“섀도AI, 기밀 데이터 유출 급증”…SK쉴더스 다층 보안거버넌스 강조

비인가 인공지능(AI) 서비스 이용이 산업 현장의 기밀 데이터 유출로 직결되는 리스크 요인으로 부상하고 있다. 기업 승인 없이 개인이나 부서 단위로 자체적으로 AI를 활용하는 ‘섀도AI’가 확산되면서, 민감 정보 노출과 접근 통제를 둘러싼 우려가 높아지고 있다. IBM이 2025 데이터 유출 비용 보고서를 통해 밝힌 바에 따르면, 전 세계 조직의 20%는 지난해 섀도AI 관련 보안 사고를 경험한 것으로 조사됐다. 이들 사고에서는 유출 데이터의 65%가 개인 식별 정보, 40%가 지적 재산(IP) 관련 데이터였으며, 추가 피해 비용은 2억원 이상으로 집계됐다. 업계는 ‘AI 중심 디지털 전환’ 경쟁 본격화 국면에서 조직 차원의 거버넌스 결함이 속속 드러난 것으로 보고 있다.

섀도AI란 조직의 공식 승인 없이 개인이나 현장 부서가 외부 AI 서비스를 비공식·몰래 이용하는 관행을 일컫는다. 현업 생산성 개선이나 업무 효율화 등의 명목이 있지만, 승인되지 않은 채 대외비 문서·설계 도면·연구 데이터를 입력할 경우 사실상 보안 규정 이탈로 간주된다. 특히 입력 데이터가 HTTPS 기반의 비정형 API 트래픽으로 전송돼 기존 시스템 보안망에서 탐지·차단이 어렵고, 데이터가 외부 서버와 AI 학습 소재로 재사용 가능한 구조라는 점에서 신규 유형의 기업 자산 유출 위험이 발생하고 있다. 제조, R&D, IT 등 지식집약 산업에서 산업 기밀·공정 레시피·설계 로직 등이 무단 유출된 사고 사례가 잇따르고 있다.

업계에서는 섀도AI 확산의 원인이 일부 직원의 부주의가 아니라 기업 보안 거버넌스 전반의 구조적 허점에 있다고 진단한다. SK쉴더스는 단순 금지 정책만으로는 한계가 뚜렷하다며, 우선 조직 내 어디에서 섀도AI 활용이 발생하는지 현황 파악이 선행돼야 한다고 강조했다. 이어 민감 정보 분류, 실제 유출·피해 사례 중심의 내부 교육 강화, 부서별 역할 기반 접근제어 도입, AI 사용 정책의 전사적 공개 등 다각적 대응이 필요하다고 지적했다. 정책과 더불어 프록시 서버, 데이터 유출 방지(DLP) 솔루션 등 기술 기반의 막기도 병행할 것을 주문했다.

국내외에서 섀도AI를 포함한 AI 내부통제 강화를 목적으로 한 제도 논의가 활발하다. 미국·유럽 등에서는 AI 도입 시 데이터 거버넌스, 개인 정보보호, AI 생성 정보 활용 투명성에 대한 규제가 논의된다. 국내에서도 과기정통부, 개인정보위 중심으로 AI 데이터 정책과 보안 방안을 추진 중이다.

AI 거버넌스를 일회성으로 점검하는 단계에서 벗어나, 위원회 운영 및 정기 모니터링, 컴플라이언스 보고, 전 임직원 대상 지속적 교육 체계로 발전시켜야 한다는 목소리가 높아지고 있다. 업계는 섀도AI를 방지하는 다층적 대응 체계 마련 여부가 앞으로 기업 경쟁력 및 보안 체계의 전환점이 될 수 있다고 보고 있다. 산업계는 이번 보안 이슈가 실제 시장 내 조직문화와 정책, 기술구조까지 아우른 혁신 계기로 이어질지 주목하고 있다.