전체메뉴

[애플경제 전윤미 기자] 생성 AI와 챗봇이 직장인들에게도 널리 활용되고 있다. 그런 가운데 적잖은 직장인들은 회사의 허가를 받지 않거나, 아예 회사가 모르게 이를 다양한 업무에 사용하고 있는 것으로 파악되고 있다. 이는 “자칫 의도와는 달리, 사이버 보안 및 데이터 위험으로 이어질 수 있다”는게 전문가들의 우려다.

일부 전문가들은 이를 ‘섀도우 AI’(Shadow AI)라고 부르며 경각심을 높이고 있다. 이는 직원들이 고용주의 인지나 허가 없이 업무를 위해 챗GPT와 같은 생성 AI 도구를 사용하는 현상을 말한다. 최근엔 반복적이고 일상적인 작업을 간소화하거나, 이메일을 일괄적으로 작성하거나, 고객 문의에 더 빠르게 응답하는 등의 목적으로 기업체 직원들이나 직장인들이 ‘섀도우 AI’를 많이 쓰고 있다는 지적이다.

“IT부서도 모르게 앱 개발 등에 남용 사례”

국내 사이버보안업체인 P사의 한 관계자는 이에 대해 “흔히 기업체들이 직원들과 생성 AI에 대한 논의나 대화를 제대로 하지 않거나, 업무에 꼭 필요한데도 불구하고 이를 도입하지 않을 때 생기는 일”이라며 “특히 실시간 애플리케이션 개발을 위한 플랫폼에선 흔히 있는 일인데, 최소한 IT 부서에 알리지도 않은 채 LLM을 사용하는 바람에 위험을 초래하고 있다”고 지적했다.

예를 들어, 지난해 깃허브 코파일럿의 경우가 대표적이다. 이는 당시 많은 사용자들이 이미 코드를 생성하기 위해 자의적으로 널리 사용하고 있었다. 그러나 그 과정에서 위험한 취약점이 포함된 코드를 대거 생성, 문제가 되었다.

이같은 ‘섀도우AI’는 비단 국내뿐 아니라, 해외 각국이나 글로벌 빅테크들도 문제가 되고 있다. 미국의 데이터관리기업인 ‘Veritas Technologies’의 새로운 보고서에 따르면 영국 직장인의 49%가 일주일에 한 번 이상 생성 AI를 사용하고 있으며 19%는 매일 생활화하는 것으로 알려졌다. 그 실태는 매우 우려할 만하다.

해당 보고서 조사 대상자의 38%는 자신이나 동료가 “고객 재무 데이터와 같은 민감한 정보를 LLM에 제공했다”고 답했으며, 60%는 “그러한 데이터를 공유하면 고용주가 위험에 빠질 수 있다는 사실을 인식하지 못했다”고 답했다. 또한 직원의 44%는 “현재 고용주로부터 생성 AI에 대한 어떠한 지침도 받지 못했다”고 응답했다.

보안업체 캐스퍼스키(Kaspersky) 조사에선 기업체 경영진의 95%가 직원의 섀도우 AI에 대해 “우려하고” 있는 것으로 나타났다. 그러면 이 문제를 어떻게 해결해야 할까.

‘위험성’ 인식도 못해…생성AI 사용금지 능사 아냐

생성AI를 몰래 혹은 개인적으로 남용하는 ‘섀도우 AI’는 사이버 위험을 가중시킬 수 밖에 없다. 예를 들어 직원이 자신만이 아는 AI 도구에 전달하는 정보를 감독하지 않으면 데이터 유출에 노출될 수 밖에 없다.

이에 애플의 경우 작년부터 직원들이 임의의 ‘섀도우 생성AI’를 통해 회사의 중요한 정보를 실수로 노출할 수 있다고 우려, 사내 챗GPT 사용을 제한했다. 또 삼성 역시 특정 엔지니어가 코드 생성을 위해 챗GPT를 사용, 소스 코드를 유출한 후 역시 같은 조치를 취했다.

전문가들은 그렇다고 생성 AI를 아예 금지한다고 해서 해결될 문제가 아니라는 지적이다. 오히려 이런 접근 방식을 취하면 생성AI의 사용이 더 많아질 수도 있다는 얘기다.

또 다른 국내 보안업체 W사 관계자는 “엄연히 존재하는 기술임에도 불구하고, 사용을 금지하는 것만 능사가 아니다”면서 “만약 공식적으로 허용한다면 그 사용법이나 문제점에 대해 더 알고 싶어할 것이고, 결국은 개방적인 기업 문화를 조성하는데도 도움이 될 수 있다”고 했다.

이를 위해 회사 경영진들은 생성 AI의 가치와 이점, 생산성을 향상하면서 피로도를 줄일 수 있는 방법을 모색하는게 바람직하다는 조언이다.

이에 따르면 우선 생성AI를 도입할 경우 이를 위한 견고한 시스템과 이를 중심으로 구축된 프로세스가 필요하다. 또 HR이나 마케팅을 포함해 전사적 차원에서 이를 위한 팀을 구성, 감독해야 한다. 또한 교육을 통해 ‘섀도우 AI’가 습관화되는 것을 방지할 수도 있다

즉, 안전한 생성 AI 활용 사례를 교육하고, 챗GPT를 직장에서 안전하게 사용할 수 있는 경우와, 사용할 수 없는 경우에 대한 명확한 지침을 제공해야 한다는 주문이다.

생성AI에 대한 명확한 회사 정책 필요

이 경우 “허용 가능한 AI 도구를 정의하는 지침은 회사의 AI 정책에 명시되어야 한다”는 주장이다. 특히 정책 문구는 매우 명확해야 하고, 직원이 악의적인 의도를 갖고 있지 않더라도 이미 사용 중인 ‘섀도우AI’를 보류하거나, 관리를 철저히 해야 한다. 이미 회사의 기술 스택에 있을 수 있는 AI 솔루션의 경우도 마찬가지다.

또 ‘섀도우 AI’가 실제로 어느 정도의 유용성이 있는지도 따져볼 수 있게 한다. 그에 따라 책임성있고 규정을 준수할 수 있도록 할 수있고, 그런 식으로 통제 가능할 경우 기업에 오히려 도움이 될 수도 있다는 기대다.

또 다른 방법은 ‘섀도우 AI’에 대한 가드레일을 만들고, 감사를 통해 회사가 어떤 데이터를 보유하고 있는지 파악, 관련된 권한을 승인된 직원에게만 허용할 필요가 있다. 그런 직원만 특정 정보에 액세스할 수 있도록 하는 것이다. 이를 통해 ‘섀도우 AI’를 통해 섣불리 민감한 데이터를 LLM에 제출되지 않도록 라벨을 지정하고 암호화할 필요가 있다는 조언이다.