2026년 3분기 예약 접수 중 · 리테이너 2자리 · 직접 계약 또는 SI 파트너 경유 파리 ·서울
Sébastien Tang CRM 트랜스포메이션 & 딜리버리
No. 018 Agentforce & AI 4분 분량 · 2026년 6월 22일

Agentforce 한국 규제 준수와 SI 파트너 역할 재편

VCARB 사례로 본 Agentforce 360 도입의 실제 과제. 한국 기업이 개인정보 보호법(PIPA) 준수와 SI 의존 구조를 동시에 해결해야 하는 이유를 아키텍처 관점에서 분석합니다.

스크롤하여 읽기 ↓
Agentforce 한국 규제 준수와 SI 파트너 역할 재편: hero image
Agentforce 한국 규제
한눈에 보기

이런 분께

Agentforce 도입을 검토 중인데 PIPA 준수 설계와 SI 계약 구조를 어디서부터 손봐야 할지 모르는 CIO, CTO, 또는 Salesforce 아키텍트라면 읽어보시기 바랍니다.

01
VCARB 아키텍처는 한국 규제 환경에서 그대로 작동하지 않습니다.
Data Cloud Data Streams의 개인정보 수집, Identity Resolution의 결합 처리, 미국 리전 국외 이전 요건은 PIPA가 적용되지 않는 VCARB 환경과 근본적으로 다르며, 설계 단계에서 규제 레이어를 선행하지 않으면 프로덕션 직전에 전체 데이터 파이프라인을 재작업하게 됩니다.
02
PIPA는 법무 검토 항목이 아니라 아키텍처 제약 조건입니다.
Prompt Builder가 고객 데이터를 LLM에 전달하는 순간 위탁 계약 구조가 필요하고, Atlas Reasoning Engine 추론 로그에 개인정보가 포함되면 보존 기간과 삭제 경로를 사전에 설계해야 하며, 동의 철회가 Data Cloud Unified Individual 삭제로 자동 연결되지 않으면 PIPA 제36조 위반 리스크가 상시 존재합니다.
03
SI 계약에 AI 운영 SLA가 없으면 에이전트는 배포 후 방치됩니다.
기존 SI의 선형 구현 모델은 Topics와 Actions 정의, Agentforce Testing Center 기반 지속 검증, 에스컬레이션 비율과 응답 정확도에 대한 SLA 관리를 포함하지 않기 때문에, 에이전트가 배포되더라도 내부에 추론 품질을 평가할 인력과 구조가 없으면 실제로 신뢰받지 못합니다.

Salesforce가 Formula 1 팀 VCARB와 Agentforce 360 파트너십을 발표했다. 팬 인게이지먼트 자동화, 실시간 운영 지원, AI 에이전트 기반 고객 응대가 핵심이다. 글로벌 엔터프라이즈 아키텍트 입장에서 이 사례는 흥미롭지만, 한국 CIO·CTO에게 더 중요한 질문은 따로 있다. Agentforce 한국 규제 환경에서 동일한 아키텍처를 그대로 가져올 수 있는가, 그리고 기존 SI 파트너 구조가 이 전환을 감당할 수 있는가.

두 질문 모두 답이 “아니오”에 가깝다.

VCARB 사례가 한국 시장에 던지는 실제 질문

VCARB 배포의 기술 스택은 공개된 범위에서 Data Cloud Data Streams를 통한 팬 데이터 수집, Identity Resolution으로 통합 프로필 생성, Agentforce의 Atlas Reasoning Engine 기반 실시간 응대로 구성된다. 팬이 레이스 중 앱에서 질문하면 에이전트가 맥락을 파악하고 개인화된 응답을 반환하는 구조다.

이 아키텍처를 한국 기업이 그대로 복제하려 할 때 첫 번째 충돌 지점은 데이터 수집 단계다. Data Cloud Data Streams가 외부 소스에서 개인 식별 정보를 끌어올 때, 개인정보 보호법(PIPA)은 수집 목적의 명시, 제3자 제공 동의, 처리 위탁 계약을 요구한다. Salesforce 인프라가 미국 리전에 위치한다면 국외 이전 조항이 추가로 적용된다. VCARB는 이 규제 레이어가 없는 환경에서 운영한다. 한국 기업은 다르다.

두 번째 충돌은 Identity Resolution 단계다. 매칭 ruleset이 이메일, 전화번호, 쿠키 ID를 결합해 Unified Individual을 생성하는 과정은 PIPA 관점에서 개인정보의 결합 처리에 해당한다. 결합 목적이 최초 수집 목적과 합리적으로 연관되지 않으면 별도 동의가 필요하다. 대규모 팬 데이터베이스를 운영하는 스포츠 조직이나, 수백만 고객 접점을 가진 리테일·금융 기업이라면 이 지점에서 법무팀과 아키텍처팀이 충돌하는 것이 일반적인 패턴이다.

