직원들이 제각각 생성형 AI 도구를 시험하면서 CIO는 섀도우 AI라는 익숙한 도전에 다시 직면하고 있다. 이런 시도는 선의의 혁신인 경우가 많지만, 데이터 프라이버시, 규제 준수, 보안 측면에서 심각한 위험을 초래할 수 있다.
1패스워드(1Password)의 2025년 연례 보고서 ‘액세스-신뢰 격차(The Access-Trust Gap)’에 따르면, 직원의 43%가 개인 기기에서 업무용으로 AI 앱을 사용하고 25%가 직장에서 승인되지 않은 AI 앱을 사용하는 것으로 나타났다.
전문가들은 이런 위험에도 섀도우 AI를 완전히 없애야 할 대상으로 보지 않는다. 섀도우 AI를 이해하고, 방향을 잡아주고, 관리해야 할 대상으로 본다. 민감한 데이터를 안전하게 지키면서 책임 있는 실험을 장려하려는 CIO에게 도움이 될 수 있는 6가지 전략을 소개한다.
1. 실험을 허용하는 명확한 가드레일을 세워라
섀도우 AI를 관리하는 첫 단계는 허용되는 것과 허용되지 않는 것을 명확히 구분하는 일이다. 웨스트 쇼어 홈(West Shore Home)의 CTO 대니 피셔는 CIO에게 AI 도구를 승인, 제한, 금지 3가지 단순한 범주로 분류할 것을 권고한다.
피셔는 “승인된 도구는 검증을 거쳤고 IT가 지원하는 도구이다”라며, “제한된 도구는 더미 데이터만 사용하는 등 명확한 한계를 둔 통제된 공간에서 사용할 수 있다. 일반에 공개됐거나 암호화되지 않은 AI 시스템 같은 금지 도구는 네트워크나 API 수준에서 차단해야 한다”라고 강조했다. 또한, 내부 오픈AI 워크스페이스나 보안 API 프록시 같은 안전한 테스트 공간을 각 AI 활용 유형에 매칭하면 팀이 회사 데이터를 위험에 빠뜨리지 않고 자유롭게 실험할 수 있다고 덧붙였다.
SAP 자회사 리닉스(LeanIX)의 수석 엔터프라이즈 아키텍트 제이슨 테일러는 발전 속도가 빠른 오늘날 AI 환경에서는 명확한 규칙이 필수라고 강조했다. 테일러는 “어떤 도구와 플랫폼이 승인됐고 승인되지 않았는지 분명히 해야 한다”라며, “어떤 시나리오와 사용례가 승인 대상인지, 직원이 AI를 사용할 때 회사 데이터와 정보를 어떻게 다뤄야 하는지, 예를 들어 복사·붙여넣기나 시스템 간 심층 연동이 아니라 일회성 업로드만 허용되는지 등을 명확하게 알려야 한다”라고 설명했다.
테일러는 어떤 유형의 데이터가 어떤 상황에서 사용해도 되는지, 사용하면 안 되는지 설명한 명확한 목록을 만드는 작업도 필요하다고 덧붙였다. 현대적인 데이터 손실 방지(Data Loss Prevention, DLP) 도구는 데이터를 자동으로 찾아 분류하고, 누가 어떤 데이터에 접근할 수 있는지 최소 권한과 제로 트러스트 원칙을 강제하는 데 도움이 될 수 있다.
뱁슨 칼리지(Babson College) CIO 패티 파트리아는 노코드·로코드 AI 도구와 바이브 코딩 플랫폼에 대해 CIO가 별도의 구체적인 가드레일을 세우는 것도 중요하다고 지적했다. 파트리아는 “이런 도구는 직원이 아이디어를 빠르게 프로토타이핑하고 AI 기반 솔루션을 실험하도록 도와주지만, 독점 데이터나 민감한 데이터와 연결할 때는 독특한 위험을 만들어낸다”라고 말했다.
이런 문제를 해결하려면 직원이 스스로 안전하게 실험할 수 있게 해주는 보안 계층을 구축하되, AI 도구를 민감한 시스템에 연결하려 할 때는 추가적인 검토와 승인을 요구해야 한다. 파트리아는 “예를 들어 최근 직원이 어떤 경우에 보안팀에 애플리케이션 검토를 요청해야 하는지, 어떤 경우에 이런 도구를 자율적으로 사용할 수 있는지에 대한 명확한 내부 지침을 마련해 혁신과 데이터 보호를 모두 최우선으로 두고 있다”라고 말했다. 또 “위험 수준이 너무 높다고 판단해 사용을 권장하지 않는 도구와 조직이 공식적으로 지원하는 AI 도구 목록도 유지하고 있다”라고 덧붙였다.
