회사 승인 없는 ‘섀도우 AI’ 도구로 코딩 관행 확산
코드 기밀 유출, 기본 파일 통한 사이버공격 유발 위험 등
[애플경제 이윤순 기자] 섀도우 AI(Shadow AI)가 SW개발 부문에 적잖게 쓰이다보니, 해당 업계나 기업들의 보안을 심각하게 위협할 것이란 우려가 커지고 있다. 이미 해외 IT업계를 비롯한 산업 각 부문에선 이런 현상이 더욱 심한 것으로 전해지고 있다. 국내도 사정은 크게 다르지 않다. SW개발 전문업체들은 물론, IT부서를 운영하는 국내 기업들 중에서도 이런 조짐이 최근 나타나고 있다.
개발자들 “AI도구, 개발 시간 절반으로 빨라져”
앞서 지난해 11월 ‘2024 AIoT 국제전시회’에서 만난 한 보안업체 관계자는 “국내에서 IT 부서 개발자의 상당수가 직장에서 승인되지 않은 AI 도구를 사용하는 것으로 안다”면서 “이는 자칫 회사를 (사이버범죄자들의) ‘먹잇감’이 되게 할 위험을 초래한다”고 우려했다. 물리 보안에서 최근엔 사이버보안에 좀더 무게를 두고 있다는 이 회사는 “결국은 온·오프 보안 시스템 전체에 위해를 가하는 것이어서 대책이 필요하다”고 했다.
소프트웨어 개발자들은 업무를 좀더 편리하고 신속하게 하기 위해 위해 AI 도구로 점점 더 몰리고 있는게 현실이다. 실제로 해외의 한 연구에 따르면 실태 조사 대상이 된 솔루션 개발자들의 절반 이상이 “AI를 활용하면 개발 소요시간이 절반 이하로 줄어들기 때문에 회사가 승인하지 않은 경우라도 어쩔 수 없이 사용할 수 밖에 없다”는 응답이 많았다.
또 다른 조사에선 그 때문에 미 시장조사업체인 ‘Harness’의 소프트웨어 제공 현황 보고서 결과에 따르면 개발자의 절반 이상(52%)이 IT 승인 도구를 사용하지 않아 상당한 규정 준수 및 지적 재산권 문제가 발생한 것으로 전해졌다. 해당 보고서는 “특히 눈에 띄는 것은 회사에서 승인한 코딩 도구로는 개발업무를 진행하는데 태부족이란 하소연”이라고 했다.
‘섀도우 AI 생성 코드, 식별도 어려운게 문제“
그럼에도 불구하고, AI 코드 생성 도구를 개인이 무단으로 갖다쓰는 것은 심각한 보안 문제를 유발할 수 있는 만큼 대책이 절실하다는 지적이다. 이런 섀도우 AI는 특히 IT개발 팀에 심각한 우려를 안겨주는 치명적 원인이라는 우려가 커지고 있다. 그 과정에서 개발자는 적절한 관리나 통제없이 민감한 코드 정보나 단서를 타사 AI 도구나 시스템에 노출시킬 가능성이 크다.
그렇다고 해서 당장은 어느 코드가 (섀도우) AI에서 생성된 것인지, 또 생성된 코드의 출처(섀도우 AI 사용 여부)를 추적할 수 없다는게 큰 문제다. 팀 전체에서 개발자들에 대해 일관된 보안 표준을 정한다고 해도, 이를 어떻게 실현할 수 있는가도 장담할 수 없는 현실이다.
이런 문제는 비단 소프트웨어 개발업계만의 현상이 아니다. 실제로 시중에 (AI를 기반으로) 출시된 수많은 제품들 가운데 섀도우 AI를 도입하는 경우가 급속히 늘어나고 있다.
