전체메뉴

[애플경제 이윤순 기자] 전세계 기업의 96%가 사이버 보안 대비가 미흡하다는 주장이 나와 눈길을 끈다. 특히 연혁이 짧으면서도 급성장하는 기업들일수록 AI로 인한 보안 문제가 증가하고 있다는 지적이다.더욱이 근로자의 거의 3분의 1이 직장에서 은밀하게 AI(섀도우 AI)를 사용하고 있는 것으로 나타나 더욱 우려를 더하고 있다.

최근 이반티나 시스코, 베리타스 테크놀로지 등 유명 보안기술업체들이 잇따라 내놓은 각종 분석 결과를 보면, ‘섀도우 AI’나, 네트워크와 AI시스템의 취약성으로 나라마다 갈수록 사이버보안 체계가 허술해진다는 얘기다. 급기야 “전세계 기업의 96%, 즉 거의 대부분의 기업이 사이버보안에 문제가 있다”는 지적이 나온 것이다.

시스코 사이버보안 지수 ‘경고’

시스코가 공개한 최신 ‘시스코 사이버 보안 준비 지수’(CCRI, Cisco Cybersecurity Readiness Index)에 따르면, 이처럼 전 세계 기업의 96%가 여전히 ​​수많은 사이버 공격에 대비하지 못한 것으로 나타났다.

네트워크 전문 기업인 시스코는 기업 사이버 보안의 가장 중요한 5가지 축을 기준으로 기업의 사이버 보안 준비도를 ‘성숙’, ‘진보’, ‘형성’, ‘초보’로 분류하고 있다. 사이버 보안의 5가지 축은 ▲ID 인텔리전스 ▲머신 신뢰성 ▲네트워크 복원력 ▲클라우드 강화 ▲AI 강화 등이다.

이를 기준으로 시스코는 세계 각국의 8,000명에 달하는 기업 경영인과 사이버 보안 책임자들을 대상으로 이에 관한 설문 조사를 실시했다. 그 결과 ‘진보’적인 준비를 갖춘 경우는 2024년과 유사한 전체의 26%로 나타난 반면, ‘초보’ 수준은 11%에서 9%로 감소했다.

시스코는 또 “‘진보’ 수준인 경우와 ‘성숙’한 수준이 각각 60%에서 61%로, 3%에서 4%로 소폭 증가했다”고 밝혔다.

시스코가 가장 중요하다고 꼽은 5가지 영역 중 가장 성숙하고 널리 사용되는 기술인 클라우드 컴퓨팅과 네트워킹은 오히려 ‘성숙’도에 있어서, 사이버 보안 준비 상황이 가장 낮은 것으로 나타났다.

역시 새로운 기술 분야임에도 불구하고, AI의 보안 즉 ‘AI 강화’ 측면의 성숙도는 앞서 네트워킹과 비슷한 수준을 보였다. ID 인텔리전스 부문 역시 이와 비슷했다. ‘머신 신뢰성’의 ‘성숙’ 수준은 그 나마 전체에서 두 자릿수 퍼센트에 도달한 유일한 부문이었다. 그러나 그마저 전체의 12%에 불과했다.

성숙한 사이버 보안 준비도가 가장 높은 산업 분야를 살펴보면, 기술 서비스, 미디어 및 통신, 천연자원 분야가 6%를 차지했다. 반면, 초보 수준에서는 의료(14%), 도매(15%), 천연자원(16%)이 뒤를 이었다.

시스코는 특히 “천연자원 산업의 결과를 통해 단일 분야 내에서도 지식과 준비도가 매우 다양할 수 있음을 보여줬다”고 밝혔다.

데이터 포이즈닝 등 위협도 증가

시스코 연구진은 ‘데이터 포이즈닝’, 다시 말해 즉시 주입 공격이나, 모델 도용 등의 방법을 통해 AI 시스템을 노리는 잠재적 해커들이 증가하고 있다고 지적했다. 그럼에도 불구하고 이런 AI 위협에 대응한 시스템은 매우 취약한 편이어서, 그야말로 “많은 기업의 사각지대”로 지목했다.

더욱이 조사 대상자의 51%만이 “사내 직원들이 AI 관련 사이버 위협을 완전히 인지하고 있다고 생각한다”고 대답, 문제의 심각성을 여실히 보여주고 있다. 또한, 응답자의 22%는 “직원들이 타사 생성 AI 도구에 제한 없이 접근할 수 있다”고 답했다. “이는 온갖 종류의 다양한 보안 위험에 그대로 노출된 셈”이란 얘기다.

시스코는 또 “직원들이 업무에서 AI를 어떻게 사용하든, IT 팀의 가시성과 통제력은 제한적인 현실”이라며, “전체 5명 중 3명은 생성AI 도구를 사용하는 직원들의 특정 메시지나 요청을 확인할 방도가 없다고 답했다”고 밝혔다.

그 때문에 “규제되지 않은 AI 배포, 즉 ‘섀도 AI’는 보안 팀이 볼 수 없는 부분을 모니터링하고 통제하기 어렵기 때문에 심각한 사이버 보안 및 데이터 개인 정보 보호 위험을 초래한다”고 경고했다.

이반티 “기업 3분의 1 이상이 ‘섀도AI’ 일상화”

실제로 사이버보안기술 업체인 ‘이반티’에 의하면 사무직 근로자의 거의 절반이 고용주가 제공하지 않는 AI 도구를 사용하고 있다고 답했으며, 거의 3분의 1은 이를 비밀로 하고 있다. 그 중 36%는 AI 도구가 은밀한 이점을 제공한다고 생각하기 때문이라고 답했고, 10명 중 3명은 일자리가 줄어들까 봐 걱정했다. 그러면서도 많은 경우 “AI로 인한 사기꾼 증후군을 겪고 있다”고 답하며, “사람들이 자신의 능력을 의심하는 것을 원치 않는다”고 말했다.

‘이반티’의 2025년 직장 기술 보고서에 따르면 직장에서 AI 사용이 증가하고 있으며, 2025년에는 직원의 42%가 일상 업무에 AI 기술을 사용하고 있다. 그러나 조사 대상자의 38%는 여전히 무단 도구를 사용하고 있다. 이반티는 “이런 ‘섀도 AI’ 사용 추세가 증가하고 있는 것은 심각한 현상이며, 경영진은 이를 엄격히 단속해야 한다”고 지적했다.

이에 “사업주 내지 기업은 AI 사용이 보안 및 거버넌스 기준을 준수하는지 평가하는 것이 중요하다.”며 “적절한 지침이나 승인 없이 이 기술을 도입하는 직원은 사이버공격자들을 부추기며, 귀중한 회사 지적 재산권을 위험에 빠뜨릴 수 있다”고 경고했다.

이 뿐 아니다. 베리타스 테크놀러지(Veritas Technologies)의 연구에 따르면 영국 사무직 근로자의 3분의 1 이상이 “본인이나 동료가 고객 재무 데이터와 같은 민감한 정보를 LLM(경영학 석사)에게 제공했다”고 답했다. 그러나 10명 중 6명은 이것이 기밀 정보 유출 및 데이터 개인정보 보호 규정 위반으로 이어질 수 있다는 사실을 인지하지 못한 것으로 나타나 충격을 더해죽 있다. 이에 “이러한 위험을 완화하기 위해 기업은 AI 도구 사용에 대한 명확한 정책과 지침을 시행하고, 직원들에게 잠재적인 보안 및 윤리적 영향에 대한 교육을 정기적으로 실시해야 한다.”는 주문이다.