섀도우 IT와 AI: 숨은 위협이 가져온 사이버 위험
최근 독일 산업계를 강타한 사이버 보안 위협은 예상치 못한 곳에서 비롯되었습니다. 회사의 승인 없이 직원들이 개별적으로 사용하는 IT 도구와 인공지능(AI), 일명 '섀도우 IT'와 '섀도우 AI'가 그 주범으로 떠오르고 있습니다.
이러한 관행이 확대되면서, 기업들은 막대한 경제적 손실과 생산성 저하, 더 나아가 법적 위험에도 직면하고 있습니다. 하지만 이 같은 문제는 독일만의 문제가 아닙니다.
글로벌 경제의 디지털화가 빠르게 진행되는 상황에서 이러한 위협은 곧 우리의 현실로 다가올 가능성이 큽니다. 섀도우 IT와 AI는 처음에는 직원 개개인의 업무 효율성을 높이는 데 도움을 줄 수도 있습니다. 회사의 허가 없이 개인적으로 설치한 소프트웨어와 서비스, 또는 자신만의 데이터 분석을 위해 몰래 사용하는 AI 도구들은 그 활용도가 높은 경우가 많습니다.
예를 들어, 직원들은 회사가 제공하지 않는 개인 클라우드 저장소, 무료 AI 챗봇, 프로젝트 관리 앱 등을 업무에 활용하곤 합니다. 하지만 이러한 도구들은 IT 부서의 공식적인 관리 범위에 들어가지 않기 때문에 이로 인해 발생하는 보안 리스크를 강화하는 결과를 초래합니다.
광고
IT 관리가 미치지 못하는 이 영역은 데이터 유출과 보안 취약점의 위험에 크게 노출되어 있습니다. 실제로 연구에 따르면 모든 사이버 공격의 약 절반가량이 섀도우 IT와 연관이 있는 것으로 드러났습니다. IBM이 발표한 자료에서는 데이터 유출 사고 한 건당 평균 445만 달러, 우리 돈으로 약 60억 원의 손실이 발생한다고 봤습니다.
여기에 더해 침해 사고 복구 비용만 평균 420만 달러(약 56억 원)를 초과하는 것으로 나타났습니다. 이는 단순히 금전적인 손실뿐만 아니라 기업 평판과 신뢰 추락이라는 추가 비용을 동반합니다. 특히, 유럽연합의 GDPR(일반 데이터 보호 규정)에 저촉될 경우 기업은 연간 매출의 최대 4%에 해당하는 과징금을 물어야 할 수도 있어 기업 전반에 미치는 영향이 자칫 치명적일 수 있습니다.
실제로 유럽에서는 대형 기술 기업들이 GDPR 위반으로 수억 유로의 벌금을 납부한 사례가 다수 존재합니다.
광고
섀도우 IT와 AI 사용이 늘어나면서 IT 부서는 기업 전체 시스템에 대한 가시성을 상실하는 어려움을 겪고 있습니다. 직원들이 승인되지 않은 도구를 사용할 경우, 시스템 호환성 문제, 중복 소프트웨어 비용 발생, 데이터 품질 저하 등 다양한 문제가 등장합니다. Software AG가 미국, 영국, 독일의 지식 근로자를 대상으로 실시한 연구에 따르면, 절반 이상이 회사에서 제공하지 않는 AI 도구를 사용하고 있으며, 이는 2026년까지 90%로 증가할 것으로 예상됩니다.
이러한 추세는 IT 부서의 통제력을 더욱 약화시키고 있습니다.
생산성 저하와 경제적 손실, 데이터 유출까지
예를 들어 독일의 대표적인 다국적 기업 중 하나인 보쉬(Bosch)는 이러한 문제를 극복하기 위해 로우코드(Low-code) 플랫폼을 도입하고 있습니다. 이 플랫폼은 사업 부문에 자율성을 보장하면서도 중앙 차원에서 체계적인 관리가 가능하도록 설계되었습니다. 로우코드 플랫폼을 활용하면 비전문가도 최소한의 코딩으로 애플리케이션을 개발할 수 있어, 직원들의 자율성을 존중하면서도 IT 부서가 전체 시스템을 모니터링하고 보안을 유지할 수 있습니다.
광고
실제로 로우코드 및 노코드 시장은 2022년 218억 달러 규모에서 2030년 1,870억 달러로 성장할 것으로 전망되며, 이는 이러한 접근법이 산업 전반에서 주목받고 있음을 보여줍니다. 보쉬의 사례는 섀도우 IT와 AI의 위협을 막기 위한 현실적인 해결책을 제시합니다.
