AI 보안 업체 칼립소AI(CalypsoAI)가 발표한 ‘인사이더 AI 위협 보고서(Insider AI Threat Report)’에 따르면, 미국 기업에서 AI 활용과 오·남용이 C레벨 경영진을 포함한 전 직급에 걸쳐 확산하고 있다. 이번 조사는 리서치 기관 센서스와이드(Censuswide)가 지난 6월에 진행했으며, 25세에서 65세 사이의 미국 정규직 사무직 노동자 1,002명을 대상으로 실시됐다.
보고서에 따르면, 임원 절반(50%)은 사람보다 AI 기반 관리 시스템을 선호한다고 답했다. 그러나 34%는 AI 에이전트와 실제 직원을 구분할 수 있는지 확신하지 못한다고 응답했다. 비즈니스 책임자의 38%는 AI 에이전트가 무엇인지조차 모른다고 답했다. 이는 모든 직무 가운데 가장 높은 비율이다. 또한 35%의 경영진은 AI가 업무를 수행하도록 하기 위해 자사 기밀 정보를 입력한 경험이 있다고 밝혔다.
칼립소AI 보고서 집필팀은 “오늘날 기업 내부의 숨겨진 현실은 모든 직급의 직원이 죄책감이나 주저함, 감독 없이 AI 도구를 잘못 활용하고 있다는 점”이라고 지적했다.
“정책 위반하더라도 AI 활용하겠다”
미국 노동자 1,000명 이상을 대상으로 한 이번 조사에서 전체 직원의 45%는 동료보다 AI를 더 신뢰한다고 답했다. 또, 52%는 회사 정책을 위반하더라도 업무를 더 쉽게 하기 위해 AI를 활용하겠다고 응답했으며, 67% 임원도 규정을 어기더라도 AI를 사용할 의향이 있다고 밝혔다.
칼립소AI는 이런 오남용이 “고도로 규제된 산업”에까지 확산하고 있다며, 구체적인 사례를 소개했다.
- - 금융 산업 종사자 60%는 AI 관련 규정을 위반한 적이 있다고 인정했으며, 추가로 1/3은 제한된 데이터에 접근하기 위해 AI를 활용했다고 답했다.
- - 보안 산업 종사자 42%는 정책을 위반하면서도 의도적으로 AI를 사용했다고 밝혔고, 58%는 동료보다 AI를 더 신뢰한다고 응답했다.
- - 헬스케어 산업에서는 55%만이 자사 AI 정책을 따르고 있으며, 27%는 ‘인간 상사보다 AI에 보고하는 것이 낫다’라고 답했다.
이번 조사의 배경에 대해 칼립소AI의 CEO 돈카 케이시는 “기업 내부에서 AI 도입이 실제로 어떻게 이뤄지고 있는지 구체적인 데이터를 확보하고 싶었다. 외부 위협이 주목받기 쉽지만, 실제로 더 즉각적이고 빠르게 커지는 위험은 내부에 있다. 모든 직급의 직원이 감독 없이 AI를 사용하고 있으며, 칼립소AI의 고객들은 이미 이런 위험이 커지고 있다고 전한다. 이번 연구가 이를 확인해준다”라고 이메일 답변을 통해 밝혔다.
‘섀도우 AI’, 새로운 섀도우 IT가 되다
케이시는 이번 조사 결과와 관련해 “섀도우 AI가 이제 새로운 섀도우 IT로 부상했다”라고 말했다. 특히 경영진의 AI 활용 습관을 두고 “경영진이 이렇게 빠른 속도로 자사 규정을 우회하고 있다는 사실은 놀라운 결과였다”라고 설명했다.
케이시는 “기준을 세워야 하는 고위 임원이 실제로 위험한 행태를 주도하고 있다. 일부는 보안을 담당하는 팀이 대응하기도 전에 AI 도구와 에이전트를 업무에 도입한다. 이런 패턴은 산업 전반에서 동일하게 나타난다. 이는 거버넌스 문제인 동시에 리더십 과제이기도 하다”라고 지적했다.
인포테크 리서치 그룹(Info-Tech Research Group)의 기술 자문가 저스틴 생모리스는 “섀도우 AI는 이제 새로운 섀도우 IT가 됐다. 직원은 실제 업무를 처리하기 위해 승인되지 않은 도구를 사용하고 있다. 이는 AI가 직원이 체감하는 2가지 이점을 제공하기 때문이다. 반복적이고 지루한 업무를 덜어내는 인지적 오프로드(cognitive offload)와 더 빠르게 사고·작성·분석할 수 있도록 돕는 인지적 증강(cognitive augmentation)이다”라고 말했다.
생모리스는 “칼립소AI의 보고서는 이런 끌림이 얼마나 강력한지 보여준다. 데이터에 따르면 노동자 절반 이상은 기업 정책이 금지하더라도 AI를 사용하겠다고 답했다. 또, 1/3은 이미 민감한 문서에 AI를 활용했다고 밝혔으며, 조사 대상 보안팀의 절반 가까이는 자사 기밀 자료를 공개형 도구에 붙여넣은 경험이 있다고 인정했다. 이런 문제는 거버넌스와 지원 체계가 직원의 실제 업무 방식보다 뒤처진 데서 비롯된 것”이라고 전했다.
이어 “관리되지 않는 모든 프롬프트는 지식재산, 기업 전략, 민감한 계약, 고객 데이터가 외부로 유출되는 결과를 초래할 수 있다. IT 부서가 AI 서비스를 차단하면 직원은 오히려 더 깊이 숨어들어 다른 우회 방법을 찾으려 할 것이다. 현실적인 해결책은 체계적인 활용 지원이다”라고 설명했다.
생모리스는 “적절한 전략은 승인된 AI 게이트웨이를 제공하고 이를 사용자 신원과 연동하며, 프롬프트와 결과를 기록하고 민감한 항목은 마스킹 처리하는 것이다. 여기에 직원이 기억할 수 있는 명확하고 단순한 규칙 몇 가지를 제시해야 한다. 역할 기반의 짧은 교육과 승인된 모델 및 활용례 카탈로그를 함께 제공하면, 직원은 안전한 환경에서 동일한 효율성을 얻을 수 있다”라고 조언했다.
케이시 역시 이에 동의하며, 무단 AI 사용 문제를 해결하기 위한 모든 해법은 사람과 기술 두 측면을 모두 고려해야 한다고 강조했다.
케이시는 “많은 기업이 처음에는 AI를 전면 차단하는 방식을 택하지만, 이는 비생산적이다. 직원은 AI의 효율성을 얻기 위해 결국 규정을 우회하려 들기 때문이다. 더 나은 접근 방식은 조직 전반에 AI 접근 권한을 제공하되, 이를 모니터링하고 통제해 정책에서 벗어나는 행동이 나타날 때 개입하는 것”이라고 설명했다.
케이시는 “기업은 명확하고 집행 가능한 정책을 마련하고, 어디서든 발생하는 AI 활동을 보호할 수 있는 실시간 통제 장치를 갖춰야 한다. 여기에는 대규모로 운영되며 민감한 데이터에 접근할 수 있는 업무용 AI 에이전트에 대한 감독도 포함된다. AI가 실제로 배치돼 업무를 수행하는 지점을 안전하게 관리해야 가시성과 통제력을 잃지 않으면서 AI 활용을 허용할 수 있다”라고 덧붙였다.
dl-itworldkorea@foundryco.com
Paul Barker editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
