조직 내 섀도 AI 이용 확산… 70%는 통제 불능

인공지능(AI)이 조직 내에서 공식 승인 여부와 관계없이 광범위하게 사용되면서 이른바 ‘섀도 AI(shadow AI)’가 확산하고, 거버넌스와 통제의 공백을 초래하고 있다는 분석이 나왔다.

중국 정보기술(IT) 업체 레노버(Lenovo)가 전 세계 직원 6,000명을 대상으로 진행한 설문조사를 바탕으로 최근 발간한 ‘워크 리본(Work Reborn) 보고서: AI로 인력을 승리로 이끌기(Leading Your Workforce to Triumph with AI)’에 따르면, 직원의 70% 이상이 주간 단위로 AI를 사용하고 있으며, 최대 3분의 1은 IT 부서의 감독 범위 밖에서 활용하고 있는 것으로 나타났다. 동시에 80%는 앞으로 1년 내 AI 의존도가 높아질 것으로 예상했다.

이러한 변화는 조직 내 디바이스, 엔드포인트, 데이터 흐름 전반에 걸쳐 공격 표면을 확대하고 있으며, 관리되지 않는 리스크를 촉발하고 민감한 기업 데이터가 적절한 통제 없이 노출되거나 무단 접근될 가능성을 높이고 있다고 보고서는 지적했다. 또한 이러한 현실은 AI 사용 가속화 속도를 통제가 따라가지 못하는 ‘AI 실행 격차’가 커지고 있음을 보여 준다고 전했다.

락시트 구라(Rakshit Ghura) 레노버 디지털 워크플레이스 솔루션 부사장 겸 총괄매니저는 “이제는 AI 도입 자체가 문제가 아니라 실행이 문제”라며 “AI 사용량은 조직이 통제하거나 보호할 수 있는 속도보다 더 빠르게 증가하고 있어 통제하지 못한다면 AI는 기회만큼이나 많은 위험과 비용을 초래할 것”이라고 말했다.

통제되지 않은 AI, 비즈니스 성과에 악영향

AI 사용이 가시성이나 거버넌스 없이 확장될 때 그 영향은 이론에 그치지 않는다고 보고서는 짚었다. 이는 이미 비용, 보안 태세, 전사적으로 AI를 확장하는 역량에 직접적인 영향을 미치고 있다는 설명이다.

보고서는 현재 조직이 겪고 있는 문제로 네 가지를 꼽았다.

첫째, 투자대비성과(ROI) 지연이다. AI 이니셔티브가 팀 간에 분절된 채 머물러 있기 때문에 발생한다.
둘째, 중복 지출이다. 여러 도구가 사일로화된 환경에서 동일한 문제를 해결하는 과정에서 발생한다.
셋째, 공격 표면 증가다. 승인되지 않은 도구가 엔터프라이즈 데이터에 무단 접근할 가능성이 커지기 때문이다.
넷째, 가시성 부족이다. 효과적인 솔루션을 파악하고 확장하기 어려워진다.

동시에 직원들 사이의 AI 채택은 불균등하게 이뤄지고 있다고 보고서는 지적했다. 일부 직원은 안전하고 최적화된 환경에서 작업하는 반면, 다른 직원들은 생산성을 유지하기 위해 접근할 수 있는 모든 도구에 의존하고 있다는 설명이다. 이는 의사결정을 늦추고 노력을 중복시키며, 일관된 전사적 AI 도입을 어렵게 만드는 ‘이중 속도 워크포스(two-speed workforce)’로 이어진다고 진단했다.

통제되지 않는 AI, 감당하기 어려울 정도로 공격 표면 확대

AI 사용이 가속화하면서 리스크도 함께 확대되고 있다고 보고서는 전했다. IT 리더의 61%가 AI와 관련된 사이버 보안 위협 증가를 보고하고 있으나, 이러한 리스크를 관리할 수 있는 능력에 자신감을 느끼는 비율은 31%에 불과하다고 소개했다. 한편 직원의 43%는 AI 기반 데이터 노출이나 공격에 대해 우려하고 있다고 덧붙였다.

명확한 거버넌스가 없으면 AI가 기업의 공격 표면을 조용히 확대하며, 침해, 컴플라이언스 실패, 운영 중단 위험을 높인다고 보고서는 밝혔다.

문제는 파편화된 AI 관리

대부분의 조직은 AI를 분절된 레이어별로 관리하려고 시도하고 있다고 보고서는 전했다. 디바이스 배포 방식과 인프라 관리 방식이 다르며, 보안은 나중에 그 위에 겹쳐지는 레이어로 적용되는 경우가 많다는 지적이다. 이러한 파편화가 AI 실행 격차를 만들어 내는 원인이라고 짚었다.

보고서는 더 많은 도구나 정책을 추가하는 것만으로는 문제가 해결되지 않는다고 강조했다. 오히려 복잡성을 높이고, 엔드포인트와 인프라 사이에 간극을 남기며, 환경 전반에 걸쳐 일관된 통제를 적용하기 어렵게 만든다고 전했다.

한편 레노버는 이러한 문제를 해결하기 위해 AI가 기업에 처음 진입하는 지점인 디바이스에서 통제를 확립한다고 밝혔다.

디바이스, 인프라, 보안을 따로 관리하는 대신 레노버는 전체 환경에 걸쳐 하나의 연속적 통제 모델을 적용하며, 이는 다른 공급업체가 단일 서비스로 제공하기 어려운 것이라고 강조했다. 유연한 서비스형 모델로 제공되는 이 접근법을 통해 AI 투자를 실제 수요에 맞춰 조정하고, 초기 비용을 줄이며, 중복 지출을 방지하고, AI 도입 단계 변화에 따라 디바이스와 보안 서비스를 확장할 수 있다고 덧붙였다.