회사 승인없는 ‘섀도우AI’․‘섀도우 SaaS’, “해커에게 현관 열쇠주는 격”
“악성코드 등 AI와 SaaS 타고 침입…사이버보안에 치명적”
[애플경제 이지향 기자] 회사가 승인하지 않은 AI나 SaaS를 몰래 혹은 무심코 사용하는 경우가 적지 않다. 일반 직장인들 간에는 별 문제의식을 느끼지 못한채 무심코 이를 활용하기도 한다. 그러나 이는 위험천만이다. 최근 조사에 의하면 이같은 ‘섀도우 AI’ 또는 그 속에 내재된 ‘섀도우 SaaS’야말로 외부의 사이버공격자에게 아주 편리한 공격 통로가 된다. 마치 현관문과 금고를 활짝 열어놓은 것이나 다름없다는 지적이다.
이로 인해 ‘섀도우 SasS’와 ‘섀도우 AI’는 자칫 회사 데이터에 대한 침해와, 그로 인한 유출 등의 위험에 빠뜨리기 십상이다. 보안 전문가들도 특히 ‘섀도우 AI’를 업고 들어오는 ‘섀도우 SaaS’가 날로 증가하는 현실을 경고하고 있다.
실제로 해외의 권위있는 조사들에 의하면 국적을 불문하고 대체로 4분의 3의 직장인들이 직장에서 승인되지 않은 SaaS 애플리케이션을 사용하고 있음을 인정했다. 이는 국내 직장 문화 역시 다를 것 없다는 지적이다. 이미 분야를 막론하고, 국내 직장인들도 자신이 임의로 AI챗봇을 업무에 활용하는 경우가 비일비재하다.
국적 불문, 직장인들 ‘섀도우 AI․SaaS’ 널리 활용
세계 최대 규모의 IT 보안 컨퍼런스인 ‘RSA 컨퍼런스 2024’, 그리고 ‘Infosecurity Europe 2024’에서 보안솔루션 업체인 ‘Next DLP’가 실시한 설문조사 역시 마찬가지다. 250명 이상의 글로벌 보안 전문가를 대상으로 실시한 설문 조사에서 73%는 “작년에 회사 IT 팀의 승인을 받지 않은 SaaS 애플리케이션을 사용한 적이 있다”고 인정했다.
응답자의 65%가 그로 인한 ‘데이터 손실’을 꼽았고, 62%는 ‘가시성 및 통제력 부족’을 지적했다. 52%는 승인되지 않은 도구 사용에 따른 가장 큰 위험으로 ‘데이터 침해’를 꼽는 등 그 위험성에 대해선 매우 잘 인식하고 있는 것으로 나타났다. 그러나 40명의 보안 전문가들은 “직원들이 섀도우 SaaS 및 섀도우 AI와 관련된 데이터 보안 위험을 제대로 이해하고 있지 않다고 생각한다”고 말해 문제의 심각성을 보여줬다.
그럼에도 불구하고 이러한 잘못된 습관에 대한 명확한 대책과 그로 인한 성과를 거뒀다고 답한 사람은 37%에 불과했다. 더욱이 이런 문제를 최소화하기 위해 승인된 업무 도구를 적극 홍보하고 있다는 전문가는 28%에 불과했다.
국내서도 업종 불문, 임의로 생성AI 챗봇 사용
사실 국내에서도 일반 기업을 비롯해 언론, 금융, 관공서 등을 불문하고, 챗GPT나 클로드, 제미니 등의 생성AI 기반 챗봇을 임의로 사용하는 관행이 팽배하고 있다. 그러나 이런 행위야말로 조직의 사이버보안을 무력하게 만든다는 지적이다.
앞서 설문조사를 실시한 ‘Next DLP’측은 “이번 조사를 보면, 승인되지 않은 도구 사용에 대한 직원들의 문제의식은 낮은 반면, 이런 위험과 문제를 해결하려는 기업의 적극적인 대처 능력은 매우 미흡한 것으로 나타났다”고 밝혔다.
그나마 10명 중 1명 정도가 자신의 직장이 ‘섀도우 SaaS’ 사용으로 인해 데이터 침해나 데이터 손실을 겪었다고 확신하는 수준이었다. 그 만큼 이에 대한 문제의식을 갖고 있는 사람의 드물다는 얘기다. 그래서 “위험이 큰 만큼 보안 팀이 엄격한 조치를 취하거나 최소한 대안을 제시하는 것이 필수적”이란 지적이다. ‘Next DLP’는 또 “보안팀은 ‘섀도우 SaaS’와 AI 사용 범위를 실시간으로 점검하고, 직원들이 자주 사용하는 도구를 식별하고, 승인된 도구만을 허용토록 해야 한다”고 주문했다.
물론 기업들은 ‘섀도우 AI’에 관해 직원들이나 개인보다는 더 경계하고 있다. 조사 대상인 기업체 절반은 “AI 사용이 조직 내 특정 직무 및 역할로 제한되었다”고 답하거나, 그 중 16%는 아예 AI기술을 완전히 금지한 것으로 나타났다. 기업들이 자사 직원들의 생성 AI 사용에 대해선 한층 엄격한 지침과 시스템을 적용하고 있는 셈이다.
“철저한 보안 교육, 관리 필요”
보안 전문가들은 분명 생성AI로 인한 보안 문제를 우려하며, 경계 태세를 유지하고 있으나, “안타깝게도 승인되지 않은 AI기술과 관련된 데이터 침해는 새로운 것이 아니다”란 입장이다. 그래서 기업체들은 늘 직원들이 사용하는 각종 자동화 도구와 사용 방법을 면밀히 파악하고 관리할 필요가 있다는 지적이다. 또 이에 관해 직원들에게 철저한 교육도 병행할 것을 주문하고 있다.
다국적 SaaS 전문기업인 ‘WalkMe’의 최근 연구에 따르면 영국 의회의 경우 종사자 10명 중 4명이 그런 책임감이나 문제의식이 없이, ‘섀도우 AI’ 내지 ‘섀도우 SaaS’를 사용하는 것으로 나타났다. 또 의회 당국도 이를 사실상 허용하고 있는 것으로 알려졌다.
또한 기업 데이터 관리 전문업체인 ‘Veritas’는 “영국의 직장인 중 5분의 2는 자신이나 동료가 공개적인 생성AI 도구를 활용해 고객이나, 재무 또는 판매 데이터와 같은 민감한 정보를 입력하고 있다”고 IT프로포탈에 밝혔다. 그럼에도 10명 중 6명은 이로 인해 기밀 정보가 유출되고, 데이터나 개인정보가 누설될 소지가 크다는 사실을 크게 절감하지 못하고 있어 문제의 심각성을 더하고 있다는 지적이다.