승인 없는 AI 사용, 핵심 기밀 유출 부른다

작성일 09-04

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">'섀도 AI'사용…기밀 문서·설계도·공정 데이터 등 유출 위험 증대<br>보안 업계 "기술·정책·문화 아우르는 다층적 대응 필요”</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="FY4p58IiHN">
          <figure class="figure_frm origin_fig" contents-hash="c82240bf656fb8f79f7abfaa2fdc40d86eed66a34d588886fc55fefe5d207e65" dmcf-pid="3G8U16Cn5a" dmcf-ptype="figure">
           <p class="link_figure"><img alt="[서울=뉴시스] 이미지 재판매 및 DB금지." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/04/newsis/20250904070139168zjdv.jpg" data-org-width="700" dmcf-mid="tyDJQw7vGj" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/04/newsis/20250904070139168zjdv.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            [서울=뉴시스] 이미지 재판매 및 DB금지.
           </figcaption>
          </figure>
          <p contents-hash="5d7b554f65a2d8a9bc327dd10850d740f1f87708f3da77b6580cc527aeb0ac59" dmcf-pid="0H6utPhLHg" dmcf-ptype="general"><br> [서울=뉴시스]송혜리 기자 = <strong>#직장인 A씨는 문장을 다듬기 위해 회사의 허가를 받지 않은 생성형 인공지능(AI) 서비스에 대외비 문서 초안을 입력했다. 업무를 보다 신속하게 처리하기 위한 "글을 매끄럽게 만들어 달라"는 단순한 요청이었지만, 이 과정에서 해당 문서의 내용은 인터넷을 통해 외부 AI 서버로 전송됐다.</strong></p>
          <p contents-hash="548050ff9880559188ac378cfe87dacde75ee1c9ab86b7b2eb57fa6529dac4f1" dmcf-pid="pXP7FQloto" dmcf-ptype="general">이처럼 IT 부서 승인 없이 현업에서 자체적으로 AI 서비스를 사용하는 '섀도(Shadow) AI'가 새로운 보안 리스크로 떠올랐다.</p>
          <p contents-hash="ed60ca2b8c945eabebdd659a4bc5ef192e52970244feb58ee7500494e7f19d53" dmcf-pid="UZQz3xSgHL" dmcf-ptype="general">IBM이 최근 발표한 '2025 데이터 유출 비용 보고서'에 따르면 조사에 참여한 조직의 20%는 섀도 AI와 관련된 보안 사고를 겪었다고 응답했으며, 이로 인한 평균 추가 비용은 20만321달러(약 2억7000만원)에 달했다. 게다가 섀도 AI가 개입된 유출 사고는 탐지 및 대응에 평균 10일이 더 소요됐으며, 개인 식별 정보(PII)와 지적재산(IP) 데이터의 유출 비율도 각각 65%, 40%로 더 높았다.</p>
          <h3 contents-hash="20647ffeebc54cefc2071704c125eb54094fde47ce7cb570b55d764b57001fd2" dmcf-pid="u5xq0Mvatn" dmcf-ptype="h3">"일을 좀 빨리하고 싶었을 뿐인데"…몰래 쓴 AI로 회사 기밀 유출</h3>
          <div contents-hash="3453cd2314d0ed5c0330c4330c99bb26c4864811c81c679ffdfee370e0bd181b" dmcf-pid="71MBpRTNti" dmcf-ptype="general">
            섀도 AI는 회사의 공식 승인 없이 개인이나 부서가 비공식적으로 AI 서비스를 사용하는 것을 말한다. 이름 그대로 조직의 그림자 속에서 몰래 쓰이는 AI다. 
          </div>
          <p contents-hash="e818abe3390c179c8983cd6218fe9b32455aa6f249c5faa546d27d90c56d67e6" dmcf-pid="ztRbUeyjtJ" dmcf-ptype="general">섀도 AI의 사용은 표면적으로는 업무 생산성 향상 및 개인 업무 보조를 목적으로 하나, 보안적 관점에서는 비인가 채널을 통한 고위험 데이터 전송 행위로 간주된다.</p>
          <p contents-hash="b2c1d8bb386c1fee9d3e44ea43df7fc12f2ab88739d42efb50cff3965eb4ebc8" dmcf-pid="qD3vO0o95d" dmcf-ptype="general">섀도 AI활용 과정에서 사용자는 보안이나 데이터 처리 규정을 충분히 인지하지 못한 채 내부 문서나 설계 도면 등을 입력하거나, AI가 생성한 결과물을 검증 없이 업무에 활용하는 일이 발생하기 때문이다. 이런 과정에서 민감한 데이터가 기업 외부 서버에 자동으로 저장되거나 캐싱되는 구조 자체를 인식하지 못하는 경우도 적지 않다.</p>