국내 대표적인 사이버보안업체 이글루코퍼레이션의 한 관계자는 “특히 스타트업의 경우, 체계적인 관리와 모니터링 시스템이 허술하다보니, 직원이 알아서 각종 생성AI 도구를 기반으로 ‘아이디어 제품’을 생산하는 경우가 적지않다”면서 “일단 아이디어를 제품화해서, 시장을 뚫는게 중요하다보니 이런저런 (AI 지침 등) 조건을 따질 겨를이 없는게 문제”라고 일각의 분위기를 전하기도 했다.
글로벌 업계, 더욱 심각한 현안으로 부상
이는 특히 실리콘밸리 등 글로벌 업계에선 더욱 심각한 현안으로 떠오르고 있다. ‘섀도우 AI’의 부상은 이미 지난 2년 여 전부터 산업 각 분야에 다양한 AI 형태로 몰려들면서 문제가 되곤 했다. ‘소프트웨어 AG’사의 경우 별도 조사를 통해 이런 현실을 구체적으로 적시하기도 했다. 이에 따르면 2024년 하반기 들어 조사 대상이 된 지식 노동자의 75%가 이미 AI를 사용하는데, 가까운 미래에 90% 이상이 될 것으로 예상했다. 문제는 그 중 50% 이상이 그련 경우 개인 또는 회사에서 제공하지 않은 도구를 사용한다고 밝혔다.
IT프로 등에 의하면 또한 고객 서비스 플랫폼인 ‘Zendesk’의 또 다른 연구도 이와 비슷하다. 즉, “대상이 된 산업 부문 중 ‘승인되지 않은 AI 도구’를 사용한 비율이 연간 2배 반이나 증가”했다는 결론이다. 특히 금융 서비스 부문이 가장 그런 현상이 심했고, 의료와 제조 산업도 ‘섀도우 AI’ 사용 수준이 매우 높았다.
이런 경우 공격자는 수월하게 기본 시스템 파일을 사용, 공격할 수 있다. 그래서 “기업으로선 AI로 인한 편의를 추구하면서 보안을 철저히 할 수 있는 방안을 속히 마련해야 한다”는 조언이다. 즉, AI 사용에 대한 견고한 보안 정책이 필요한 것이다.
특히 소프트웨어 엔지니어링 과정에서 ‘섀도우 AI’ 코딩 관행을 관리 내지 통제할 필요가 있다는 지적이다. 이를 위해 회사 차원에서 코드의 취약성이나 오류를 평가하는 프로세스를 규정하는 정책이 필요하다. 또 사용 중인 AI가 안전한지 여부를 점검하고, 실제로 테스트를 통해 이를 검증해야한다는 조언도 따른다.
“‘섀도우AI’ 방지엔 무엇보다 ‘사람’이 중요”
그러나 무엇보다 중요한 것은 ‘사람’이다. 앞서 ‘2024 AIoT국제박람회’에 참가했던 보안업체 관계자는 “회사마다 직원들의 업무 풍토를 새로이 한다는 차원에서 개인마다 사용하는 AI 시스템에 대한 책임감을 고취시키는 교육이 중요하다”고 했다.
“인간적인 측면이 제일 중요하다고 봐야죠. 특히 스타트업의 경우는 비용을 걱정하기보단, AI 관행에 대한 사내 교육이나 실천적 프로그램에 과감히 투자할 필요가 있습니다. 각자 AI에 대해 책임감을 가져야 하죠”
그는 “그래서 위험을 식별·완화하며, 윤리적이고 효과적인 AI 솔루션 개발에 기여할 수 있도록 해야 할 것”이라고 강조했다.
이에 따르면 특히 중소기업의 경우 많은 직장인들은 회사가 제대로 투자로 안하고 비용 절감만 외친다는 인식이 많다. 그 때문에 ‘섀도우 AI’에 대한 책임감이나 죄의식이 크지 않다는 지적이다. 그래서 더욱 “기업으로선 사이버 보안 위험과 그로 인한 기업의 피해와 경쟁력 낙후 등을 만기 위해서도 교육과 설명가능한AI에 대한 투자를 게을리해선 안 된다”는 주문이다.