- Sophos의 ‘2025 아시아 태평양 및 일본 사이버 보안의 미래 보고서’에 따르면, 말레이시아 기업의 91%가 업무에 AI 도구를 도입했지만, 36%는 직원들이 승인되지 않은 AI를 사용하고 있음을 인정했는데, 이를 섀도우 AI라고 부릅니다.
- 섀도우 AI는 직원이 IT 또는 보안 부서의 승인이나 감독을 받지 않은 AI 도구를 사용하는 행위입니다. 기업의 41%는 어떤 도구가 사용되고 있는지조차 명확히 알지 못하며, 35%는 이러한 AI 플랫폼에서 보안 취약점을 발견했습니다.
- 결과: 민감한 데이터(고객, 지적 재산, 내부 재무)가 공용 AI 모델에 업로드될 수 있으며, 사용자 인지 없이 정보 노출 또는 외부 유출의 위험을 초래합니다.
- 금융, 통신 및 국영 기업과 같이 엄격하게 규제되는 산업에서는 통제 불가능한 AI 운영이 단순한 보안 위험을 넘어 개인 데이터 보호법(PDPA)을 위반하는 것이며, 이는 중대한 처벌로 이어질 수 있습니다.
- 원인은 악의가 아닙니다. 직원들은 생산성 향상(더 빠른 보고서 작성, 데이터 분석 또는 콘텐츠 생성)을 위해 AI를 사용합니다. 그러나 검토되지 않은 하나의 애플리케이션이나 잘못된 구성만으로도 사이버 공격의 문이 열릴 수 있습니다.
- 전문가 아론 부갈(Aaron Bugal)은 다음과 같이 권고합니다. 기업은 제로 트러스트(기본적으로 신뢰하지 않음) 모델에 따라 AI 관찰 및 모니터링 기능을 강화하고, 보안을 데이터, ID, 장치 및 사용자 행동을 포함한 모든 계층으로 확장해야 합니다.
- 서류상의 정책 외에도, 직원들이 외부 모델에 데이터를 입력할 때의 위험을 이해하도록 돕는 실질적인 AI 인식 교육이 필요합니다.
- 리더는 금지 대신 지침을 제공해야 합니다. 승인되고 안전하며 감독되는 AI 도구를 제공하여 직원들이 시스템 외부의 AI를 ‘몰래 사용’할 필요가 없도록 해야 합니다.
📌 섀도우 AI는 직원이 IT 또는 보안 부서의 승인이나 감독을 받지 않은 AI 도구를 사용하는 행위입니다. 말레이시아 기업의 91%가 AI를 사용하지만, 3분의 1 이상에 섀도우 AI가 존재하며, 이는 내부 데이터 유출을 잠재적으로 야기하는 “어두운 영역”입니다. 리더는 금지 대신 지침을 제공해야 합니다. 승인되고 안전하며 감독되는 AI 도구를 제공하여 직원들이 시스템 외부의 AI를 ‘몰래 사용’할 필요가 없도록 해야 합니다.
