【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]“회사 몰래 쓰는 AI가 제맛?”...내부 정보 통제 새로운 변수 ‘쉐도우AI’

온카뱅크관리자

2026-05-30 05:47:31

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="7uQmFW1yhn">
 <figure class="figure_frm origin_fig" contents-hash="df4b5890e9aedf84b51dbca189afe7bf65b817c1928422ea93bdc6b8f0838c56" dmcf-pid="z7xs3YtWvi" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/30/552796-pzfp7fF/20260530053939914sdxb.png" data-org-width="640" dmcf-mid="uy0eOAmjhL" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/30/552796-pzfp7fF/20260530053939914sdxb.png" width="658">
 </figure>
 [디지털데일리 오병훈기자] #A사 신입 사원은 회의록을 정리하기 위해 회사 승인 없이 외부 AI 서비스에 내부 회의 녹취록 분석을 맡겼다.
 #같은 시각 개발자는 새 코드를 빠르게 짜기 위해 검증되지 않은 AI 코딩 도구와 브라우저 확장 프로그램을 업무용 PC에 설치했다. 
 통제를 벗어난 AI 사용, 이른바 ‘쉐도우AI’ 문제가 기업 보안 전략의 핵심 변수로 떠오르고 있다.
 가트너가 지난 25일 공개한 보고서 ‘엄격한 엔드포인트 애플리케이션(앱) 통제를 요구하는 쉐도우 AI’는 기업 AI 활용 확산이 기존 보안 통제 체계를 흔들고 있다고 진단했다. AI 도입은 대다수 조직에서 최우선 과제로 부상했지만, 직원들의 실제 사용 속도는 기업의 도구 사용 승인 절차보다 빠르다는 것이 보고서 분석이다.
 문서 작성, 번역, 회의 정리, 자료 조사, 코드 작성 등 반복 업무를 줄이려는 수요가 커지면서 현업 직원들은 승인된 도구가 불편하다고 느낄 경우 외부 AI 서비스를 직접 찾게 된다는 것이다.
 가트너가 실시한 ‘2025년 AI 리스크 관리 및 활용 관련 사이버보안 혁신 조사’에서 총 302명의 사이버보안 리더조직 중 69%는 직원들이 금지된 공개 생성형 AI 서비스를 사용하고 있다고 의심하거나 실제로 사용하고 있다는 근거를 확보한 것으로 나타났다. 직원들이 비인가 AI를 쓰는 배경에는 생산성 향상 욕구, 시간 절감, 기존 승인 도구에 대한 불만, 새로운 도구를 놓치지 않으려는 심리 등이 원인으로 지목됐다.
 문제는 쉐도우 AI가 기존 기업 보안 통제 밖에서 작동하는 경우가 많다는 점이다. 기업 보안은 그동안 업무용 단말, 서버, 네트워크, 계정, 클라우드 등을 중심으로 설계됐다. 그러나 AI 도구가 업무 환경 안으로 들어오면서 공격 표면은 AI 서비스, AI 브라우저, AI 에이전트, 브라우저 확장 기능, 개발 도구 생태계까지 넓어지고 있는 추세다.
 예컨대 직원이 회사 기밀문서나 고객정보를 외부 AI 서비스에 입력할 경우 기업은 데이터가 어디로 흘러가는지 추적하기 어렵다. 또 개인 계정으로 업무용 기기에서 AI 서비스를 이용했다가 문제가 발생했을 때는 책임 소재를 모호하게 만들 수 있다.
 가트너는 조직 관리 단말에서 나타나는 쉐도우 AI를 세 가지 유형으로 나눴다. 첫째는 ‘일반 직원의 쉐도우 AI’다. 이는 가장 넓은 범위에서 발생하는 유형이다. 직원들은 챗GPT나 클로드 같은 AI 비서, 퍼플렉시티 코멧이나 챗GPT 아틀라스 같은 AI 브라우저 등을 개인 업무에 사용할 수 있다. 이 과정에서 기밀정보와 규제 대상 데이터가 라이선스가 없거나 조직이 통제하지 않는 외부 AI 도구로 흘러 들어갈 수 있다.
 둘째는 ‘개발자 쉐도우 AI’다. 일반 직원 사용보다 덜 눈에 띄지만 위험도는 더 높다. 개발자는 최신 AI 코딩 도구와 코딩 어시스턴트를 빠르게 시험한다. 클로드 코드, 깃허브 코파일럿 등 AI코딩 에이전트 뿐 아니라 모델 콘택스트 프로토콜(MCP) 서버, 코드 패키지, 브라우저 확장 기능 등이 기업 공식 저장소 밖에서 유입될 수 있다. 일부는 개발자가 직접 설치하고 일부는 AI 코딩 어시스턴트를 통해 자동으로 설치될 수도 있다. 이 경우 보안팀의 소프트웨어 공급망 보안 업무를 복잡하게 만든다.
