섀도 AI란 무엇인가요?

섀도우 AI의 일반적인 예로는 OpenAI의 ChatGPT와 같은 생성형 AI(gen AI) 애플리케이션을 무단으로 사용하여 텍스트 편집이나 데이터 분석과 같은 작업을 자동화하는 것입니다. 직원들은 생산성을 높이고 프로세스를 가속화하기 위해 이러한 툴을 사용하는 경우가 많습니다. 그러나 IT 팀은 이러한 앱이 사용되고 있다는 사실을 인식하지 못하기 때문에 직원은 자신도 모르게 조직을 데이터 보안, 규정 준수 및 회사의 평판과 관련된 심각한 위험에 노출시킬 수 있습니다.

CIO와 CISO의 경우, AI 거버넌스 및 보안 이니셔티브를 통합하는 강력한 AI 전략을 개발하는 것이 효과적인 AI 위험 관리의 핵심입니다. 규정 준수 및 사이버 보안의 중요성을 강조하는 AI 정책에 전념함으로써 리더는 AI 기술의 이점을 수용하면서 섀도 AI의 위험을 관리할 수 있습니다.

섀도 AI의 의미를 이해하려면 섀도 IT와 구별하는 것이 도움이 됩니다.

섀도 IT는 IT 부서나 CIO의 승인, 지식 또는 감독 없이 기업 네트워크에 소프트웨어, 하드웨어 또는 정보 기술을 배포하는 것을 말합니다. 직원들은 기존 솔루션이 불충분하다고 느끼거나 승인된 옵션이 너무 느리다고 생각할 때 승인되지 않은 AI 기술로 눈을 돌릴 수 있습니다. 일반적인 예로는 개인 클라우드 스토리지 서비스 또는 승인되지 않은 프로젝트 관리 툴을 사용하는 경우가 있습니다.

섀도 IT는 승인되지 않은 애플리케이션이나 서비스에 초점을 맞추는 반면, 섀도 AI는 AI 관련 툴, 플랫폼 및 사용 사례에 초점을 맞춥니다. 예를 들어, 직원은 보안 위험을 깨닫지 못한 채 대규모 언어 모델(LLM)을 사용하여 빠르게 보고서를 생성할 수 있습니다. 주요 차이점은 사용되는 도구의 특성에 있습니다. 섀도 AI는 인공 지능의 무단 사용에 관한 것으로, 이로 인해 데이터 관리, 모델 아웃풋 및 의사 결정과 관련된 고유한 문제가 발생합니다.

2023년부터 2024년까지 조직이 AI 기술을 도입하면서 조직 직원의 생성형 AI 애플리케이션 채택률이 74%에서 96%로 증가했습니다.¹ 이러한 성장과 함께 섀도 AI도 증가했습니다. 오늘날 직원의 1/3 이상(38%)이 고용주의 허락 없이 AI 툴과 민감한 업무 정보를 공유한다고 인정합니다.²

섀도 AI로 인해 기업은 데이터 유출, 규정 미준수로 인한 벌금, 심각한 평판 손상 등 여러 가지 위험에 노출될 수 있습니다.

섀도 AI와 관련된 가장 큰 위험 중 하나는 데이터 유출 가능성입니다. AI 사용에 대한 감독이 부족하면 직원이 실수로 민감한 정보를 노출시켜 데이터 개인정보 보호 문제가 발생할 수 있습니다. 최근 CISO 대상 설문조사에 따르면, 영국 기업 5곳 중 1곳이 생성형 AI를 사용하는 직원으로 인해 데이터 유출을 경험한 것으로 나타났습니다^.3 데이터 유출 위험의 고조가 응답자의 4분의 3이 외부 위협보다 조직에 더 큰 위험을 초래한다고 답한 이유일 수도 있습니다^.4

많은 산업에서 규정 준수는 타협할 수 없는 문제입니다. 섀도 AI를 사용하면 특히 데이터 보호 및 개인정보 보호와 관련된 규정 준수 문제가 발생할 수 있습니다. 조직은 일반 데이터 보호 규정(GDPR)과 같은 규정을 준수해야 할 수도 있습니다. GDPR을 준수하지 않을 경우 상당한 벌금이 부과될 수 있습니다. 불법적인 목적의 데이터 처리 등 주요 침해로 인해 기업은 20,000,000유로 또는 전년도 조직 전 세계 매출의 4% 중 더 높은 금액의 손실을 입을 수 있습니다. 