          <p contents-hash="2a68aab9b10ff7ce6f7bcbd444de08526c6d745a214edc7412716d85d6d542e1" dmcf-pid="Bw0TIpg2Ye" dmcf-ptype="general">특히 제조업과 같은 지식집약적 산업에서는 산업 기밀, 생산 레시피, 라우팅 정보, 설계 도면, 설비로직 등 핵심 자산이 무단으로 외부에 전송될 경우, 중대한 보안 위협으로 작용할 수 있다. </p>
          <p contents-hash="e1ea02077d1d150901afc758c37373a59f2fef654df2eb5c6dbae534b54d5baa" dmcf-pid="brpyCUaVXR" dmcf-ptype="general">예를 들어, 연구개발 직원이 설계 도면 내용을 AI에게 설명하며 도움을 요청하거나 제조팀이 공정 데이터를 입력해 더 나은 생산 방법을 찾으려는 경우가 있다. </p>
          <p contents-hash="daefc86746bf93dde61f0c61d682c53d0c4aa95bbbb69e8283fe31c9f6e0b94f" dmcf-pid="KmUWhuNf1M" dmcf-ptype="general">이때 입력한 데이터는 대부분 HTTPS 기반의 비정형 애플리케이션프로그래밍인터페이스(API) 트래픽으로 전송되기 때문에, 기존 보안 시스템에서는 그 내용을 식별하거나 통제하기 어렵다는 문제가 있다. 만약 해당 프롬프트가 외부 AI 서비스의 학습 데이터로 활용되거나 장기간 저장될 경우, 향후 동일 산업 분야의 AI 학습에 그대로 재사용될 위험이 있다는 게 보안 업계의 지적이다. </p>
          <h3 contents-hash="2474c4db71f0693e1362bd3fd28e5b832c777355582a527223fe03ff77b90585" dmcf-pid="9suYl7j41x" dmcf-ptype="h3">"직원의 부주의 아닌 보안 거버넌스 구조적 결함"</h3>
          <div contents-hash="864f7d9ad91df077aac171ec2168f76c055e6115e6caf1419a5852628634706b" dmcf-pid="2O7GSzA8tQ" dmcf-ptype="general">
            SK쉴더스는 섀도 AI를 단순한 직원의 부주의가 아니라 보안 거버넌스 체계에 숨겨져 있던 구조적 결함이 드러난 신호라고 설명했다. 따라서 생성형 AI를 무조건 막기보다는 안전하게 활용할 수 있는 지침과 관리 체계를 갖추는 것이 더 중요하다고 강조했다.
          </div>
          <p contents-hash="452a1ab980c1ec9ef98b99dbcbbb6855ba20289dfc698558c49a4616e45b0ff1" dmcf-pid="VIzHvqc6GP" dmcf-ptype="general">먼저, 조직 안에서 섀도우 AI가 어디서, 어떻게 쓰이고 있는지 현황을 파악하는 것이 출발점이다. 실제 사고 사례를 교육 자료로 공유해 직원들이 위험을 체감하도록 하고 부서별로 어떤 정보가 민감한지 분류하는 작업도 필요하다.</p>
          <p contents-hash="fb31073fcdef76047c8a067d906eda2d385856c50e2d0a483c768a5f6d2a4094" dmcf-pid="fCqXTBkPG6" dmcf-ptype="general">정책 및 기술적 통제도 수반돼야 한다. SK쉴더스는 "회사 차원의 명확한 AI 사용 정책을 수립해 전사적으로 공유하고 직무별 권한을 역할 기반 접근제어(RBAC) 방식으로 구분해야 한다"고 강조했다. 아울러 "민감 정보에는 데이터 유출 방지(DLP) 정책을 적용하고 필요할 경우 보안 관문 역할을 하는 프록시 서버를 통해 외부 AI 서비스 접속을 차단할 수 있다"고 설명했다. </p>
          <p contents-hash="2f9c843a17fac98c7073a2e9249433d0c222e1178f32378eb858ba0062005578" dmcf-pid="4hBZybEQY8" dmcf-ptype="general">일회성 조치가 아니라 대응 체계를 조직 문화로 뿌리내리는 과정도 필요하다. AI 거버넌스 위원회를 운영하고 부서별 보안 책임제를 도입해 정기적으로 점검한다. 아울러 AI 사용 현황을 모니터링해 리포트를 만들고 정기 교육과 컴플라이언스 대응 체계도 갖춰야 한다.</p>
          <p contents-hash="1fe2f24622b571dc8d0126ef7da2f09c4cb21670e616b5ecc83304e10a3d7ef5" dmcf-pid="8lb5WKDxG4" dmcf-ptype="general">SK쉴더스 관계자는 "섀도 AI를 방지하려면 회사의 기술·정책·문화가 함께 작동하는 다층적 대응이 필요하며, 이는 일회성 대책이 아니라 조직문화와 보안체계 속에 자리 잡아야 한다"고 당부했다.</p>
          <p contents-hash="581a08597c68174dfcc7fa91d840fcefecd391eb7c19f9d6429d5e358980de5b" dmcf-pid="6SK1Y9wMHf" dmcf-ptype="general"><span>☞공감언론 뉴시스</span> chewoo@newsis.com </p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p>

이전

‘골때녀’ 제이 선출 의혹

09-04
다음

다우데이타, IT 솔루션 마켓플레이스 '디지털존' 그랜드 오픈…IT 솔루션 원스톱 생태계 구축 본격화

09-04

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

승인 없는 AI 사용, 핵심 기밀 유출 부른다

멤버랭킹

관련자료

멤버랭킹