 셋째는 ‘기술 공급자발 쉐도우 AI’다. AI는 더 이상 별도 AI 서비스에만 머물지 않는다. 고객관리시스템(CRM), 커뮤니케이션 도구, 글쓰기 보조 도구 등 기존 업무용 앱에도 AI 기능과 에이전트 자동화가 포함되고 있다. 표준 소프트웨어 업데이트 과정에서 AI 기능이 조용히 추가되는 사례도 있다.
 쉐도우 AI 위험은 단순한 정보 입력 실수에 그치지 않는다. 최근에 개발된 AI 에이전트는 일정 수준 자율성을 갖기 때문에 자동화 흐름을 가로채는 외부 공격에 취약할 수 있다. 악성 지시문이 프롬프트, 데이터, 파일, 외부 도구 접근 경로에 주입되면 에이전트가 원래 목적과 다른 행동을 할 수 있다.
 악성 지시가 에이전트 메모리나 데이터베이스, 스킬, 손상된 도구 안에 저장될 경우 잘못된 동작이 반복될 수 있다는 것이 보고서 경고다. 또 정상 소프트웨어로 위장한 가짜 AI 앱도 기업 단말 보안에 새로운 위협이된다.
 보고서는 AI 접근 권한에 대한 체계적인 개편이 필수적이라고 진단하고 있다. 과거에는 직원이 필요에 따라 다양한 앱을 설치하거나 관리자 권한을 비교적 자유롭게 사용하는 관행이 남아 있었다. 그러나 AI 도구가 민감 데이터와 계정정보에 접근하는 통로가 되면서 이런 관행은 기업 보안에 직접적인 위험이 됐다. 조직 차원의 앱 통제와 관리자 권한 관리가 없을 경우 기업은 승인되지 않은 AI 서비스에 회사 계정정보와 민감정보를 잃을 수 있다는 경고다.
 보고서가 제시하는 해법은 ‘AI 전면 금지’가 아니다. 쉐도우 AI 대응에서 흔한 오류 두 가지를 지적했다. 하나는 AI 사용 정책만 정해놓고 실제 집행 가능한 보안 통제를 마련하지 않는 방식이다. 다른 하나는 안전한 대체 도구를 제공하지 않은 채 AI 사용을 무조건 금지하는 방식이다.
 전자는 정책이 선언에 그칠 가능성이 크고, 후자는 현업이 더 은밀하게 외부 AI 도구를 쓰도록 만들 수 있다는 지적이다. 권한 관리, 네트워크 보안, 계정 보안, AI 사용 통제, 직원 교육 등을 종합해 생산성과 보안 사이에서 균형점을 찾아야 한다는 설명이다.
 첫번째 대응책은 직원들이 자연스럽게 승인된 AI 도구를 활용할 수 있는 환경을 마련하는 것이다. 직원이 새로운 AI 서비스를 쓰고자 할 때 복잡한 우회 절차를 밟게 하는 대신 조직이 승인한 AI 도구를 빠르게 도입하거나 신규 서비스 접근을 공식 요청할 수 있는 투명하고 간소한 절차를 마련해야 한다. 현업 입장에서 공식 절차가 가장 빠르고 편리해야 쉐도우 AI 사용을 줄일 수 있다는 분석이다.
 두번째는 AI 사용 기준을 구체적으로 알리는 일이다. 어떤 AI 공급자와 도구가 문서 작성, 생산성 향상, 소프트웨어 개발 등 특정 용도에 승인됐는지, 어떤 직원 그룹이 어떤 도구를 쓸 수 있는지 명확히 해야 한다. 영업·마케팅 부서와 소프트웨어 엔지니어링 부서의 AI 사용 방식은 다를 수밖에 없다. 일률적 금지보다 업무 유형, 데이터 민감도, 도구 특성을 반영한 기준이 필요하다. 동시에 직원들이 AI 사용의 보안적 의미를 이해하도록 교육하는 AI 리터러시(문해력) 강화 작업도 병행돼야 한다는 조언이다.
 세번째는 초기 탐지와 위험 평가다. 기업은 어느 부서에서 어떤 AI 도구가 쓰이고 있는지 해당 도구가 어느 정도 자율성을 갖고 있으며, 어떤 민감 데이터에 접근하는지부터 파악해야 한다. 이후 위험도가 높은 직원 그룹과 고위험 AI 사용 사례를 우선순위로 삼아 기존 단말 보안과 네트워크 보안 통제를 활용해야 한다. 링크(URL) 필터링, 다운로드 차단, 비인가 앱 실행 제한 등이 대표적 조치다.
 장기적으로는 앱 허용목록 기반 통제와 권한 관리가 핵심이다. 허용목록 방식은 승인된 앱 업무용 단말에서 실행되도록 제한하는 것이다. 다만 이를 전사적으로 적용하려면 업무 방식 자체에 변화가 필요하다는 것이 보고서 분석이다. 예컨대 업무 중단을 최소화하기 위해 IT 변경관리 절차와 예외 처리 방식도 함께 정비해야 한다.
 보고서는 쉐도우AI 본질이 ‘직원이 AI를 쓰느냐 마느냐’가 아니라 ‘기업이 AI 사용 욕구를 공식 체계 안으로 끌어들일 수 있느냐’에 있다고 봤다. 직원은 이미 더 빠른 업무 처리를 위해 AI를 찾고 있고, 개발자는 최신 AI 도구를 업무 환경에 들여오고 있다. 기존 소프트웨어 공급자도 제품 안에 AI 기능을 계속 심고 있다. 결국 기업이 이를 모른 척하거나 단순 차단에만 의존한다면 몰래 쓰는 ‘쉐도우AI’는 더 깊은 그림자 속으로 들어갈 가능성이 크다고 경고하고 있다.
 </section> 
 </div> 
 Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기