[컴퓨터월드] 인공지능(AI)은 이제 업무에 필요한 필수품이 되고 있다. 불과 몇 년 만에 문서 작성, 데이터 분석, 문제 해결, 의사 결정에 이르기까지 AI가 없는 업무는 상상하기 어려워졌다. 바야흐로 AI 기반 업무 시대다. 생산성 향상, 혁신을 촉진하는 도구 그리고 업무 환경 개선의 중심에는 AI가 있다.

그러나 모든 빛에는 그림자가 존재한다. AI 또한 마찬가지다. AI 도입이 급격하게 확산되면서 ‘섀도우 AI(Shadow AI)’의 위험이 증가하고 있다. 섀도우 AI란 공식 승인이나 감독 없이 AI 도구, 애플리케이션, 기능이 사용되는 현상이다. 작은 문제라고 생각할 수 있지만 기밀 데이터 유출, 기업 정책 위반 등 기업의 가치와 평판을 위협하는 심각한 위험을 초래할 수 있기 때문에 주의가 필요하다.

최고정보보호책임자(CISO)는 직원 교육, 모니터링, 필터링을 아우르는 강력한 관리 체계를 마련해 무단 AI 사용에 대한 위험을 줄이고 책임 있는 혁신 문화를 조성해야 한다.

그 첫걸음은 모든 유형의 섀도우 AI를 파악하는 것이다. 섀도우 AI는 다음과 같은 형태로 나타난다.

● 직원 섀도우 AI: 섀도우 AI 중 가장 흔한 유형으로, 직원이 업무와 무관한 개인 프로젝트에 생성형 AI를 사용하는 과정에서 발생한다. 이로 인해 승인되지 않은 외부 AI에 개인 식별 정보나 건강 정보와 같은 기밀·규제 대상 데이터가 유출될 수 있다.
● 개발자 섀도우 AI: 사내 개발자가 외부 오픈소스 AI 모델을 사용하는 과정에서 발생한다. 이는 기존 사이버보안 통제를 우회하는 경우가 많기 때문에 문제가 된다.
● 기술 공급업체 섀도우 AI: 기업용 소프트웨어 공급업체가 별도 고지 없이 제품에 새로운 AI 기능을 추가해, 조직의 공격 표면을 의도치 않게 확장하는 경우에 발생한다.
● 외부 공급업체 섀도우 AI: 파트너사 또는 계약업체가 보안 및 개인정보 보호 요구 사항을 준수하지 않고 AI 도구를 활용하는 경우에 발생한다.

섀도우 AI의 위협은 간과할 수 없는 수준에 이르렀다. 2025 가트너 AI 위험 관리 및 활용을 위한 사이버보안 혁신 설문조사(Gartner's 2025 Cybersecurity Innovations in AI Risk Management and Use Survey)에 따르면, 조직의 69%가 직원들이 허용되지 않은 생성형 AI 도구를 사용하고 있다고 의심하거나 확인한 것으로 나타났다. 또한 79%는 승인된 생성형 AI의 오용을 포착했으며, 52%는 직원들이 적절한 사이버보안 위험 평가 없이 맞춤형 생성형 AI 솔루션을 구축하는 것에 우려를 표했다.

상당수의 기업이 우려를 표한 것에 비해 강력한 예방 조치를 시행한 조직은 소수에 불과하다. 범용 생성형 AI를 전면 차단한 조직은 16%, 내장형 및 맞춤형 AI까지 차단한 조직은 9%에 그쳤다. 하지만 지나치게 엄격한 정책은 직원들이 보안망을 우회하거나 개인 기기로 AI를 사용하도록 유도하기 때문에, 민감한 기업 데이터 유출 위험을 도리어 높일 수 있다.

따라서 선제적이고 포괄적인 위험 관리 전략을 마련해야 한다. CISO는 AI 활용의 가치와 섀도우 AI의 위험을 균형 있게 관리하기 위해 무단 AI 사용을 식별하고 모니터링하는 데 초점을 맞춰야 한다. 특히, 데이터를 공유할 위험이 큰 비인가 생성형 AI 도구 사용에 주목해야 한다.

섀도우 AI를 효과적으로 관리하기 위한 방안

효과적인 정책 수립을 위해서는 직원들과 직접 소통해 직원들의 목표, 공유하는 데이터 유형, 기술을 파악해야 한다. 또한 AI와 데이터를 안전하게 활용하기 위한 명확하고 실용적인 지침을 마련하는 것이 필요하다. 여기에는 △비인가 AI에 대한 기밀·규제 대상 데이터 공유 제한 △데이터 재사용 지양 △AI 결과물 활용 전 유효성 검증 △출처 표기를 통한 투명성 확보가 포함된다.

비즈니스 목표를 뒷받침하기 위한 AI 사이버보안 인프라도 재정립하는 것이 좋다. 비즈니스 요구와 위험 우선순위에 맞춰 정책을 설계하고, 민감한 데이터가 포함된 경우 기업용 AI 라이선스나 내부 챗봇과 같은 유연한 옵션을 제공해야 한다.

섀도우 AI를 효과적으로 관리하려면 가시성·제어·교육에 대한 균형 잡힌 접근이 필요하다. 먼저 웹 기반 모니터링, 데이터 유출 방지, AI 사용 제어 기술 등 보안 통제 체계를 구축해 AI 활동을 탐지하고 관리하는 기술적 제어를 마련한다. 그 이후 이를 직원 교육, 지원 커뮤니티, 비차단형 통제 기능과 결합해야 한다. 비차단형 통제는 단순히 접근이나 사용을 차단하는 것이 아니라, 스플래시 페이지나 실시간 코칭과 같이 사용자에게 경고하거나 올바른 사용법을 안내하는 통제 방식을 의미한다.

이러한 통합적 접근을 통해 직원의 위험 인식을 높이고 행동 개선을 유도해, AI의 이점을 활용하면서도 핵심 자산을 보호할 수 있다.

결국 안전한 AI 문화는 개방적이고 투명한 커뮤니티 조성에 달려 있다. 처벌 중심의 정책은 직원으로 하여금 AI를 더욱 은밀하게 사용하도록 만들어 위험 파악을 어렵게 할 수 있기에, 지원 중심의 문화를 조성하는 것이 중요하다. 직원들이 모든 AI 사용 사례를 공유하도록 장려한다면 혁신 사례와 위험 사례를 더욱 신속하게 파악하고 대응할 수 있다.

이처럼 AI 사용을 섀도우에서 끌어내 표면 위로 드러내면 CISO는 직원들이 안전하고 책임감 있게 혁신을 이룰 수 있도록 지원할 수 있다. 이 외에도 AI 사용이 어렵거나 서툰 직원을 위해 전문 용어를 배제한 실용적이고 쉬운 AI 활용 교육을 해야한다 이는 AI 리터러시를 높이고 기존 데이터 거버넌스 리소스를 활용한 안전한 AI 활용을 독려한다.

AI의 존재감이 커질수록 그 뒷면의 그림자 또한 커진다. 조직이 불필요한 위험을 감수하지 않고 혁신을 지속하기 위해서는 섀도우 AI를 식별, 분류, 표면화할 수 있는 전략을 수립해야 한다. 무조건적인 제한, 금지가 아니라 유연한 통제, 지속적 감독, 권한 부여를 균형 있게 조합한다면, 숨겨진 AI 리스크를 제거하고 AI의 비즈니스 잠재력을 최대로 끌어올리며 안전하게 활용할 수 있다. 나중은 너무 늦다. 숨어 있는 섀도우 AI를 올바르게 관리할 수 있는 때는 바로 지금이다.