IDC는 기업의 AI 에이전트에 대한 통제와 거버넌스가 미흡하면, 향후 4년 내에 대규모 소송, 규제 벌금, CIO 해임이 속출할 것이라고 내다봤다. 2030년까지 1,000대 기업의 최대 20%가 AI 에이전트의 오작동으로 세간의 이목을 끄는 대형 사고가 일어난다는 이유다.
IDC의 월드와이드 인프라 리서치 담당 총괄 책임자 아시시 나드카르니는 “많은 기업의 IT 및 비즈니스 리더가 아직 제대로 된 에이전트 거버넌스를 어떻게 가져가야 할지 탐색하는 단계”라며, “에이전트의 결과물은 여전히 예측 불가능성이 너무 크다”라고 지적했다.
최근 AI 챗봇 그록(Grok)이 비동의 성적 딥페이크 이미지를 생성했다는 보도는 적절한 가드레일이 없을 때 AI가 어떤 대혼란을 만들 수 있는지를 보여준 사례다. 나드카르니는 “때로는 통제 가능한 혼란이지만, 때로는 통제 불능 수준으로 치닫는다. 미지의 영역에 들어서고 있다고 봐도 무방하다”라고 덧붙였다.
기업 전반에 걸쳐 여러 에이전트가 협업하는 형태로 배치되기 시작하면, 한 에이전트의 오류가 다른 에이전트의 행동으로 증폭되는 위험이 커진다. 나드카르니는 “하나의 나쁜 결과를 다른 에이전트가 연쇄적으로 받아 행동하면서 오류가 누적될 수 있다. 빠져나오기 어려운 무한 루프가 생길 수 있다”라고 설명했다.
나드카르니는 많은 조직이 ‘뒤처질까 두려워서(FOMO)’ 서둘러 AI 에이전트를 도입하고 있다고 진단했다. 하지만, 에이전트 거버넌스는 신중한 접근이 필요하며, 사람이 하던 업무를 에이전트에 맡길수록 CIO가 리스크를 빠짐없이 따져야 한다고 강조했다.
가까운 시일 내에 발생할 수 있는 가장 현실적인 시나리오는 규제 벌금과 대규모 소송 합의다. 유럽연합은 개인정보보호법 등 규정 위반 기업에 대해 적극적으로 제재에 나설 가능성이 높고, 미국에서도 일부 주가 AI 규제를 통과시킬 수 있다. 나드카르니는 에이전트의 행위가 미국 의료정보보호법(HIPAA)을 위반하는 상황이 생길 수도 있다고 덧붙였다.
소송과 벌금은 시간문제
IDC의 전망이 현실적이라는 평가도 나온다. 데이터베이스 서비스 업체 엔터프라이즈DB(EnterpriseDB)의 최고 법무 책임자 로버트 펠드먼은 “AI 에이전트가 재무적 손실이나 소비자 피해를 일으킨다면, 기존 법 이론만으로도 충분히 책임을 물을 수 있다”라며, “규제 당국도 마찬가지다. AI가 어떤 형태로든 컴플라이언스나 안전 기준을 넘어서도록 의사결정을 밀어붙이는 순간, 당국은 즉시 개입할 수 있다”라고 말했다.
강력한 거버넌스나 통제 원칙이 없는 조직은 에이전틱 AI 환경에서 버티기 어렵다. 펠드먼은 “AI와 데이터의 세계는 에이전트 시스템이 등장하기 훨씬 전부터 기업이 지켜야 했던 핵심 원칙에 기대고 있다. 책임성, 절제, 책임의 명확성이다. 에이전틱 AI가 바꾸는 것은 원칙의 필요성이 아니라, 그 원칙을 무시했을 때 치러야 할 비용”이라고 지적했다.
AI 에이전트 전환은 이미 좋은 프랙티스를 갖춘 기업에는 ‘정답 확인’이 될 것이고, 그렇지 않은 곳에는 규모 있는 확산에 앞서 실용적인 가드레일을 세워야 한다는 명확한 신호가 될 것이다.
가드레일을 설계하는 과정에서 CIO의 역할도 커질 전망이다. 펠드먼은 “법적 대응이 공론화되면 이사회는 무엇이, 왜 벌어졌는지 답을 요구한다”라며 “설명이 ‘시스템이 그랬다’로 끝나면 이사회는 납득하지 않을 것이다. CIO는 바람직하지 않은 결과를 막기 위해 어떤 거버넌스와 가드레일을 마련했는지 설명해야 하는 위치에 놓일 것”이라고 말했다.
