기업이 AI를 실무에 적용하려는 속도만큼, 섀도우 AI는 거버넌스를 앞지르며 확산하고 있다. 문제는 통제되지 않는 챗봇 수준이 아니라, 승인되지 않은 모델과 벤더 API, 자율 에이전트까지도 적절한 절차를 거치지 않은 채 조용히 업무 흐름에 스며들어 있다는 점이다. 민감한 데이터 노출, 채용 알고리즘에 스며드는 편향, 실험 단계의 프로젝트가 아무도 모르는 사이 운영 환경에 반영되며, 이때 발생하는 평판 리스크는 현실적인 위험의 일부에 불과하다.
그렇다면 이를 어떻게 막을 수 있을까? 해결책은 AI 사용을 억제하거나 속도를 늦추는 것이 아니다. 공식 절차가 느리다고 느껴질 때 사람들이 섀도우 AI를 선택하는 만큼, 책임 있는 AI는 쉽고 자동화된 방식으로 제공돼야 한다. 이것이 현대적인 AI 거버넌스 프로그램이 지향하는 바다. 그러나 많은 조직이 아직 이 수준에 이르지 못했다.
이제 리더는 위원회 승인 절차로 인한 병목 현상과 스프레드시트 중심의 관리 방식에서 벗어나, 자동화되고 확장 가능한 감독 체계로 전환해야 할 시점이다. 이 경우 ‘불로 불을 끄는 방식’이 가장 효과적이다. AI를 활용해 신규 프로젝트를 즉시 평가하고, 핵심 이슈를 식별하며, 거버넌스팀에 더 나은 정보를 제공하는 것이다. 자동화와 책임의 균형을 갖춘 접근은 거버넌스를 부담스러운 통제 수단이 아니라 기술 활용을 촉진하는 기반으로 바꿀 수 있다.
섀도우 AI 문제의 실제 규모
사이버뉴스의 최근 설문조사에 따르면 직원의 약 60%가 업무에서 승인되지 않은 AI 도구를 사용하고 있다. 상당수는 이에 따른 위험을 인식하고 있음에도 불구하고 민감한 기업 정보를 승인되지 않은 도구에 입력하고 있는 것으로 나타났다. 응답자의 절반가량은 업무용으로 승인된 AI 도구에도 접근할 수 있는 상황이라고 답했지만, 해당 도구가 실제 업무 요구사항을 충족한다고 응답한 비율은 3분의 1에 불과했다.
현재 섀도우 AI 관련 사고는 전체 보안 침해의 20%를 차지하고 있다. 또한 조직의 27%는 AI가 처리하는 데이터의 30% 이상이 고객 기록이나 영업 비밀과 같은 민감한 정보로 구성돼 있다고 보고했다. 관리되지 않은 AI 프로젝트는 단순한 내부 비효율을 넘어, 기업 전반에 영향을 미치는 실질적인 리스크 요인으로 작용하고 있다는 의미다.
이는 기업이 중요한 갈림길에 서있다는 점을 보여준다. 직원은 비공식 AI 도구 사용의 위험을 이해하고 있지만, 업무를 더 효율적으로 처리하려는 요구가 이를 상회하고 있다. 경영진 역시 이런 상황과 잘못된 선택이 초래할 비용을 인식하고 있지만 통제가 쉽지 않다고 느끼는 경우가 많다. 실제로 사이버뉴스 설문조사에서는 대부분의 직속 관리자가 섀도우 AI 사용을 인지하고 있거나, 사실상 이를 승인하고 있는 것으로 나타났다.
간소화된 거버넌스
현실적인 해결책은 하나다. 섀도우 AI를 효과적으로 완화하려면 직원이 AI 프로젝트나 도구를 승인받는 과정을 매우 쉽게 만들어야 한다. 이는 규칙을 느슨하게 하거나 형식적으로 승인하자는 뜻이 아니다. 우리가 관리하려는 도구인 AI를 활용해 승인 절차 자체를 간소화하고 개선하자는 의미다.
거버넌스 위원회는 여전히 올바른 출발점이다. 그러나 ‘40쪽 분량의 문서를 작성하고, 스프레드시트를 첨부하며, 수십 개의 부속 자료를 제출하라’는 식으로 절차가 지나치게 복잡하면, 팀은 이를 건너뛰거나 승인 여부와 상관없이 그대로 추진해 버릴 가능성이 높다. 강력한 거버넌스 모델은 다음 2가지 사이에서 균형을 맞춰야 한다.
- 핵심 리스크를 완화할 수 있을 만큼의 충분한 엄격함
- 구성원의 참여를 유도할 수 있을 만큼의 낮은 마찰
이제 이러한 거버넌스를 실제로 구현할 방법을 소개한다.
사전 리스크 분석 자동화
AI 기반 평가 도구를 도입해 프로젝트와 도구를 사전 심사해야 한다. 팀은 제안서나 서드파티 벤더의 URL만 업로드하면 되고, 도구는 자동으로 리스크 분석 워크플로를 실행한다. 이 과정에서 데이터 민감도, 중복 투자 여부, 모델 편향, 벤더 위치, 보안 수준 등 주요 범주를 식별하고 위험 등급을 부여함으로써, 리더는 AI 이니셔티브를 보다 체계적으로 평가할 수 있다.