2. 지속적인 가시성과 인벤토리 추적을 유지하라
보이지 않는 것은 관리할 수 없다. 전문가는 정확하고 최신 상태의 AI 도구 인벤토리를 유지하는 일이 섀도우 AI에 대응하는 가장 중요한 방어 수단 가운데 하나라고 말한다.
피셔는 “가장 중요한 것은 직원이 사용 중인 도구를 숨기지 않고 편하게 공유하도록 만드는 문화다”라고 강조했다. 피셔가 이끄는 팀은 분기별 설문조사와 직원이 사용하는 AI 도구를 직접 등록하는 셀프서비스 레지스트리를 함께 운영한다. 이후 IT 부서는 네트워크 스캔과 API 모니터링을 통해 해당 등록 정보를 검증한다.
굿즈 제조 기업 뱀코(Bamko)의 IT 담당 부사장 아리 해리슨은 자신이 이끄는 팀이 가시성을 유지하기 위해 계층적 접근 방식을 취하고 있다고 밝혔다.
해리슨은 “구글 워크스페이스의 연결 앱 보기에서 데이터를 가져와 SIEM 시스템으로 이벤트를 보내면서 연결된 애플리케이션의 실시간 레지스트리를 유지하고 있다”라며, “마이크로소프트 365도 비슷한 텔레메트리를 제공하고, 필요한 곳에서는 CASB(Cloud Access Security Broker) 도구를 활용해 가시성을 보완할 수 있다”라고 설명했다.
이런 계층적 접근 방식 덕분에 뱀코는 어떤 AI 도구가 기업 데이터를 다루는지, 누가 승인했는지, 어떤 권한을 갖고 있는지 한눈에 파악할 수 있다.
iPaaS 업체 부미(Boomi)의 제품 담당 수석 부사장 매니 길은 수작업 감사만으로는 이제 충분하지 않다고 주장한다. 길은 “효과적인 인벤토리 관리는 정기적인 감사 수준을 넘어 전체 데이터 생태계에 대한 지속적이고 자동화된 가시성이 필요하다”라며, 승인된 AI 에이전트이든 다른 도구에 내장된 AI 에이전트이든 모든 AI 에이전트가 하나의 중앙 플랫폼을 통해 데이터를 주고받도록 하는 것이 좋은 거버넌스 정책이라고 강조했다.
엔드포인트 보안 업체 태니엄(Tanium)의 최고 보안 자문역 팀 모리스는 모든 기기와 애플리케이션 전반에 걸친 지속적인 탐지가 핵심이라는 데 동의한다. 모리스는 “AI 도구는 하룻밤 사이에 등장할 수 있다”라고 지적했다. 또 “새로운 AI 앱이나 브라우저 플러그인이 업무 환경에 나타나면 즉시 파악할 수 있어야 한다”라고 덧붙였다.
3. 데이터 보호와 접근 통제를 강화하라
섀도우 AI로 인한 데이터 노출을 막기 위해 전문가가 공통으로 지적하는 기반은 데이터 손실 방지(DLP), 암호화, 최소 권한 원칙이다.
피셔는 “승인되지 않은 도메인으로 개인정보, 계약서, 소스 코드를 업로드하는 행위를 DLP 규칙으로 차단하라”라고 말했다. 또 조직 밖으로 나가기 전에 민감한 데이터를 마스킹하고, 승인된 AI 도구에서는 모든 프롬프트와 응답을 추적할 수 있도록 로깅과 감사 기록을 활성화할 것을 권고했다.
해리슨 역시 이런 접근법을 지지하면서, 뱀코가 실제 현장에서 가장 중요하게 보는 보안 통제는 ▲민감한 데이터가 외부로 나가는 것을 막기 위한 아웃바운드 DLP와 콘텐츠 검사 ▲서드파티 권한을 최소 권한으로 유지하기 위한 OAuth 거버넌스 ▲기밀 데이터를 자사 생산성 제품군 안에서 승인된 AI 커넥터에만 업로드하도록 제한하는 접근 제어라고 설명했다.
