기업 직원들이 승인되지 않은 인공지능(AI) 도구를 사용하는 이른바 ‘섀도 AI’가 보안·지적 재산권 측면에서 새로운 리스크로 부상하고 있다.

프레젠테이션 작성, 문서 요약 등 업무 효율을 높이기 위해 직원들이 외부 챗봇을 활용하는 사례가 늘고 있지만, 내부 승인 절차 없이 사용될 경우 민감한 데이터 유출로 이어질 수 있다는 우려가 커지고 있다.

카림 사덱 KPMG 캐나다 기술 리스크 파트너는 “기업이 최신 기술 도입을 서두르다 보니 직원들이 편의성과 속도를 이유로 외부 AI 비서를 찾게 된다”며 “이 과정에서 내부 정보가 무방비로 노출될 수 있다”고 지적했다.

실제 위험은 수치로도 나타난다. IBM과 포네몬연구소가 발표한 7월 보고서에 따르면, 조사 대상 기업의 20%가 섀도 AI 사용과 관련된 보안 사고를 경험했다고 응답했다. 이는 승인된 AI 도구 사용으로 인한 보안 사고보다 7%포인트 높은 수치다. 같은 보고서에 따르면 2024년 3월부터 2025년 2월까지 캐나다 내 데이터 유출 평균 비용은 698만 달러로 전년 대비 10.4% 증가했다.

AI 챗봇의 학습 방식도 위험 요인으로 꼽힌다. 로버트 팔존 체크포인트 소프트웨어 테크놀로지스 엔지니어링 총괄은 “많은 사용자가 간과하는 것은 챗봇과 주고받는 대화가 저장돼 도구 학습에 활용된다는 사실”이라며 “기밀 재무 자료나 독점 연구 데이터를 입력할 경우 외부인이 동일 주제로 질의했을 때 의도치 않게 해당 정보가 노출될 수 있다”고 경고했다.

전문가들은 기업이 이런 위험을 줄이려면 거버넌스 체계 마련이 필수라고 강조한다. 사덱 파트너는 “실패 원인은 기술이 아니라 거버넌스의 부재”라며 “법무·마케팅 등 여러 부서가 참여하는 AI 위원회를 구성해 도입 도구를 검토하고 윤리·보안·데이터 무결성 등 기준에 맞는 보호 장치를 마련해야 한다”고 제안했다.

보안 전략으로는 ‘제로 트러스트(Zero-Trust)’ 접근이 대표적이다. 팔존은 “승인되지 않은 기기·앱은 신뢰하지 않는다는 원칙 아래, 직원이 챗봇에 입력할 수 있는 데이터를 제한해야 한다”며 “이를 통해 사용자는 스스로 위험을 인식하고 동시에 시스템적 방어막을 갖출 수 있다”고 설명했다.

일부 기업은 자체 챗봇을 구축해 데이터를 내부에 보관하는 방안을 택하고 있다. 그러나 이 또한 만능은 아니다. 구엘프대학교의 알리 데간타냐 교수는 포춘 500대 기업 내부 챗봇 보안 점검에서 단 47분 만에 민감한 고객 정보에 접근했다고 밝혔다. 그는 “내부 챗봇이 조직 내 문서와 파트너 커뮤니케이션에 접근할 수 있는 만큼 보안·테스트 예산을 반드시 별도로 마련해야 한다”고 지적했다.

결국 기업은 AI를 막는 대신 관리하고 활용하는 방향으로 나아가야 한다는 데 전문가들은 입을 모은다. 팔존은 “직원들의 AI 사용을 단순히 금지할 수는 없다”며 “기업이 필요한 도구를 제공하는 동시에 데이터 유출을 방지하고, AI의 편익이 위험보다 크도록 만드는 것이 핵심”이라고 강조했다.
 

*City뉴스의 글을 번역,편집한 것입니다.