IT 기업에 다니는 한모(31)씨는 챗GPT나 코파일럿 등 생성형 인공지능(AI)을 통해 코딩 공부를 하고 있다. 간단한 작업은 단 몇 초 만에도 완료할 수 있어 만족도가 높지만, 업무 중에는 활용이 불가능하다. 직장에서 보안을 이유로 허가받지 않은 생성형 AI 사용을 금지했기 때문이다. 한씨는 “계열사 직원들이 AI에 내부 정보를 입력했다가 문제가 된 일이 있었다”며 “일을 쉽게 할 수 있는 방법이 있어도 쓰지 못하니 뒤처지는 느낌을 받기도 한다”고 토로했다.
생성형 AI를 활용해 업무 효율을 높이려는 직장인들이 눈에 띄게 늘어나고 있다. 하지만 기업 차원에서는 산업 기술 또는 영업 비밀, 고객 신상 등 내부 정보가 AI 학습에 활용되거나, 외부로 유출될 가능성을 경계할 수밖에 없다. 서로의 입장이 부딪히면서 직원이 사측 감시를 피해가며 AI 도구를 사용하는 ‘섀도 AI’ 현상이 새로운 문제로 떠오르고 있다.
기업이 우려하는 정보 유출은 이미 현실화된 상황이다. 미국 보안 전문기업 하모닉이 지난해 4분기 챗GPT와 코파일럿, 제미나이 등 주요 생성형 AI에 입력된 수만 건의 프롬프트를 분석한 결과 전체 데이터 중 8.5%에 기업의 내부 정보가 포함된 것으로 나타났다. 내부 정보 유형으로는 고객 데이터가 45.77%로 가장 많은 비중을 차지했고, 직원 관련 데이터가 26.83%, 법률 및 재무 데이터가 14.88%로 뒤를 이었다.
국내에서도 삼성전자가 2023년 비슷한 이유로 생성형 AI 사용을 금지한 바 있다. 당시 반도체(DS) 부문 직원이 내부 정보를 챗GPT에 입력한 사실이 들통났고, 이후 전사 차원에서 접속을 차단했다. 외부 사용 시에도 회사 정보나 개인정보 입력은 금지하는 가이드라인이 마련됐다.
이에 일부 대기업은 보안을 강화한 사내 AI를 개발하기도 하지만, 대다수 기업들은 기업용 AI 서비스를 유료 구독하는 것조차 부담이 되는 실정이다. 직원의 AI 활용 실태를 관리할 인력이나 부서도 따로 두지 않는 경우가 많아 섀도 AI의 위험성이 더 커지는 것이다. 중소기업중앙회가 지난해 11월 300개 중소기업을 대상으로 실시한 ‘중소기업 AI 활용의향 실태 조사’에 따르면 AI를 업무에 적용 중인 중소기업은 5.3%에 그쳤다. 향후 AI 도입을 희망하는 기업 역시 16.3%에 불과했다.
현장에서는 업무 시 AI 사용을 차단하기보다는 정보 유출을 막을 수 있는 방안을 세워야 한다고 지적한다. 해외 보안업체에서는 이미 관련 수요를 고려해 허가받지 않은 사내 AI 앱을 탐지하거나, AI 활용 규칙을 위반했는지 여부를 감시하는 시스템을 내놓고 있다. 국내 한 보안업계 관계자는 “AI로 ‘해서는 안 되는 일’을 정해두는 네거티브 규제(최소 규제) 방식으로 접근하는게 모두에게 합리적인 선택”이라며 “향후 시장에 나올 보안 솔루션을 잘 활용하면 위험을 최소화하는 것도 가능할 것”이라고 설명했다.
박선영 기자 pomme@kmib.co.kr