또한, 문서나 이메일에 대한 읽기·쓰기 권한처럼 범위가 넓은 권한은 고위험으로 분류해 명시적인 승인을 요구하는 반면, 읽기 전용처럼 범위가 좁은 권한은 더 빠르게 승인하도록 운영하고 있다. 해리슨은 “목표는 일상적인 창의적 작업을 안전하게 허용하면서, 한 번의 클릭으로 AI 도구에 의도보다 더 많은 권한을 부여해 버릴 가능성을 줄이는 것이다”라고 말했다.
테일러는 보안 통제가 모든 환경에서 일관되게 작동해야 한다고 강조했다. 테일러는 “저장 상태, 사용 중, 전송 중인 모든 민감 데이터를 암호화하고, 데이터 접근 권한에는 최소 권한과 제로 트러스트 정책을 적용하며, DLP 시스템이 민감 데이터를 스캔·태깅·보호할 수 있게 하라”라고 권고했다. 또, 이런 통제가 데스크톱, 모바일, 웹 환경에서 똑같이 동작하는지 확인하고, 새로운 상황이 발생할 때마다 점검과 업데이트를 반복해야 한다고 덧붙였다.
4. 위험 허용 범위를 명확히 정하고 소통하라
위험 허용 범위를 정하는 일은 통제 못지않게 커뮤니케이션의 문제이기도 하다. 피셔는 데이터 분류 체계에 위험 허용 범위를 연계하라고 조언한다. 피셔가 이끄는 팀은 단순한 색상 체계를 사용해 마케팅 콘텐츠처럼 위험이 낮은 활동에는 녹색을, 승인된 도구만 사용해야 하는 내부 문서에는 노란색을, AI 시스템과 함께 사용할 수 없는 고객·재무 데이터에는 빨간색을 부여한다.
모리스는 “위험 허용 범위는 비즈니스 가치와 규제 의무를 기반으로 설정해야 한다”라고 말했다. 모리스는 피셔와 마찬가지로 AI 활용을 허용, 승인 필요, 금지 같은 명확한 범주로 나누고, 이 프레임워크를 경영진 브리핑, 신규 입사자 온보딩, 내부 포털을 통해 꾸준히 알릴 것을 권고한다.
뱁슨 칼리지의 AI 거버넌스 위원회(AI Governance Committee)는 이런 과정에서 핵심 역할을 한다. 파트리아는 “잠재적 위험이 포착되면 이를 위원회 안건으로 올려 논의한 뒤, 완화 전략을 함께 마련한다”라고 밝혔다. 또 “일부 경우에는 직원에게는 도구 사용을 차단하되 강의실에서는 허용하기로 결정하기도 한다. 이런 균형 덕분에 혁신을 억누르지 않으면서도 위험을 관리할 수 있다”라고 덧붙였다.
5. 투명성과 신뢰 문화를 키워라
섀도우 AI를 제대로 관리하는 데 핵심은 투명성이다. 직원은 어떤 부분이 왜 모니터링되는지 알 수 있어야 한다.
피셔는 “투명성이란 무엇이 허용되고 무엇이 모니터링 대상인지, 또 그 이유가 무엇인지 직원이 알고 있는 상태를 의미한다”라며, “회사 인트라넷에 AI 거버넌스 방식을 공개하고, 바람직한 AI 사용 사례와 위험한 사용 사례를 실제 예시로 함께 보여주라”라고 조언했다. 또 “목적은 사람을 잡아내는 데 있지 않다. AI를 활용하는 일이 안전하고 공정하다는 믿음을 심어 주는 것이 목적이다”라고 강조했다.
테일러는 공식적으로 승인한 AI 서비스 목록을 공개하고 항상 최신 상태로 유지하라고 권고했다. 또한, “아직 제공되지 않는 기능을 언제, 어떻게 제공할지에 대한 로드맵을 분명히 밝혀라. 예외 승인이나 새로운 도구 도입을 요청할 수 있는 절차도 마련하라”라고 덧붙였다.
이런 개방성은 AI 거버넌스가 혁신을 가로막기 위한 것이 아니라 지원하기 위한 장치라는 점을 보여준다. 파트리아는 기술적 통제와 명확한 정책뿐 아니라 AI 거버넌스 위원회 같은 전담 거버넌스 조직을 두면 섀도우 AI 위험을 관리하는 조직 역량을 크게 높일 수 있다고 말했다.