승인되지 않은 AI 모델에 의존하면 의사 결정의 질에 영향을 미칠 수 있습니다. 적절한 거버넌스 없이는 이러한 모델을 통해 생성된 아웃풋이 조직의 목표나 윤리 기준과 일치하지 않을 수도 있습니다. 편향된 데이터, 과적합 및 모델 드리프트는 잘못된 전략적 선택으로 이어져 기업의 평판에 해를 끼칠 수 있는 AI 위험의 몇 가지 예입니다. 

무단 AI 사용은 회사의 품질 기준과 모순되고 소비자의 신뢰를 훼손할 수도 있습니다. Sports Illustrated가 AI가 생성한 작가가 쓴 기사를 게재했다는 사실이 폭로되었을 때나 Uber Eats가 AI가 생성한 음식 이미지를 사용했다는 이유로 비난을 받았을 때의 반발을 생각해 보세요.

이러한 위험에도 불구하고 섀도 AI는 여러 가지 이유로 점점 더 보편화되고 있습니다. 조직은 워크플로와 의사 결정을 재구상하기 위해 디지털 혁신, 더 나아가 AI 기술의 통합을 수용하고 있습니다. 

사용자 친화적인 AI 툴의 확산은 직원들이 고급 AI 솔루션에 쉽게 접근하여 자신의 능력을 향상시킬 수 있다는 것을 의미합니다. 많은 AI 애플리케이션이 서비스형 소프트웨어(SaaS) 제품으로 제공되므로 개인은 IT 또는 보안 팀의 개입 없이도 이러한 툴을 빠르게 도입할 수 있습니다. AI의 민주화를 통해 직원들은 다음과 같은 새로운 방법을 발견하고 있습니다.

• 생산성 향상: 직원들은 생산성을 높이고 운영의 비효율성을 피하기 위해 섀도 AI 툴을 사용하는 경우가 많습니다. 생성형 AI 앱을 사용하면 반복적인 작업을 자동화하고, 콘텐츠를 빠르게 생성하며, 훨씬 더 오래 걸리는 프로세스를 간소화할 수 있습니다.
• 혁신 가속화: 섀도 AI는 혁신 문화를 조성하여 팀이 공식 승인을 기다리지 않고 새로운 AI 도구를 실험할 수 있도록 합니다. 이러한 민첩성은 창의적인 솔루션과 개선된 워크플로로 이어져 빠르게 변화하는 시장에서 조직에 경쟁력을 제공할 수 있습니다.
• 솔루션 간소화: 섀도 AI를 통해 팀은 종종 실시간으로 문제를 해결할 수 있습니다. 직원들은 기존의 느린 방식에 의존하지 않고 사용 가능한 AI 툴을 사용하여 임시 솔루션을 빠르게 찾을 수 있습니다. 이러한 대응력은 고객 서비스를 향상하고 운영 효율성을 개선할 수 있습니다.

섀도 AI는 조직 전반에 걸쳐 다양한 방식으로 나타나며, 효율성과 혁신의 필요성에 의해 주도되는 경우가 많습니다. 섀도 AI의 일반적인 예로는 AI 기반 챗봇, 데이터 분석용 ML 모델, 마케팅 자동화 툴, 데이터 시각화 툴 등이 있습니다.

고객 서비스 팀에서는 문의에 대한 답변을 생성하기 위해 승인되지 않은 AI 챗봇을 사용할 수 있습니다. 예를 들어, 고객 서비스 담당자는 회사의 승인된 자료를 보는 대신 챗봇에게 답변을 요청하여 고객의 질문에 답하려고 할 수 있습니다. 이로 인해 일관되지 않거나 잘못된 메시지가 전달될 수 있으며, 고객과의 커뮤니케이션이 잘못될 수 있고, 담당자의 질문에 민감한 회사 데이터가 포함된 경우 보안 위험이 발생할 수 있습니다.

