한 대형 금융기관의 직원들이 주간 보고서 작성 같이 시간이 많이 드는 작업을 자동화하기 위해 AI 도구를 개발하기 시작했다. 이들 직원은 무엇이 잘못될 수 있다는 생각은 하지 않았다. 몇 달 만에 승인되지 않은 앱이 몇 개에서 65개로 급증했다. 문제는 이 모든 AI 앱이 민감한 기업 데이터, 심지어 개인 정보까지 학습한다는 것이다.

어떤 팀은 복잡한 데이터 시각화를 간소화하기 위해 챗GPT를 기반으로 한 섀도우 AI 솔루션을 사용했다. 이 때문에 회사의 지적 재산이 공개 모델에 노출됐다. 물론, 컴플라이언스 담당자는 잠재적인 데이터 유출과 규제 위반에 대해 경보를 울렸다. (왜 이런 사람들은 이런 일이 일어나기 전에 막지 않고, 일이 일어난 후에야 나타나는 것일까?)

경영진은 중앙 집중식 AI 거버넌스의 필요성을 깨달았다. 포괄적인 감사를 실시하고, 직원들이 승인된 AI 도구를 활용할 수 있도록 하면서 위험을 완화하는 것을 목표로 책임감 있는 AI 담당 부서를 설립했다. 너무 늦은 것일까?

섀도우 AI 앱의 위험성

클라우드 보안 관리자는 섀도우 AI가 증가하면서 더 많은 어려움을 겪고 있다. 직원들은 과중한 업무량과 촉박한 마감 기한의 압박에 시달리다 보니, IT 부서의 승인이나 감독 없이 AI 앱을 활용한다. 하지만, 섀도우 AI가 보안에 미치는 영향은 심각하고 도전적이다. 섀도우 AI는 신중하게 구축한 보안 경계에 근본적인 문제를 야기한다. 기업은 생성형 AI와 챗GPT의 출현 이후 AI 사용에 관한 다소 제한적인 정책을 개발했다. 짐작하겠지만, 이로 인해 애플리케이션이 뒤죽박죽이 되고 심각한 보안 위험이 발생할 수 있다.

최근 조사 결과에 따르면, 이미 1만 2,000개 이상의 이런 앱이 확인됐으며, 매일 50개의 새로운 앱이 등장하고 있다. 이런 도구 중 상당수가 기존의 보안 프로토콜을 우회한다는 사실이 우려스럽다. 보안 관리자가 이런 도구 대부분을 인식하지 못하고 있으며, 앞으로도 인식하지 못할 가능성이 높다. 필자가 참여하는 보안 감사에서는 위협의 약 75%가 누락된다는 결론을 내리는 경우가 많다. 이런 섀도우 AI 앱이 클라우드 시스템에서 또는 그 주변에서 실행되는 경우가 많다는 점을 고려하면, 문제는 더욱 심각해진다. 클라우드 배포는 훨씬 더 복잡하며, 노출이 클라우드 서비스 업체를 대상으로 한다는 점을 생각하면 더욱 그렇다.

이런 승인되지 않은 앱은 가장 교육 수준이 높은 보안 관리자조차 알 수 없는 중대한 위험을 초래한다. 무엇보다도 먼저 데이터 유출의 위협이 있다. 직원이 검증되지 않은 AI 앱에 민감한 회사 정보를 입력하면, 이 데이터가 잠재적인 유출 대상이 된다. AI 앱만이 아니다. 데이터가 종종 원격 서버로 전송되는데, 많은 경우 해외 서버로 전송된다.

또 다른 위험은 오픈AI의 챗GPT나 구글의 제미나이를 활용하는 것과 같은 많은 섀도우 AI 도구가 모든 데이터를 학습한다는 것이다. 이는 독점적 또는 민감한 데이터가 공개 도메인 모델과 혼합될 수 있음을 의미한다. 또한, 섀도우 AI 앱은 규정 위반으로 이어질 수 있다. 기업이 데이터가 사용되는 위치와 방식을 엄격하게 통제하는 것은 매우 중요하다. 규제 프레임워크는 엄격한 요구 사항을 부과할 뿐만 아니라 잘못 취급될 경우 기업의 평판을 해칠 수 있는 민감한 데이터를 보호하는 역할도 한다.

클라우드 컴퓨팅 보안 관리자는 이런 위험을 알고 있다. 그러나 섀도우 AI를 막기 위한 도구는 매우 부족하다. 기존의 보안 프레임워크는 비승인 AI 앱이 배포되는 빠르고 즉각적인 특성을 처리할 수 있는 역량이 부족하다. AI 애플리케이션이 변화함에 따라 위협 벡터도 변화하고 있으며, 이는 도구가 다양한 위협을 해결할 수 없다는 것을 의미한다.

직원의 참여 유도

책임 있는 AI 담당 부서를 만드는 것은 거버넌스 모델에서 중요한 역할을 할 수 있다. 이 부서에는 기업의 모든 측면이 AI 도구에 관한 의사 결정에 참여할 수 있도록 IT, 보안, 법률, 규정 준수 및 인사 담당자가 포함되어야 한다. 이런 협력적 접근 방식은 섀도우 AI 앱과 관련된 위험을 완화하는 데 도움이 된다. 직원들이 안전하고 승인된 도구를 사용하도록 하자. AI를 금지하지 말고, 안전하게 사용하는 방법을 교육해야 한다. 실제로, “모든 도구를 금지하는” 접근 방식은 결코 효과가 없다. 사기를 떨어뜨리고, 이직률을 높이며, 심지어 법적 또는 인사 문제를 야기할 수도 있다.

해야 할 것은 명확하다. 클라우드 보안 관리자는 섀도우 AI 문제를 선제적으로 해결해야 한다. 여기에는 기업 내의 현재 AI 사용 현황을 감사하고, 네트워크 트래픽과 데이터 흐름을 지속적으로 모니터링해 비승인 도구 배포의 징후가 있는지 확인하는 것이 포함된다.

AI 담당 경찰을 만드는 것이라고 볼 수 있다. 하지만, 여기저기 돌아다니면서 사람들을 비난하거나 클라우드 서비스 업체가 직원들을 비난하게 하는 역할을 하지는 않는다. 이 문제는 직원의 생산성을 높이고 해고되는 것을 두려워하지 않도록 하는 적극적인 교육 프로그램으로만 해결할 수 있다.

섀도우 AI는 새로 등장한 유행어지만, 클라우드 보안 관리자에게는 점점 더 커지는 문제이기도 하다. 이런 비승인 AI 앱에 대한 적절한 방어책이 부족하다는 것이 가장 큰 문제다. 그러나 기업은 중앙 집중식 거버넌스, 교육, 사전 예방적 모니터링을 통해 이 새로운 환경을 탐색하면서 AI 기술의 이점을 누릴 수 있다. 우리는 이 문제를 현명하게 해결해야 한다.
dl-itworldkorea@foundryco.com