생산성과 보안 사이, Shadow AI의 등장
생성형 AI가 일상적인 업무 도구로 자리 잡으면서, 조직 내 직원들은 업무 효율을 높이기 위해 다양한 AI 서비스를 자유롭게 사용하고 있습니다. ChatGPT, Claude, Gemini, Copilot 등 브라우저만 있으면 누구나 즉시 사용할 수 있는 생성형 AI 도구들이 넘쳐나면서, 이른바 'Shadow AI' 현상이 빠르게 확산되고 있습니다.
Shadow AI란 IT 부서의 검토나 보안 정책 적용 없이 직원들이 개인적으로 도입해 사용하는 AI 서비스를 뜻합니다. 악의적인 의도 없이 업무 편의를 위해 선택한 도구이지만, 조직 입장에서는 무엇이 사용되는지조차 파악되지 않는다는 점에서 보안의 사각지대가 됩니다.
AI 사용 증가가 불러온 새로운 보안 과제
Shadow AI가 심각한 이유는 단순한 규정 위반이 아니라 실질적인 데이터 유출 경로가 되기 때문입니다. 실제로 직원들이 AI에 입력하는 정보는 소스코드(약 30%), 법무·계약 문서(약 22%), M&A 전략 자료(약 13%) 등 기업 경쟁력과 직결된 것들입니다. IBM의 2025 데이터 침해 비용 보고서에 따르면, Shadow AI가 관련된 사고는 평균 약 67만 달러의 비용이 추가로 발생했고, 침해 인지까지 평균 247일이 걸렸습니다.
최근에는 AI 에이전트 확산이 문제를 키우고 있습니다. 과거에는 직원이 직접 정보를 붙여넣는 방식이었다면, 이제는 에이전트가 내부 시스템에 연결되어 파일을 읽고 명령을 실행하며 API를 호출합니다. 데이터가 '노출'되는 것을 넘어 AI가 직접 '처리'하는 상황이 되어, 기존 보안 통제 범위를 완전히 벗어납니다.
AI 가시성, 왜 필요한가
보안은 대응보다 현황 파악이 먼저입니다. 무엇이 일어나는지 알아야 막을 수 있기 때문입니다. AI 가시성이란 조직 내에서 어떤 AI가, 누구에 의해, 얼마나 사용되는지를 실시간으로 파악하는 것을 말합니다.
이것이 없으면 정책을 아무리 잘 만들어도 실효성을 검증할 수 없고, 어떤 데이터가 외부로 향하는지 알 수 없어 사고가 나도 원인 추적이 어렵습니다. 인지하지 못한 위협은 관리할 수 없습니다. 결국 AI 가시성은 단순한 모니터링이 아니라, 차단 대상을 식별하고 정책을 점검하며 사고 경로를 추적하는 보안 거버넌스의 기반입니다.
