[AI 시대, 너무 쉬워지는 해킹] 〈하〉 커지는 ‘섀도 AI’ 리스크 자체 개발 AI 있어도 외부 AI 활용… 기업 83% “사전에 탐지 자신 없어” ‘AI 이용 코딩’도 보안 허점 원인… “가이드라인 꾸준히 인식 시켜야”
광고 로드중
“회사에서는 자체 개발한 인공지능(AI)만 사용하는 것이 원칙인데 제 업무가 신사업 발굴, 보고서 작성이다 보니 솔직히 다른 AI의 도움이 많이 필요합니다.”
국내 주요 대기업에서 근무하는 A 씨는 회사 내 신사업 발굴팀에 소속돼 있다. 회사에서 개발한 자체 AI가 있지만 필요한 외부 자료를 검색하는 데 한계가 있어 그는 보고서의 질을 끌어올리기 위해 주로 챗GPT를 사용하고 있다. 회사의 원칙상 내부망과 외부망이 철저히 분리된 망분리 시스템으로 데이터를 보호하고 있지만 A 씨뿐만 아니라 여러 직원들이 시스템을 우회해 공공연히 외부 AI를 쓰는 형편이다.
AI를 업무에 활용하는 빈도가 늘어나며 A 씨처럼 회사의 보안 원칙을 피해 AI를 활용하는 이른바 ‘섀도 AI’ 이슈가 보안 업계에 화두로 떠오르고 있다. 직원들이 보안 부서의 정식 허가를 받지 않고 AI를 사용하면서 의도치 않게 회사의 주요 기밀정보가 밖으로 새어 나갈 수 있는 만큼 기업들에는 새로운 위협으로 부상하고 있다.
광고 로드중
하지만 이 같은 철저한 관리에도 수백∼수천 명의 직원이 있는 대기업에서 일일이 직원 개인이 사용하는 AI를 확인하기란 현실적으로 불가능하다. 전 세계 30개국 8000명의 보안 리더를 대상으로 조사한 시스코의 ‘2025 사이버보안 준비 지수’ 보고서에 따르면 83%의 기업은 섀도 AI를 탐지하는 것에 ‘자신이 없다’고 응답했으며, 79%는 ‘실제 섀도 AI의 사용 현황을 제대로 인지하지 못하고 있다’고 답했다.
섀도 AI로 인한 보안 사각지대는 실제 기업 피해로도 이어진다. IBM이 최근 발표한 ‘2025년 데이터 유출 비용 보고서’에 따르면 조사에 참여한 600개 기업 중 20%는 섀도 AI로 인해 정보 유출을 경험했다고 답했다. 조사에 참여한 기업들은 유출된 데이터로 인해 발생한 금전적 피해가 평균 20만321달러(약 2억8000만 원)였으며, 섀도 AI 사고 시 다른 보안 사고 대비 피해 대응 기간 역시 10일가량이 더 소요됐다고 전했다.
● ‘코딩 AI’ 활용하다 해킹 표적 되기도
보안 업계에서는 AI의 대중화로 섀도 AI, 바이브 코딩 등 새로운 보안 위협이 발생하고 있는 만큼 ‘AI 거버넌스 정책’을 제대로 정립하는 것이 중요하다고 강조한다. 임종인 고려대 정보보호학과 명예교수는 “생성형 AI의 사용을 막기란 현실적으로 불가능하기 때문에 내부 직원들에게 AI 사용 가이드라인 등을 꾸준히 인식시키는 게 중요하다”고 했다. 한 대기업 보안 전문가는 “AI로 프로그래밍의 장벽이 낮아진 것은 긍정적이지만 반드시 보안 검증을 거쳐야 기업과 프로그램 사용자 모두 사이버 위협으로부터 안전할 수 있다”고 했다.
광고 로드중
최지원 기자 jwchoi@donga.com
장은지 기자 jej@donga.com
김하경 기자 whatsup@donga.com