개인정보 보호법(PIPA)이 Agentforce 아키텍처에 미치는 구조적 영향

Agentforce 한국 규제 준수를 단순히 “법무 검토 후 진행”으로 처리하는 조직은 나중에 아키텍처를 뜯어고치는 비용을 치른다. 규제 요건은 설계 단계에서 반영해야 한다.

구체적으로 세 가지 아키텍처 결정이 PIPA의 영향을 직접 받는다.

데이터 레지던시 선택. Salesforce가 한국 데이터센터 리전을 제공하지 않는 상황에서, Data Cloud를 통해 처리되는 개인정보는 국외 이전 요건을 충족해야 한다. 정보주체의 별도 동의 또는 개인정보 보호위원회가 인정하는 보호 수준 확보가 필요하다. 이는 단순한 체크박스가 아니라 Data Streams 파이프라인 설계, 동의 관리 시스템과의 연동, 감사 로그 보존 정책에 영향을 준다.

Prompt Builder 템플릿의 개인정보 처리. Agentforce가 고객 응대 시 Prompt Builder를 통해 개인 데이터를 LLM에 전달할 때, 해당 처리가 위탁인지 제3자 제공인지 구분이 필요하다. Salesforce를 수탁자로 볼 경우 위탁 계약서에 PIPA 제26조 요건이 반영되어야 한다. 이 계약 구조가 없으면 에이전트가 고객 이름, 구매 이력, 상담 내용을 처리하는 모든 순간이 잠재적 위반이 된다.

Atlas Reasoning Engine의 추론 로그. 에이전트가 어떤 맥락을 참조해 어떤 판단을 내렸는지 추론 과정이 로그로 남는다. 이 로그에 개인정보가 포함될 경우 보존 기간, 접근 통제, 삭제 요청 처리 방식을 사전에 설계해야 한다. VCARB 같은 스포츠 팀은 이 요건이 없지만, 한국 금융사나 통신사는 ISMS 인증 요건과도 교차한다.

SI 파트너 구조가 이 전환을 감당하지 못하는 이유

한국 엔터프라이즈 Salesforce 도입의 80% 이상은 SI를 통해 이루어진다. 문제는 기존 SI 역할 모델이 Agentforce 시대에 맞지 않는다는 점이다.

전통적인 SI 모델은 요건 정의, 화면 설계, 개발, 테스트, 운영 이관의 선형 구조다. Agentforce는 이 모델과 근본적으로 다르다. Topics와 Actions를 정의하고, Instructions를 조정하고, Agentforce Testing Center에서 에이전트 행동을 검증하고, 프로덕션 이후에도 추론 품질을 지속적으로 모니터링해야 한다. 이것은 프로젝트가 아니라 제품 운영에 가깝다.

3,000개 이상의 리테일 접점을 운영하는 규모의 조직에서 Agentforce를 SI에 전적으로 위임했을 때 나타나는 패턴이 있다. SI는 기술 구현은 완료하지만 에이전트 품질 관리 체계를 내재화하지 못한다. 고객사 내부에 Atlas Reasoning Engine의 추론 결과를 평가할 수 있는 인력이 없고, 에이전트가 잘못된 응답을 반환할 때 원인을 진단할 수 있는 구조도 없다. 결과적으로 에이전트는 배포되지만 실제로 사용되지 않거나, 사용되더라도 신뢰받지 못한다.

SI 파트너 역할 재편의 방향은 구현 파트너에서 AI 운영 파트너로의 전환이다. 구체적으로는 세 가지 역량이 SI 계약에 포함되어야 한다. 첫째, PIPA 준수 아키텍처 설계 역량. 둘째, Agentforce Testing Center를 활용한 지속적 품질 검증 체계. 셋째, 에이전트 성능 지표(응답 정확도, 에스컬레이션 비율, 처리 완료율)에 대한 SLA 정의. 이 세 가지가 없는 SI 계약은 구현만 있고 운영이 없는 구조다.

Agentforce SI 파트너 역할 재편에 대한 더 깊은 분석은 이 글을 참고하십시오.

아키텍처가 먼저, 규제 검토는 병렬로

실무에서 자주 보이는 실수는 아키텍처 설계를 완료한 후 법무팀에 PIPA 검토를 요청하는 순서다. 이 순서는 반드시 뒤집어야 한다.

