# 직장인 A씨는 거래처에 보낼 제안서 초안을 생성형 AI 서비스에 입력해 문구를 다듬었다. 회사가 승인하지 않은 인공지능(AI) 서비스였으나 마감 시간이 촉박해 선택한 방법이었다. 이 과정에서 제품 단가와 납품 조건 등 회사 영업 정보가 외부 AI 서버로 전송됐다.
이처럼 회사의 공식 승인 없이 개인이나 부서가 비공식적으로 AI 서비스를 사용하는 ‘섀도 AI’가 새로운 보안 위협으로 떠오르고 있다.
최근 IBM이 발표한 '2025년 데이터 유출 비용 보고서'에 의하면 조사에 참여한 조직의 20%가 섀도 AI로 인해 정보 유출을 경험했다고 답했다. 이로 인한 평균 추가 비용은 20만321달러(2억8000만원)에 달한다. 섀도 AI가 개입된 유출 사고는 탐지 및 대응에 평균 10일이 더 소요됐다.
미국 보안 기업 하모닉은 지난해 4분기 챗GPT와 코파일럿, 제미나이 등 주요 생성형 AI에 입력된 수만 건의 프롬프트를 분석한 결과 전체 데이터 중 8.5%에 기업 내부 정보가 포함됐다고 밝혔다. 내부 정보 유형으로는 고객 데이터가 45.8%로 가장 많은 비중을 차지했다. 직원 관련 데이터가 26.8%, 법률 및 재무 데이터가 14.9%로 뒤를 이었다.
섀도 AI 활용 과정에서 사용자는 보안이나 데이터 처리 규정을 충분히 인지하지 못한 채 내부 문서나 설계 도면 등을 입력하거나, AI가 생성한 결과물을 검증 없이 업무에 활용하는 일이 발생한다. 민감한 데이터가 기업 외부 서버에 자동으로 저장되는 경우도 적지 않다.
우리나라에서도 삼성전자가 2023년 반도체 부문 직원이 내부 정보를 챗GPT에 입력한 사실이 드러나 전사 차원에서 접속을 차단했다.
시스코가 세계 30개국 8000명의 보안 리더를 대상으로 조사한 '2025 사이버보안 준비 지수' 보고서를 보면 83%의 기업은 섀도 AI를 탐지하는 것에 자신이 없다고 응답했다. 79%는 실제 섀도 AI의 사용 현황을 제대로 인지하지 못하고 있다고 답했다.
생성형 AI를 활용해 업무 효율을 높이려는 직장인들이 늘어나고 있지만, 기업들은 산업 기술이나 영업 비밀, 고객 정보 등이 외부로 유출될 가능성을 경계하고 있다. 일부 대기업은 보안을 강화한 사내 AI를 개발하기도 하지만, 대다수 기업들은 기업용 AI 서비스를 유료 구독하는 것조차 부담이 되는 실정이다.
전문가들은 조직 안에서 섀도 AI가 어디서, 어떻게 쓰이고 있는지 현황을 파악하는 것이 출발점이라고 조언한다. 회사 차원의 명확한 AI 사용 정책을 수립해 전사적으로 공유하고, 직무별 권한을 역할 기반 접근제어 방식으로 구분해야 한다. 민감 정보에는 데이터 유출 방지 정책을 적용하고 프록시 서버를 통한 외부 AI 서비스 접속을 차단 등의 조치를 취할 수 있다.
홍주연 기자
jyhong@chosunbiz.com