위원회는 제출된 내용을 계속해서 검토해야 한다. 다만 일관되고 품질이 보장된 평가 프로세스를 갖출 필요가 있다. 그래야 위원회와 프로젝트 담당자 모두의 시간을 절약할 수 있다. 자동화는 AI가 안전한지, 법적 문제가 없는지, 기존 프로젝트와 중복되는지를 판단하는 역할을 맡고, 사람 중심의 검토 과정은 전략적 가치와 보다 복합적인 판단에 집중하도록 해야 한다.
비즈니스 부문의 마찰 감소
제출 절차를 직관적으로 설계해야 한다. 이메일 초안, 블로그 글, 프레젠테이션 자료, 벤더 링크 등 현재 보유한 자료를 그대로 업로드할 수 있어야 한다. 초기 단계에서 방대한 공식 프로젝트 헌장은 필요하지 않다. 중요한 것은 속도와 투명성이다. 예를 들어 ‘직원용 HR 챗봇을 구축하고 있다’라거나 ‘API를 활용해 6,000명의 지원자를 100명으로 선별하고 있다’라는 정도의 설명이면 충분하다. 제출된 내용은 승인 또는 반려 이전에 위원회 워크플로우에 연계돼 가시성과 피드백을 제공할 수 있다.
가시성 및 감독 체계 확보
기존 섀도우 IT와 마찬가지로, AI 도구 역시 눈에 잘 띄지 않는 곳에 숨어있을 수 있다. 관리되지 않는 클라우드 공유 폴더에 민감한 데이터가 담긴 엑셀 파일이 방치되는 것처럼, 누군가 무료 챗봇에 내부 데이터를 입력하기 시작하면 그 영향은 빠르게 확산된다. 기업은 이를 추적하지 못하거나, 아예 인지하지 못하는 경우가 많다.
AI 사용 현황을 드러내고 추적하기 위해 에이전트 식별자, 실시간 모니터링, 활동 로그와 같은 자산 탐색 도구를 고려할 필요가 있다. 이를 통해 AI 애플리케이션 목록을 체계적으로 관리할 수 있다. 일부 방식은 다소 침해적으로 느껴질 수 있지만, 실질적인 가시성이 확보되지 않으면 거버넌스 역시 성립할 수 없다.
리스크 기반 승인 모델 내재화
모든 AI 프로젝트가 동일한 수준의 리스크를 갖는 것은 아니다. 정책 질의에 답하는 HR 보조 도구는 채용 결정을 내리는 자율 에이전트나 수천 명의 지원자에 대한 배경 조사를 수행하는 벤더 API에 비해 상대적으로 위험도가 낮다. 위험도가 높은 도구는 편향 여부, 모델의 출처, 벤더 체인, 데이터 보호 체계 등을 보다 깊이 검토할 필요가 있다. 보다 단순한 도구를 신속하게 처리하려면 자동화를 통해 낮은 리스크 등급을 부여할 수 있다. 이후 위원회는 고위험 항목을 심층적으로 검토함으로써, 전체 승인 흐름을 지연시키지 않으면서도 관리 수준을 유지할 수 있다.
거버넌스를 통제가 아닌 지원 수단으로 인식
이제 거버넌스를 기업의 문지기처럼 대하는 방식에서 벗어나야 한다. 거버넌스의 역할은 팀을 통제하는 데 있는 것이 아니라, AI를 안전하게 활용할 수 있는 경로를 제공하는 데 있다. 지나치게 제한적이거나 속도가 느리고, 제대로 구현되지 않은 AI 거버넌스는 의도와 달리 생산성 문제로 섀도우 AI 사용을 오히려 부추기는 결과를 낳을 수 있다.
대신 가능하다면 승인된 AI 도구를 제공하고, 새로운 도구는 손쉽게 검증할 수 있도록 해야 한다. 또한 우려되는 부분이 있을 경우 그 이유를 투명하게 공유해, 다른 대안이나 새로운 도구를 검토할 수 있는 여지를 마련해야 한다. 공식적인 경로가 쉬워질수록, 규정을 벗어난 선택을 할 가능성은 줄어든다.
중앙화된 거버넌스가 부재한 환경에서는 승인되지 않은 AI 도구가 계속해서 등장하기 마련이다. 이는 리스크 증가와 함께 컴플라이언스와 보안 측면의 사각지대를 만들고, 책임 있게 AI를 확장할 기회를 놓치게 한다. 이를 피하기 위해 필요한 것은 섀도우 AI를 사용하는 직원을 강하게 통제할 것이 아니라, 리스크를 더 쉽고 빠르며 포괄적으로 평가할 수 있는 체계를 구축하는 일이다. 그리고 가장 효과적인 방법은 AI 자체를 활용하는 것이다.
dl-ciokorea@foundryco.com
Read More from This Article: 칼럼 | 통제할수록 늘어난다···섀도우 AI 확산의 ‘근본적 원인’
Source: News