CIO가 특히 경계해야 할 지점
나드카르니와 펠드먼이 벌금과 소송 합의를 예상한 가운데, 에이전트가 예상 밖 결과를 쏟아내는 순간 CIO가 자리에서 밀려날 수 있다는 경고도 나왔다.
인력 오케스트레이션 기업 어심블(Asymbl)의 최고 디지털 노동 및 기술 책임자를 맡고 있는 시바나스 데비나라야난은 “소송은 수년이 걸리고, 벌금은 규제기관이 적발해야 가능하다. 하지만 이사회가 신뢰를 거두는 데는 30초면 충분하다”라며, “질문 하나면 끝이다. ‘우리 AI 에이전트가 지금 정확히 뭘 하고 있는가?’ CIO가 답을 못 하면 그 자리에서 끝난다”라고 강조했다.
또한, 많은 조직이 잠재적 결과에 대한 깊은 이해 없이, 이사회 승인까지 받은 AI 정책 없이 에이전트를 배포하는 것으로 보인다고 지적했다. 데비나라야난은 “IDC의 전망은 보수적”이라며, “20%라는 수치는 조직이 스스로 문제를 인지한다는 가정이 깔려 있다. 실제로는 대부분 ‘너무 늦었을 때’ 알아차릴 것”이라고 말했다.
많은 CIO가 조직 내부에서 어떤 에이전트가 돌아가고 있는지 ‘전체 인벤토리’를 갖고 있지 않다는 지적도 이어졌다. 데비나라야난은 “에스컬레이션 프로토콜도 없고, 에이전트의 행동이 어떤 비즈니스 결과로 이어졌는지 추적할 감사 방안도 없다”라며, “사고가 발생하면(그리고 사고는 항상 발생한다), 대응 방안이 없을 것”이라고 경고했다.
한편, ‘의도’를 입증하지 않아도 된다는 점에서 규제 벌금이 더 가능성 높은 결말이라는 반론도 있다. 통합 커뮤니케이션 업체 와일딕스(Wildix)의 CTO 드미트리 오슬러는 “규제기관은 통제와 거버넌스가 리스크에 비해 부실했다는 점만 입증하면 된다”라고 말했다.
오슬러는 AI가 유독 ‘특별히’ 위험한 기술이라기보다 수십 개의 상호의존적 에이전트를 운영할 때 작은 문제가 순식간에 대형 사고로 번질 수 있다는 점이 핵심이라고 봤다. 오슬러는 “에이전틱 시스템은 규모와 속도로 행동한다. 작은 통제 공백이 곧 큰 사고로 커진다”라며, “더 큰 문제는 많은 조직이 거버넌스가 잘 돼서가 아니라 데모가 그럴듯해서 AI를 도입한다는 점이다. ‘박수는 받되 책임은 회피하는’ 문화가 예방 가능한 장애를 만든다”라고 경고했다.
CIO가 잡아야 할 ‘통제의 핸들’
오슬러는 CIO가 에이전트 거버넌스를 선제적으로 장악해야 한다고 조언했다. 민감한 행동에는 증빙을 요구하고, 모든 행동을 추적 가능하게 만들어야 한다는 주장이다. 또한 민감한 업무에는 ‘휴먼 인 더 루프’를 두고, 상황이 애매하거나 위험할 때는 에이전트가 행동을 넘겨주도록 설계하며, 되돌릴 수 없는 고위험 조치에는 마찰을 더해 발동 자체를 어렵게 만들어야 한다.
팀이 에이전트를 감독하고 개선할 수 있도록 업스킬링에 투자해야 한다는 제안도 덧붙였다. 오슬러는 “CIO가 자신의 일자리를 지키는 가장 현실적인 방법은 에이전트 거버넌스를 기술적 ‘사후 처리’가 아니라 리더십 실천으로 다루는 것”이라며, “훈련을 하고 양보 불가능한 기준을 정하고, 필요 이상으로 소통해야 한다. ‘나중에 알아서 하자’는 태도가 사고가 났을 때 책임 공방을 만든다”라고 지적했다.
거버넌스 프로세스를 가능한 한 ‘보이게’ 만드는 것도 중요하다. 오슬러는 “사고가 나면 통제 체계, 감사 로그, 도입 의사결정, 사람 체크포인트를 명확히 제시할 수 있는 CIO가 ‘모델이 그랬다’고만 말하는 CIO보다 훨씬 방어력이 높다”고 덧붙였다.
dl-ciokorea@foundryco.com
Read More from This Article: “AI 에이전트 사고로 CIO 해임?” IDC의 경고가 과장이 아닌 이유
Source: News