‘섀도 AI’가 오히려 AI혁신의 도구?

[애플경제 엄정원 기자] 적절히 제어만 한다면, ‘섀도 AI’(Shadow AI)가 오히려 AI 혁신의 도구가 될 수 있다고 해서 눈길을 끈다. 말하자면 ‘독(毒)’을 ‘독’으로 해독하는 셈이다. 이런 역발상의 주장이 특히 글로벌 시장분석기관으로 신뢰를 얻고 있는 가트너로부터 나와 눈길을 끈다. 가트너는 자체 ‘가트너 보안 및 위험 관리 서밋’에서 이런 논리를 이어갔다.

이는 AI 위험에 항상 신경을 곤두세우고 있는 보안 담당자에게 매우 획기적이면서도 기존 보안 관념을 뒤엎는 방식이다.

가트너 전문가들은 “기업은 AI 도구 사용을 장려하는 동시에 보안을 강화해야 한다”면서 이같이 주장했다. 최근 런던에서 열린 ‘가트너 보안 및 위험 관리 서밋’에서 가트너는 특히 “‘섀도 AI’가 보안 담당자에겐 도전이자 기회가 될 수 있다”면서 “잘만 하면 혁신을 저해하지 않으면서도 (섀도 AI 탐지를 통해) AI 위험을 미리 파악할 수 있기 때문”이라고 했다.

이에 따르면 AI 위험을 사전에 탐지, 발견하는 프로세스는 다재다능한 AI 사이버 보안 프로그램의 기반이다. ‘웹 프록시’나 ‘로그 관리 시스템’과 같은 보안 도구를 사용, 사내에서 누가 어떤 방식으로 ‘섀도 AI’를 활용하고 있는지 파악하는 것도 의미가 있다는 얘기다.

그래서 만약 ‘섀도 AI’를 발견할 경우, 해당 사용자에게 “안된다. 승인되지 않았다”라고 차단하는데 그치지 말고 (확산을 막을) ‘더 나은 지침’을 제공해야 한다는 주문이다. 그렇지 않을 경우 ‘섀도 AI’는 매우 빠르게 주변 AI로 진화, 모든 장치에 내장되기 때문이다.

“‘섀도 AI’ 사용, 무조건 처벌보단 격려도 중요”

가트너는 실제로 모바일 게임 회사 ‘플레이티카’(Playtika)의 사례를 들었다. ‘플레이티카’는 사내에서 직원들이 이미 사용 중인 AI 도구를 분석했다. 이들 도구에 대해 보안 팀은 해당 도구가 비즈니스에 얼마나 유익한지, 대체 불가능한지, 그리고 데이터 노출과 같은 잠재적 위험을 관리할 수 있는지 평가했다. 이런 검증과 검사를 통과한 도구는 허용하되, 애초에 “왜 적절한 공식 채널로 도입하지 않았는지”를 캐묻고 분석했다.

특히 최고정보보안책임자(CISO)가 직원들의 ‘섀도 AI’ 사용을 무조건 처벌하기보다는 격려해야 한다는 주문이다. 그렇지 않을 경우 직원들의 번아웃과 이탈이 심화될 것이라고 지적했다.

이를 예방하기 위해 사측은 더욱 안정적이고 편리한 근무 환경을 조성해야 한다. 지루한 반복 업무는 AI로 자동화하되, 이를 통해 업무나 회사 방침에 대한 질문에 답변하거나 코드의 취약점을 수정할 수 있어야 한다. 또 “이미 ‘섀도 AI’를 사용하고 있는 직원들에겐 더 많은 자율성과 권한을 부여하고, 직원들의 참여도, AI 기술, 회복 탄력성을 향상시킴으로써 역량을 강화할 수 있다”고 주문했다.

그럼에도 불구하고, AI 확장에는 적절한 통제가 필요하다는 주장이다. 즉, ‘섀도 AI’를 활용하는 사내 구성원들과 사이버보안 책임자 간의 갈등이 갈수록 더욱 커질 수 밖에 없다. 그래서 최근 떠오른 대안이 사내용 ‘맞춤형 AI도구’다.

‘섀도 AI’ 대응 기반, ‘맞춤형 AI 도구’ 확산도

가트너의 최근 AI 설문조사에서도 응답자의 과반수가 ‘맞춤형 AI 도구’를 개발 중이라고 답했다. 이는 테스트 실행을 용이하게 하고, 보안을 튼실하게 하는 선택지 중의 하나로 꼽힌다. 다만 “AI가 실제 운영 환경에 적용되면, (자사에만) 특화된 AI 제어 시스템이 있어야 한다”는 조언도 따른다. 그러나 가트너 조사에선 현실적으로 이런 AI 제어 시스템을 완벽히 갖춘 경우는 전체 5곳 중 한 곳에 불과하다는 지적이다.

특히 ‘섀도 AI’를 포함한 AI 파이프라인에서 실시간 ‘데이터 마스킹’을 통해 민감한 데이터 유출을 방지할 수 있다. 또한 새로운 AI 도구를 유해한 출력이나, 환각, 지적 재산권 위험을 포괄하는 새로운 보안 프로세스와 결합해야 한다.

다만 가트너 데이터에 따르면 보안 책임자들의 절반 정도가 ‘섀도 AI’ 등을 대체할 만한 ‘맞춤형 AI’에 맞는 대응 계획을 수립한 것으로 나타났다. 여기엔 수정이나 격리 절차도 포함된다. 또한 AI 성능을 높이고 정확성을 기하기 위해 데이터 보존 정책을 업데이트하는 ‘리스크 평가’도 포함된다.

‘섀도 AI’ 관리와 탐지는 이 모든 것들에 도움이 된다는 평가다. 즉 ‘섀도 AI’를 발견하고, 그 작동 방식이나, 위험도, 한계에 대해 이해할 수 있다. “이는 ‘섀도 AI’를 사용하지 말라는데서 그치지 않는다”며 “어떤 AI 사용 방식이 효과적이고 안전하며 보안이 강화되는지에 대한 실질적인 통찰력을 얻는게 중요하다”고 했다. 이에 AI를 과감하게 도입하고, 향후 18~24개월 동안 활용 사례를 수집하고, 사이버 보안을 먼저 훈련해야 한다는 주문이다.