기고 | '무작정 막을 순 없다'... 섀도우 AI를 보다 효과적으로 다루는 방법

AI 도구의 사용에 있어 직원의 불만과 조직의 위험을 모두 완화하기 위해서는, 안정성이 입증된 AI 도구의 사용을 허용하되 명시된 가이드라인 내에서만 사용하도록 하는 방법이 도움이 될 수 있다.
 

CIO와 CISO는 섀도우 IT 문제, 즉 조직 내에서 자주 사용되지만 IT 또는 보안 부서에서 공식적으로 승인하지 않은 기술 문제와 오랫동안 씨름해 왔다. 가트너의 연구에 따르면 2022년에 직원 41%가 IT 부서의 가시 범위 밖에서 기술을 얻거나 수정하고 생성했으며, 2027년에는 그 수가 75%까지 증가할 것으로 예상됐다. 섀도우 IT는 보안에 많은 영향을 미칠 수 있다. ‘모르는 것’을 보호할 수는 없기 때문이다.

이러한 현상은 AI 도구에 있어서도 마찬가지다. 직원들은 챗GPT나 구글 바드 같은 도구를 업무에 점점 더 많이 실험하고 있다. 실험과 창의성은 긍정적인 측면이 있지만, 문제는 이러한 도구가 IT 또는 보안 부서 모르게 사용된다는 점이다.

이는 CISO와 리더들이 직면한 과제로 이어진다. 어떻게 하면 직원들이 기호에 따라 AI 도구를 사용할 수 있도록 지원하면서, 조직의 잠재적 위험을 완화하고 사이버 보안 위기를 겪지 않도록 할 수 있을까?

섀도우 AI 문제의 대두
직원들이 생성형 AI, 머신러닝, 대규모 언어 모델(LLM)을 사용하고 싶어 하는 것은 당연한 일이다. AI 기술은 프로세스 효율성, 개인 생산성, 심지어 고객 참여까지 빠르게 개선할 잠재력이 있다.

AI를 적용하면 일부 영역에서는 프로세스 효율성이 크게 개선된다. AI는 보안 프로세스뿐만 아니라 SOC 운영 지원, 엔지니어 업무량 및 단조로움 감소에도 도움이 된다. 이러한 개선 사항은 산업, 직무 및 조직 전반에 걸쳐 적용돼 가고 있다.

하지만 직원들이 적절한 경로를 거치지 않고 도구를 사용하기 시작하면 문제가 발생한다. 일부 직원들은 그저 효과가 있을 것 같거나 들어본 적이 있는 도구를 골라서 사용하기 시작한다. 유즈 케이스를 파악할 수 있는 조직 차원의 구매가 이뤄지지 않았기 때문에, IT 부서는 적절한 도구를 선택하고, 사용이 적합한 시기와 그렇지 않은 시기를 식별하기 어려울 것이다. 이렇게 되면 위험 요소는 급증한다.

승인되지 않은 도구의 위험성 이해
섀도우 IT의 위험 요소는 몇 가지 형태로 나타난다. 위험 요소 중 일부는 조직의 승인 여부와 관계없이 AI 도구 전반의 문제로 지적된다.

위험 요소에는 우선 정보 무결성(information integrity) 문제가 있다. 현재 AI 기반 도구에 대한 표준이나 규정이 마련되지 않았기 때문에, 얻은 결과를 신뢰할 수 없는 ‘가비지 인, 가비지 아웃(garbage in, garbage out)’ 문제가 발생하기 쉽다. 편견 역시 주요 위험 요소다. AI의 학습 방식에 따라 과거의 편견이 반영돼 부정확한 정보가 제공될 수 있다.

정보 유출도 우려되는 부분이다. AI 도구에는 기밀 정보가 입력되는 경우가 많은데, 해당 데이터를 되돌릴 방법은 없다. 이는 유럽연합(EU)의 일반 개인정보 보호법(GDPR)처럼 엄격한 데이터 프라이버시와 투명성을 요구하는 규정에 위배될 수 있다. EU의 새 AI법은 AI 시스템을 엄격하게 규제한다는 내용이다. 직원이 AI를 사용하다 법률을 위반할 경우, 경영진이 이를 인지했는지 여부와 관계없이 조직은 위험에 빠질 수 있다.