직원은 외부 머신 러닝 모델을 사용하여 회사 데이터 내에서 패턴을 분석하고 찾을 수 있습니다. 이러한 툴은 귀중한 인사이트를 제공할 수 있지만, AI 서비스를 무단으로 사용하면 보안 취약점이 발생할 수 있습니다. 예를 들어, 분석가는 예측 행동 모델을 사용하여 독점 데이터 세트에서 고객 행동을 더 잘 이해할 수 있는데, 이 과정에서 자신도 모르게 민감한 정보가 노출될 수 있습니다.

마케팅 팀은 이메일 마케팅 활동을 자동화하거나 소셜 미디어 참여 데이터를 분석할 수 있는 섀도 AI 툴을 사용하여 캠페인을 최적화할 수 있습니다. 이러한 툴을 사용하면 마케팅 성과를 개선할 수 있습니다. 그러나 거버넌스가 없으면 특히 고객 데이터를 잘못 취급하는 경우 데이터 보호 표준을 준수하지 않을 수 있습니다.

많은 조직에서는 AI 기반 데이터 시각화 툴을 사용하여 히트 맵, 선형 차트, 막대 그래프 등을 빠르게 만듭니다. 이러한 툴은 복잡한 데이터 관계와 인사이트를 이해하기 쉬운 방식으로 표시하여 비즈니스 인텔리전스를 강화하는 데 도움이 될 수 있습니다. 그러나 IT 승인 없이 회사 데이터를 입력하면 보고가 부정확해지고 잠재적인 데이터 보안 문제가 발생할 수 있습니다.

섀도 AI의 위험을 관리하기 위해 조직은 유연성과 혁신의 필요성을 인식하면서 책임감 있는 AI 사용을 장려하는 몇 가지 접근 방식을 고려할 수 있습니다.

IT 부서, 보안팀, 비즈니스 부서 간의 열린 대화를 통해 AI 기능과 한계에 대한 이해를 높일 수 있습니다. 협업 문화는 조직이 어떤 AI 툴이 유익한지 파악하는 동시에 데이터 보호 프로토콜을 준수하는 데 도움이 될 수 있습니다.

거버넌스 프레임워크는 보안 조치를 유지하면서 빠르게 변화하는 AI 도입의 특성을 수용할 수 있습니다. 이러한 프레임워크에는 어떤 유형의 AI 시스템을 사용할 수 있는지, 민감한 정보를 어떻게 처리해야 하는지, AI 윤리 및 규정 준수와 관련하여 직원에게 어떤 교육이 필요한지에 대한 명확한 가이드라인이 포함될 수 있습니다.

AI 사용에 대한 가드레일은 안전망을 제공하여 직원들이 정의된 매개변수 내에서 승인된 도구만 사용하도록 보장할 수 있습니다. 가드레일에는 외부 AI 사용에 관한 정책, AI 애플리케이션 테스트를 위한 샌드박스 환경 또는 승인되지 않은 외부 플랫폼을 차단하는 방화벽이 포함될 수 있습니다.

섀도 AI의 모든 인스턴스를 제거하는 것은 실현 가능하지 않을 수 있습니다. 따라서 조직은 모니터링 툴을 구현하여 애플리케이션 사용량을 추적하고 액세스 제어를 설정하여 승인되지 않은 소프트웨어를 제한할 수 있습니다. 정기적인 감사와 커뮤니케이션 채널에 대한 적극적인 모니터링을 통해 승인되지 않은 앱의 사용 여부와 사용 방법을 파악할 수도 있습니다.

섀도 AI의 환경은 끊임없이 진화하고 있으며, 조직에 새로운 과제를 제시하고 있습니다. 기업은 뉴스레터나 분기별 업데이트와 같은 정기적인 커뮤니케이션을 통해 직원들에게 섀도 AI 및 관련 위험에 대해 알릴 수 있습니다.

조직은 승인되지 않은 AI 툴 사용의 영향에 대한 인식을 높임으로써 책임감 있는 AI 사용 문화를 조성할 수 있습니다. 이러한 이해를 바탕으로 직원들은 새로운 애플리케이션을 배포하기 전에 승인된 대안을 찾거나 IT 부서와 상의할 수 있습니다.