직장 곳곳에서 직원들이 AI를 몰래 활용하는 사례가 늘고 있다. 보안과 규제 위반 위험이 뒤따르지만, 기업이 명확한 가드레일을 마련한다면 섀도우 AI를 새로운 경쟁 우위로 전환할 수 있다는 분석이 나온다.
직원이 법적 정보, 금융 데이터, 민감한 코드를 AI와 공유하는 데 따르는 ‘섀도우 AI’ 리스크는 결코 과소평가할 수 없다.
한 번의 데이터 유출만으로도 컴플라이언스 위반, 핵심 지식재산권 손실, 대외 신뢰도 하락이 발생할 수 있다. 그럼에도 불구하고 최근 매니지엔진(ManageEngine) 조사에 따르면 미국과 캐나다 직장인들은 섀도우 AI에 대해 크게 우려하지 않는 것으로 나타났다.
조사에 참여한 직원의 91%는 섀도우 AI에 리스크가 없거나, 있더라도 보상 효과가 더 크다고 인식하고 있었다. 더 우려스러운 점은 직원 3분의 1 이상이 승인받지 않은 AI 도구에 민감한 정보를 입력한 경험이 있다고 인정했다는 것이다.
섀도우 AI에 데이터를 입력한 직원들은 대부분 비공개 제품 정보(32%), 기밀 고객 정보(33%), 전략이나 재무와 관련된 내부 문서(37%)를 공유했다고 밝혔다. 이 같은 민감한 데이터가 조직 밖으로 유출될 경우 피해는 치명적이고 장기적일 수 있다.
빠르게 확산되는 섀도우 AI
미국과 캐나다 기업의 IT 의사결정권자 350명과 직원 350명을 대상으로 한 해당 조사에 따르면, 섀도우 AI 사용은 뚜렷한 증가세를 보이고 있다. 응답자의 93%가 기업 승인 없이 생성형 AI 도구에 데이터를 입력한 경험이 있다고 밝혔으며, 60%는 1년 전보다 승인받지 않은 AI 도구를 더 자주 사용하고 있다고 답했다.
이는 다시 말해 IT 의사결정권자와 직장인 모두 섀도우 AI 사용이 증가하고 있다고 인식하고 있음을 의미한다. 북미 지역 IT 의사결정권자의 70%는 조직 내에서 승인받지 않은 AI 사용을 확인했으며 미국 직원의 82%는 동료가 무단으로 AI 도구를 사용하는 것을 알고 있다고 언급했다.
승인받지 않은 AI 도구를 사용하는 이유는 다양했다. 주요 사용례는 회의 및 통화 요약(56%), 이어 아이디어 브레인스토밍(55%), 데이터 및 보고서 분석(47%), 이메일·문서 작성 및 편집(47%), 고객 대상 콘텐츠 생성(34%) 등이 언급됐다.
이 같은 섀도우 AI 사용 증가 추세는 조직 내 보안 우려를 보여줄 뿐만 아니라, 적절한 거버넌스가 전반적으로 부족하다는 사실도 드러내고 있다.
거버넌스 우려와 리더십의 사각지대
91%의 직원이 섀도우 AI 사용에 위험이 거의 없다고 보는 것과 달리, IT 의사결정권자의 97%는 섀도우 AI가 기업에 심각한 위협을 초래한다고 인식하고 있다. 이 가운데 63%는 데이터 유출 가능성을 가장 큰 리스크로 꼽았으며, 그 외에도 환각, 차별, 설명 불가능성 등이 주요 문제로 지적됐다.
IT 의사결정권자들은 직원 사용을 위해 생성형 텍스트 도구(73%), AI 글쓰기 도구(60%), 코드 어시스턴트(59%) 등 일부 AI 도구 사용을 승인했지만, 섀도우 AI 거버넌스에 대해서는 뒤늦게 대응하며 꾸준히 발생하는 문제를 해결하는 데 급급한 상황이다.
IT 의사결정권자의 85%는 직원이 IT 부서의 평가 속도보다 더 빠르게 AI를 도입하고 있다고 답했으며, 절반 이상(53%)은 직원들이 개인 기기를 활용해 업무 관련 AI 작업을 수행하는 것이 조직 보안에 사각지대를 만든다고 우려했다. 이런 불안정한 상황을 고려할 때, 기업은 명확하고 강제력 있는 AI 거버넌스 정책을 마련해야 한다. 그러나 실제로 이를 효과적으로 운영하는 곳은 많지 않았다. 무단 AI 사용과 관련된 자사 정책이 효과적이라고 답한 IT 의사결정권자는 54%에 불과했다.