파트리아는 “딥시크나 파이어플라이즈 같은 도구에 대한 우려처럼 잠재적 위험이 나타나면 완화 전략을 함께 마련한다”라며, 이런 거버넌스 조직이 위험을 검토하고 조치할 뿐 아니라, 의사결정 내용과 그 이유를 설명해 투명성과 공동 책임 문화를 만드는 데도 기여한다고 덧붙였다.
모리스도 같은 의견이다. 모리스는 “투명성이란 예상치 못한 일이 없다는 뜻이다”라고 강조했다. 이어 “어떤 AI 도구가 승인되어 있는지, 의사결정이 어떻게 이뤄지는지, 질문이나 새로운 아이디어가 있을 때 어디로 가야 하는지 직원이 알고 있어야 한다”라고 설명했다.
6. 역할 기반의 지속적인 AI 교육을 구축하라
교육은 AI 도구의 우발적 오용을 막는 가장 효과적인 방법 가운데 하나이다. 핵심은 교육이 짧고, 업무와 관련성이 높고, 반복적으로 이뤄지도록 만드는 것이다.
피셔는 “교육은 짧고 시각적이며 역할별로 설계하라. 긴 슬라이드 자료는 피하고, 대신 사례 중심 스토리, 짧은 데모, 명확한 예시를 활용하라”라고 조언했다.
뱁슨 칼리지는 매년 실시하는 정보보안 교육에 AI 위험 인식을 포함하고, 새로운 도구와 떠오르는 위험에 대한 소식을 정기 뉴스레터로 발송한다. 파트리아는 “직원이 승인된 AI 도구와 새로운 위험을 이해하도록 정기 교육을 제공하고, 부서별 AI 챔피언에게는 AI 도입의 이점과 잠재적 함정을 모두 강조하면서 대화를 촉진하고 실제 경험을 공유하도록 권장하고 있다”라고 밝혔다.
테일러는 교육을 브라우저 안에 녹여 직원이 사용하는 도구 안에서 곧바로 베스트 프랙티스를 학습하도록 할 것을 권고했다. 테일러는 “웹 브라우저에 복사·붙여넣기를 하거나 프레젠테이션 파일을 끌어다 놓는 행위는 겉으로 보기에는 별 문제 없어 보이지만, 민감한 데이터가 이미 자기 조직의 생태계를 떠난 뒤에야 그 위험을 깨닫게 되는 경우가 많다”라고 지적했다.
길은 교육이 책임 있는 AI 활용과 성과를 연결해야 한다고 지적했다. 길은 “직원은 규정 준수와 생산성이 함께 간다는 점을 이해해야 한다. 승인된 도구는 섀도우 AI에 비해 더 빠른 결과, 더 나은 데이터 정확도, 더 적은 보안 사고를 제공한다”라고 강조했다. 또한, “역할 기반의 지속적인 교육을 통해 가드레일과 거버넌스가 데이터와 효율성을 모두 보호해 AI가 위험을 만들기보다 업무 흐름을 가속하는 수단이라는 점을 보여줄 수 있다”라고 설명했다.
책임 있는 AI 활용이 비즈니스 경쟁력
궁극적으로 섀도우 AI 관리는 위험을 줄이는 데서 그치지 않고 책임 있는 혁신을 뒷받침하는 일이다. 신뢰와 커뮤니케이션, 투명성에 집중하는 CIO는 잠재적 문제를 경쟁 우위로 바꿀 수 있다.
테일러는 “사용자가 원하는 것을 제공하고, 특히 섀도우 AI 방식을 택할 때 오히려 더 많은 불편이 따른다면 대체로 시스템에 거스르려 하지 않는다”라고 말했다.
모리스도 같은 의견이다. 모리스는 “목표는 사람을 겁주려는 것이 아니라 행동하기 전에 한 번 더 생각하게 만드는 것이다”라며, “승인된 경로가 쉽고 안전하다는 사실을 알면 자연스럽게 그 길을 선택하게 된다”라고 덧붙였다.
CIO가 지향해야 할 미래는 책임 있는 AI 활용이 단순한 규정 준수를 넘어 비즈니스에 도움이 되는 일이라는 인식 아래, 사람이 안전하게 혁신하고 신뢰 속에서 자유롭게 실험하며 데이터를 계속 보호할 수 있는 환경이다.
dl-ciokorea@foundryco.com
Read More from This Article: “섀도우 AI, 막지 말고 관리하라” CIO를 위한 6가지 거버넌스 전략
Source: News