미래의 규정 준수 요건은 오늘날 조직이 반드시 해결해야 하는, ‘모른다는 것을 모르는 것(unknown unknowns)’의 문제다. 이러한 위험이 다가올 것이라는 사실은 사회적으로 오래전부터 알려져 왔으나 지금은 위험이 훨씬 더 빠른 속도로 진화하고 있다. 이에 대비하고 있는 조직도 거의 없는 상황이다.

직원의 AI 도구 사용을 IT 및 보안 부서가 완전히 파악하지 못한다면 문제는 매우 복잡해진다. 조직 내에서 어떤 도구가 어떻게 사용되는지 IT 또는 보안 부서가 알지 못하면 정보 무결성 및 정보 유출 문제의 위험을 예방할 수도, 완화할 수도 없다.

악성 행위를 차단하기 위한 AI 절충안
AI 기술과 도입은 빠른 속도로 진화하고 있다. IT 및 보안 리더십의 관점에서 2가지 옵션을 제시할 수 있다. 하나는 조직 내 AI 사용을 전면 금지하고 제한 조치를 실제로 구현할 방법을 찾는 것이다. 다른 하나는 AI를 수용하면서도 문제를 해결하는 방법이다.

보안 부서는 조직 전체의 AI 사용을 차단하는 즉각적인 조치를 취할 수도 있다. 하지만 이 접근 방식은 틀림없이 실패할 수밖에 없다. 직원들이 제한을 우회하는 방법을 찾거나, 업무 수행에 가장 도움이 된다고 생각되는 도구를 사용하지 못한다는 사실에 좌절감을 느낄 수 있기 때문이다.

따라서 대부분의 조직에는 AI를 수용하면서 문제를 해결하는 방식이 더 적합하다. 이는 신중하고 양심적으로 수행돼야 한다. 앞서 언급했듯 현재로서는 외부 규정도 없고 지침을 얻을 수 있는 명확한 기준도 없다. 존재하는 규정조차도 항상 시대에 뒤처지기 마련이다. 규정 개선 속도는 현실적으로 기술 발전 속도를 따라잡을 수 없다.

AI 도구를 더 안전하게 사용하기 위한 우수 사례
직원들의 AI 사용을 허용하기 좋은 출발점은, 먼저 조직의 유즈 케이스에 알맞은 AI 도구를 파악하는 데 집중하는 것이다. 이미 해당 분야에 진출한 벤더를 찾아 데모 버전을 받아볼 수 있다. 필요한 도구를 찾았다면 도구 사용에 대한 규칙을 세워야 한다.

조직의 IT 및 보안 태세의 수준이 낮으면, AI 도구 사용의 인사이트를 얻는 것이 어려울 수도 있다. 관리자가 아닌 개인이 노트북을 사용할 수 없도록 강력한 제어 기능을 갖췄거나 데이터 손실 방지(DLP) 같은 솔루션을 마련한 조직도 있을 것이다.

일련의 가이드라인과 규칙의 마련은 조직에 매우 유용하다. 여기에는 프라이버시, 책임, 투명성, 공정성, 안전 및 보안과 같은 요소가 담길 수 있다. 이 단계는 조직이 책임감 있게 AI를 사용할 수 있도록 하는 핵심 단계다.

직원 교육도 마찬가지로 중요하다. 사이버 보안을 갖출 때처럼 IT 부서의 직원은 부적절한 AI 사용과 위험에 대한 1차 방어선을 구축한다. 조직은 직원들이 AI 사용 가이드라인을 철저히 숙지하고 있는지 확인해야 한다.

AI를 섀도우에서 끌어내기
현재 직원 중 누군가는 업무를 위해 승인되지 않은 AI 도구를 사용하고 있을 가능성이 높다. 이는 보안 및 위험 관점에서 큰 골칫거리가 된다. 하지만 직원들이 최고의 성과를 내는 데 도움이 되는 AI 도구는 사용을 보장할 필요도 있다. 섀도우 AI의 위험에 대비하려면 안정성이 입증된 도구의 사용을 허용하고, 가이드라인 내에서만 도구를 사용하도록 해야 한다. 그래야 직원의 불만과 조직의 위험 요소를 모두 완화할 수 있다.

*Kayla Williams는 클라우드 네이티브 보안 분석 플랫폼 기업 디보(Devo)의 CISO다. ciokr@idg.co.kr