최신 연구에 따르면, 직원의 50%에서 75%가 회사에서 발급하지 않은 AI 도구를 사용하고 있으며, 이러한 도구의 활용 빈도와 종류는 빠르게 늘어나고 있습니다. 이와 같은 현상은 ‘Shadow AI’라는 문제를 야기하며, 기업들이 간과할 수 없는 리스크로 떠오르고 있습니다.

Shadow AI는 조직 내에서 승인되지 않거나 관리되지 않은 AI 도구 및 플랫폼 사용을 의미합니다. 이는 직원들이 생산성을 높이거나 반복 작업을 줄이기 위해 독립적으로 AI를 도입하면서 발생합니다. 하지만 특히 CPA 사무소나 법률 사무소와 같이 고객 정보를 안전하게 보호해야 하는 비즈니스에서는 Shadow AI가 중요한 보안 및 규제 리스크를 초래할 수 있습니다.

최근 삼성에서 발생한 사례는 Shadow AI의 리스크를 명확히 보여주는 사례로, 다른 기업들에게도 경각심을 불러일으키고 있습니다.

사례: 삼성의 Shadow AI 데이터 유출 사건

2023년, 삼성의 반도체 부서에서 직원들이 업무 효율화를 위해 ChatGPT와 같은 AI 도구를 사용한 사례가 발생했습니다. 이들은 코드 디버깅, 문서 작성, 문제 해결 등의 업무에 AI를 활용했으나, 이 과정에서 내부 소스 코드와 기술 데이터를 외부 AI 플랫폼에 업로드했습니다.

이 사건으로 인해 다음과 같은 문제가 발생했습니다:

• 기밀 정보 유출 가능성: AI 플랫폼이 클라우드 기반으로 작동하면서, 업로드된 데이터가 외부 서버에 저장되었을 가능성이 높아졌습니다. 이는 삼성의 보안 정책 위반일 뿐 아니라, 기밀 정보 유출로 이어질 가능성을 만들었습니다.
• 컴플라이언스 리스크: GDPR과 같은 글로벌 데이터 보호 법규를 위반했을 가능성이 있으며, 이는 막대한 벌금과 규제 조사를 초래할 수 있는 심각한 문제였습니다.
• 데이터 통제 부족: AI 도구를 통해 외부로 업로드된 데이터는 삼성의 통제 밖에 놓이게 되어 즉각적인 대응이 불가능했습니다.

삼성의 대응 조치

삼성은 사건 직후 전사적으로 ChatGPT와 같은 외부 AI 도구 사용을 전면 금지했습니다. 또한 내부적으로 보안을 강화한 AI 도구를 개발하고, 직원들에게 Shadow AI의 리스크를 교육하며 관련 정책을 강화했습니다. 이와 함께 새로운 AI 도입 절차를 마련해 더 이상의 리스크를 방지했습니다.

Shadow AI로 인한 주요 리스크

삼성의 사례는 Shadow AI가 초래할 수 있는 리스크를 잘 보여줍니다. 특히 CPA 사무소, 법률 사무소 등 고객 데이터를 다루는 기업에서 발생할 수 있는 리스크는 다음과 같습니다:

1. 데이터 유출 및 기밀성 손실:
   Shadow AI 도구는 종종 제3자 서버에서 작동합니다. 민감한 고객 데이터를 업로드하면 기밀 유지 협약 및 규제 비준수를 위반할 위험이 큽니다.
2. 컴플라이언스 위반:
   CPA 사무소및 법률사무소 등은 GDPR, HIPAA 등 엄격한 규제를 준수해야 합니다. 승인되지 않은 AI 도구를 사용하는 것은 규제 위반으로 이어질 수 있습니다.
3. 보안 취약성:
   검증되지 않은 도구는 보안 결함이 있을 가능성이 높으며, 이는 데이터 침해의 주요 원인이 됩니다.
4. 운영 투명성 부족:
   승인되지 않은 AI 도구는 모니터링 및 감사가 어려워, 조직의 통제 및 책임성을 약화시킬 수 있습니다.

Shadow AI는 현대 조직에 필수적인 도구가 될 수 있는 AI의 잠재력을 오히려 약화시킬 수 있는 위험 요인이기도 합니다. 삼성의 사례는 AI 도입 시 책임감 있는 접근과 강력한 보안 및 정책 체계가 얼마나 중요한지 보여줍니다. 특히 고객 데이터를 다루는 CPA 사무소나 법률 사무소와 같은 기업은 AI 사용을 철저히 관리하여 리스크를 줄이고, 신뢰와 규제를 준수하는 환경을 조성해야 합니다.