하지만 모든 기업이 보쉬처럼 대응할 수 있는 것은 아닙니다. 통제하지 못한 섀도우 IT와 AI가 가져올 이점도 분명 존재합니다. 직원들은 자기에게 익숙한 도구를 사용함으로써 업무 효율성을 높일 수 있으며, 새로운 기술과 혁신을 빠르게 받아들일 수 있습니다.
이를 통해 조직이 속도감 있는 변화와 유연성을 확보하는 사례도 수차례 발견되었습니다. 특히 스타트업이나 중소기업의 경우, 제한된 IT 예산으로 인해 직원들의 자율적 도구 선택이 오히려 생산성 향상으로 이어지는 경우도 있습니다. 그렇다면 이러한 장점을 버리지 않으면서도 보안을 강화할 방법은 무엇일까요?
광고
이에 대해 기업들은 통제와 자율성을 균형 있게 조율하는 방식으로 접근할 필요가 있습니다. 로우코드 플랫폼은 한 가지 사례일 뿐입니다.
회사는 사전에 명확한 가이드라인을 수립하고, 승인받지 않은 도구 사용을 줄이기 위해 직원들과 협력해야 합니다. 예를 들어, 사용 가능한 도구 목록을 사전에 제공하고, 새로운 도구가 필요할 경우 간소화된 승인 절차를 마련하는 것이 효과적입니다. 또한 정기적인 보안 교육을 통해 직원들에게 섀도우 IT와 AI의 위험성을 인식시키고, 안전한 도구 사용법을 안내해야 합니다.
통제와 자율성의 균형은 어떻게 가능할까?
또한 AI 기술의 빠른 발전과 활용도 증가를 솜씨 좋게 다루기 위해 직원 교육과 기술 지원에 아낌없이 투자해야 할 것입니다. IT 부서는 직원들이 필요로 하는 도구를 파악하고, 안전하고 승인된 대안을 제공함으로써 섀도우 IT 사용을 자연스럽게 줄일 수 있습니다.
예를 들어, 기업용 클라우드 저장소를 제공하거나, 공식 AI 도구를 도입하여 직원들의 요구를 충족시키는 것입니다.
광고
동시에 클라우드 서비스 제공 업체들이 제공하는 모니터링 도구를 활용하여, 승인되지 않은 IT 활동을 더욱 투명하게 파악하고 리스크를 최소화해야 합니다. 반론으로, 모든 IT 활동을 규제하고 통제하는 것이 과연 현실적으로 가능한지는 분명 의문이 제기될 수 있습니다. 디지털은 그 자체로 빠르게 변하고 있으며, 직원들은 점점 더 소프트웨어와 기술 사용에 능숙해지고 있습니다.
앞으로 섀도우 IT와 AI가 전혀 등장하지 않으리라는 보장은 없기 때문입니다. 특히 원격 근무와 하이브리드 근무가 일반화되면서, 직원들은 더욱 다양한 도구를 자유롭게 선택하고 사용하는 경향이 강해지고 있습니다.
그러나 여기서 중요한 점은 이를 '통제'하려는 데 초점을 맞추기보다는 '관리'하고 '최적화'하려는 노력이 필요하다는 사실입니다. 제도를 마련하고, 문제를 미리 파악하며, 이를 IT 부서와 협력하에 조직적으로 정리하는 것이 그 시작이 될 것입니다.
결론적으로, 섀도우 IT와 AI는 이제 기술 발전의 그림자 같은 존재로 자리 잡고 있습니다. 이를 완벽히 차단하는 것은 불가능할지 모르지만, 올바른 전략과 관리하에 충분히 활용 가능한 자산으로 전환될 수 있습니다. 기업들은 직원들의 자율성을 존중하되, 보안과 규정 준수를 보장하는 균형 잡힌 접근법을 채택해야 합니다.
다가올 2026년까지 지식 근로자의 90%가 회사 승인 없이 AI 도구를 사용할 것으로 예상되는 가운데, 우리는 변화의 파도를 타기 위한 준비를 지금 시작해야 합니다. 당신의 회사는 과연 섀도우 IT와 AI의 잠재적 위협에 대비하고 있습니까?
이 질문에 대한 답이 기업의 미래 경쟁력을 좌우할 것입니다.
김도현 기자
광고
[참고자료]
vertexaisearch.cloud.google.com
){kind=small}
){kind=small}
){kind=small}
){kind=small}