통제자에서 지원자로, IT 부서의 역할 전환
이번 조사가 섀도우 AI 확산과 그에 따른 보안 리스크를 강조했지만, 동시에 잠재적 기회도 존재함을 보여준다. 특히 생성형 AI가 올바르게 도입될 경우 기업에 전략적 우위를 제공할 가능성이 높아진다. IT 부서가 투명하고 협력적이며 안전한 AI 생태계를 구축하면 직원들은 더 빠르고 효율적으로 업무를 수행할 수 있고, 동시에 민감한 데이터를 보호하며 데이터 유출과 컴플라이언스 위반 위험을 최소화할 수 있다.
첫 번째 단계는 직원들이 생성형 AI 도구를 어떻게 사용하고 있는지 파악하는 일이다. 사용 패턴을 확인한 뒤에는 공식 승인 도구 목록을 마련해야 한다. 이후 벤더 검증 과정에서는 강력한 보안, 데이터 통제, 컴플라이언스 요건을 갖춘 클라우드 기반 AI 도구의 API 연계 방식을 고려할 수 있다.
또 다른 방법은 소규모 조직에는 비용 부담이 클 수 있지만, 자체 사내 AI 스택을 구축하는 것이다. 일부 기업은 앤트로픽(Anthropic), 오픈AI(OpenAI), 메타(Meta, Llama), 딥시크(DeepSeek)와 같은 오픈소스 모델을 기반으로 맞춤형 사내 모델을 만들고, 여기에 검색 증강 생성(RAG, Retrieval-Augmented Generation) 기법을 접목해 성능을 강화하기도 한다. 이런 방식을 택하면 모든 민감한 기업 데이터가 네트워크 내부에 안전하게 보관될 수 있다.
직원들의 AI 사용 현황을 파악하고 벤더 검증을 거쳐 모델을 가동하기 시작했다면, 그다음 단계는 가드레일을 마련해야 한다. 이를 위해서는 모델 출력 결과를 점검하고, 역할 기반 접근 제어를 설정하며, 비인가 접근을 실시간으로 탐지해 차단하는 체계가 필요하다.
IT 부서와 최고경영진 간의 인식 격차 해소
조직 전반에서 AI 활용에 대한 공통된 인식과 방향성을 확립하려면 모든 구성원이 같은 이해를 공유해야 한다. 하지만 현실은 그렇지 않은 경우가 많다. 조사에 따르면 직원의 90%는 비공식 AI 도구가 데이터를 안전하게 보호한다고 믿고 있으며, 50%는 승인받지 않은 도구 사용에 위험이 거의 없다고 생각하고 있다.
따라서 승인받지 않은 AI 도구 사용에 내재된 위험을 직원들에게 교육하기 위한 AI 교육 프로그램이 필요하다. 아울러 직원들이 새로운 AI 도구를 시험해볼 수 있는 AI 샌드박스 환경을 마련하고, 생성형 AI 모범 사례를 따르는 직원을 보상하는 제도도 고려할 만하다.
또한 조사에 의하면, 타 부서 최고경영진이 섀도우 AI의 위험을 충분히 이해하고 있다고 평가한 IT 의사결정권자는 31%에 불과했다. 이는 곧 최고경영진 역시 교육이 필요하다는 사실을 보여준다. 현재 IT 부서와 다른 임원진 사이의 이 같은 격차는 거버넌스 공백을 초래하고 있다. 다시 말해 조직 전체가 같은 이해 수준을 공유해야 하는 상황이다.
핵심은 섀도우 AI가 다양한 위협을 안고 있으며, 그중에서도 민감한 데이터를 노출시킬 위험이 가장 크다는 점이다. 매니지엔진 조사에 따르면 직원의 32%가 회사 승인 없이 기밀 고객 데이터를 AI 도구에 입력했으며, 또 다른 37%는 사내 전략·재무 등 내부 데이터를 입력했다고 밝혔다.
위험은 분명 존재하지만, 동시에 기회 또한 뚜렷하다. IT 리더가 방어적 대응에 머무르지 않고 직원들이 안심하고 활용할 수 있는 AI 생태계를 구축한다면 기업은 전략적 우위를 확보할 수 있다.
dl-ciokorea@foundryco.com
