 분리되어야 합니다.
RLS는 데이터베이스의 행(Row) 단위로 접근을 제어하는 방식으로, 일반 보안이 애플리케이션 코드 레벨에서 처리되는 것과 달리 데이터베이스 자체에서 차단합니다.
예를들어 A기업 관리자가 로그인하면 데이터베이스가 자동으로 A기업 데이터만 반환하는 구조입니다. 개발자가 실수로 잘못된 코드를 작성해도 RLS가 DB 레벨에서 차단하기 때문에 타사 데이터는 조회되지 않습니다. AWS, Microsoft, Google, Salesforce 등 글로벌 SaaS 기업들이 수년간 검증해온 표준 방식입니다.
여기에 더해 금융권·의료기관·대기업처럼 내부 보안 규정이 엄격한 조직을 위한 추가 보안 옵션 세 가지를 더 자세히 확인해 보도록 하겠습니다.
① IP 화이트리스트 — 시스템 연동과 관리자 접속 이중 통제
IP 화이트리스트는 제한 대상에 따라 두 가지로 나뉩니다.
Backend는 시스템 간 API 호출을, Frontend는 담당자가 브라우저로 접속하는 관리 화면을 각각 제한합니다. 원리는 같습니다. 지정된 IP 대역에서 발생한 요청만 허용하고, 나머지는 자동 차단합니다.
왜 필요한가요?API 보안(Backend)만 갖춘 솔루션은 관리 화면이 외부 네트워크에 열려 있는 상태입니다. vox.ai 관리 화면에서는 AI 상담 시나리오 설정, 통화 데이터 조회, 사용자 권한 관리가 모두 가능합니다. 로그인 한 번으로 서버 데이터 전체에 접근할 수 있는 구조이기 때문에, 접속 가능한 IP 자체를 제한해 외부에서의 접근을 원천 차단합니다.
어떻게 작동하나요?고객사가 지정한 IP 대역(사내 네트워크, 회사 VPN)에서만 관리 화면 접속을 허용합니다. 자택, 카페, 개인 네트워크에서는 로그인 자체가 불가능해집니다. vox.ai는 Backend와 Frontend를 모두 지원해 시스템 연동과 관리자 접근을 이중으로 통제합니다.
② Site-to-Site VPN — 내부망 수준의 통신 보안
왜 필요한가요?엔터프라이즈는 내부 시스템과 외부 AI 콜센터 솔루션 간의 통신이 공개 인터넷을 경유하는 사실 자체를 리스크로 봅니다. 내부 CRM/ERP와 AI 콜센터를 연동할 때, 또는 폐쇄망 성격의 환경에서 운영해야 할 때 특히 필요합니다.
어떻게 작동하나요?고객사의 온프레미스 네트워크(또는 자체 VPC)와 vox.ai 클라우드 VPC를 IPsec 기반 암호화 터널로 직접 연결합니다. 인터넷을 경유하더라도 통신 내용 전체가 암호화되어, 내부망끼리 연결된 것과 유사한 보안 수준을 확보합니다.
③ STT 단계 개인정보 마스킹 — 저장 전 차단
왜 필요한가요?외부 AI 콜센터 솔루션 서버에 민감정보가 원본 형태로 저장되는 것 자체가 법적 리스크입니다. 개인정보보호법은 외부 사업자의 민감정보 수집·보관을 최소한으로 제한하고 있습니다.
어떻게 작동하나요?통화 음성이 텍스트로 변환되는 STT 과정에서 민감정보를 패턴으로 감지해 자동 마스킹합니다.
원본 데이터가 저장되지 않기 때문에 이후 유출이 발생해도 민감정보는 복원되지 않습니다.
④ 데이터 저장 Opt-out — 통화 데이터 즉시 삭제
왜 필요한가요?외부 솔루션 서버에 통화 데이터가 남아있는 것 자체를 리스크로 보는 조직이 있습니다. 데이터가 존재하는 한 유출 가능성도 존재하기 때문입니다.
어떻게 작동하나요?통화가 종료되면 데이터를 고객사 서버로 전달하고, vox.ai 서버에서는 즉시 삭제합니다. 데이터가 남지 않기 때문에 유출 리스크를 구조적으로 차단합니다.
5. Q&A — 실무 담당자가 가장 많이 묻는 보안 질문
앞서 설명한 보안 체계를 바탕으로, 실제 도입 검토 과정에서 자주 나오는 질문과 답변을 정리해 보았습니다.
Q. 기존 콜센터 시스템을 교체하지 않고 AI만 연동할 수 있나요?
가능합니다. CTI/PBX와 SIP 프로토콜로 연결하거나, API 방식으로 AI 기능만 선택적으로 추가할 수 있습니다. 기존 내부 통제 체계를 건드리지 않기 때문에 엔터프라이즈 도입에 적합한 방식입니다.
Q. 통화 데이터가 vox.ai 서버에 저장되지 않게 할 수 있나요?
데이터 저장 Opt-out 옵션을 통해 가능합니다. 통화 종료 후 데이터를 고객사 서버로 전달하고 vox.ai 서버에서는 즉시 삭제합니다.
Q. 관리자 화면도 접속 IP를 제한할 수 있나요?
프론트엔드 IP 화이트리스트 기능을 통해 사내 네트워크 또는 회사 VPN에서만 웹 콘솔 접속이 가능하도록 제한할 수 있습니다. API 보안(Backend)과 함께 이중 통제 구조를 구성할 수 있습니다.
Q. 주민번호나 카드번호 같은 민감정보가 서버에 남지 않게 할 수 있나요?
STT 단계 마스킹이 적용되면 음성이 텍스트로 변환되는 과정에서 민감정보가 자동으로 가려집니다. 원본 데이터가 저장되지 않기 때문에 이후 유출이 발생해도 복원이 불가합니다.
Q. 금융권·의료기관 같은 규제 산업에서도 도입 가능한가요?
Frontend IP 화이트리스트, Site-to-Site VPN, STT 단계 마스킹 등 엔터프라이즈급 보안 옵션을 통해 금융권과 의료기관의 규제 요건을 충족할 수 있습니다. 내부 보안 기준과의 적합성 검토는 전문 컨설턴트 상담을 통해 확인하실 수 있습니다.
vox.ai는 클라우드 인프라 보안, 데이터 분리, 정기 점검, API 연동 보안으로 구성된 기본 보안 체계 위에 조직의 요구 수준에 따라 프론트엔드 IP 화이트리스트, Site-to-Site VPN, STT 단계 마스킹 같은 추가 보안 계층을 단계적으로 구성할 수 있습니다.
도입을 검토 중이시라면, 전문 컨설턴트와의 1:1 상담을 통해 우리 조직의 보안 요구사항에 맞는 도입 구조와 비용을 직접 확인해 보세요.