PIPA 준수를 전제로 한 Agentforce 아키텍처 설계의 올바른 순서는 다음과 같다.

1. 데이터 흐름 매핑
   - 어떤 개인정보가 어느 시스템에서 Data Cloud로 유입되는가
   - 국내 처리 vs. 국외 이전 분류

2. 동의 체계 설계
   - 수집 목적별 동의 항목 정의
   - Identity Resolution 결합 처리에 대한 동의 범위 확인
   - 동의 철회 시 Data Cloud 내 데이터 삭제 경로

3. 위탁 계약 구조 확정
   - Salesforce를 수탁자로 처리하는 DPA(Data Processing Agreement) 체결
   - Prompt Builder 경유 LLM 처리 포함 여부 명시

4. Agentforce 컴포넌트 설계
   - Topics, Actions, Instructions 정의
   - 추론 로그 보존 정책 반영

5. Agentforce Testing Center 검증
   - 개인정보 포함 시나리오 테스트
   - 에스컬레이션 경로 검증

이 순서를 따르면 아키텍처 재작업 없이 규제 준수와 기능 구현을 동시에 달성할 수 있다. 반대로 4번부터 시작하면 1~3번 요건이 충족되지 않아 프로덕션 직전에 전체 데이터 파이프라인을 재설계하는 상황이 발생한다. 90일 프로젝트가 180일이 되는 가장 흔한 경로다.

Agentforce 한국 규제 대응을 체계적으로 설계하려는 조직이라면 Data Cloud 아키텍처 서비스에서 데이터 흐름 설계와 규제 준수 레이어를 함께 검토하는 것이 현실적인 출발점이다.

핵심 정리

  • PIPA는 아키텍처 제약이다. Data Cloud Identity Resolution의 개인정보 결합 처리, Prompt Builder 경유 LLM 전달, 국외 이전 요건은 설계 단계에서 반영하지 않으면 프로덕션 직전 재작업으로 이어진다.

  • 동의 관리 시스템은 Data Streams와 연동되어야 한다. 수집 동의 철회가 Data Cloud 내 Unified Individual 삭제로 자동 연결되지 않으면 PIPA 제36조(정정·삭제 요구권) 위반 리스크가 상시 존재한다.

  • SI 계약에 AI 운영 SLA가 없으면 에이전트는 배포 후 방치된다. Agentforce Testing Center 기반 지속 검증, 에스컬레이션 비율 모니터링, 추론 품질 평가 역량이 SI 계약 범위에 포함되어야 한다.

  • VCARB 사례의 아키텍처는 참조 모델이지 복제 대상이 아니다. 규제 환경이 다른 한국 시장에서는 동일 스택을 그대로 가져오는 것이 아니라, 규제 레이어를 선행 설계한 후 Agentforce 컴포넌트를 그 위에 올리는 순서가 맞다.

  • 지금의 아키텍처 결정이 2~3년 후 AI 거버넌스 감사의 기준이 된다. 개인정보 보호위원회의 AI 처리 가이드라인이 강화되는 방향으로 움직이고 있는 상황에서, 현재 설계의 감사 추적 가능성(auditability)은 선택이 아니라 필수다.

귀사에도 필요한 내용입니까?

어떤 에이전트가 프로덕션에서 살아남는지 알려주는 2~3주 Agentforce 프로덕션 준비도 진단입니다.

데이터 접근 지도, AI 시대 패턴 기준의 보안 모델 점검, 우선순위가 매겨진 개선 항목이 담긴 프로덕션 준비도 스코어카드. 발표 자료가 아니라 CTO가 이사회에 가져갈 수 있는 문서로 제공합니다.

기간 2~3주 · 시작가 1,700만 원 · 회신 24시간 이내 · NDA 기본 적용
아키텍처 노트 · 월간

한 달에 한 편. 군더더기 없이.

CTO와 SI 파트너에게 보내는 노트입니다. 아키텍처 패턴, 포스트모템, 그리고 제안서에는 담기 어려운 솔직한 견해를 전합니다.

구독자 약 1,200명 · 개인정보 보호 우선 · 클릭 한 번으로 구독 해지
Sébastien Tang

Sébastien Tang

독립 CRM 트랜스포메이션 & 딜리버리 리드 — Salesforce. 엔터프라이즈 Salesforce 프로그램을 처음부터 끝까지 이끕니다: 딜리버리, 프로그램 리스큐, 멀티클라우드 거버넌스, 그리고 Agentforce 및 Data 360 리드니스. 유럽 엔터프라이즈에서 Salesforce 경력 14년. EN · FR.

예약 현황 2026년 3분기 · 리테이너 2자리 · Paris · Seoul
상담 예약하기