회사에서 급하게 문서를 요약해야 할 때, 개인 계정 ChatGPT에 내용을 붙여넣고 싶은 유혹이 생긴다. 몇 초 만에 정리되니까 편하다. 문제는 그 문서가 회사 기밀이거나 고객 정보일 수 있다는 점이다.
Zscaler는 AWS Summit Japan 2026에서 AI 시대의 보안 변화를 주제로 발표한다고 알렸다. PR TIMES 발표에 따르면 생성AI 확산으로 기업 관리 체계 밖에서 쓰이는 “シャドーAI”가 늘고 있고, 이를 가시화하고 통제하는 것이 중요한 과제로 떠오르고 있다.
Shadow AI란 무엇일까
Shadow AI는 회사가 공식 승인하지 않은 AI 도구를 직원이 임의로 쓰는 상황을 말한다. 예전의 Shadow IT가 개인 클라우드나 승인되지 않은 앱 사용이었다면, 이제는 AI 도구가 그 자리를 차지하고 있다.
직원 입장에서는 일을 빨리 끝내려는 행동일 수 있다. 하지만 회사 입장에서는 데이터가 어디로 나가는지 알 수 없는 위험이 된다.
왜 문제가 될까
가장 큰 위험은 정보 유출이다. 계약서, 고객 목록, 회의록, 소스코드, 인사 자료를 외부 AI에 넣으면 회사가 통제하기 어렵다.
또 AI가 만든 결과를 그대로 쓰면서 오류가 들어갈 수도 있다. 누가 어떤 AI를 썼는지 기록이 없으면 나중에 문제가 생겨도 추적하기 어렵다.
그래서 보안팀은 AI 사용을 무조건 막는 것보다, 보이게 만들고 관리하는 방법을 찾는다.
금지보다 관리가 현실적이다
AI 사용을 완전히 금지하는 것은 쉽지 않다. 직원들은 이미 AI가 편하다는 것을 알고 있다. 막기만 하면 몰래 쓰는 방식이 늘어날 수 있다.
더 현실적인 접근은 안전한 AI 사용 환경을 제공하고, 민감한 데이터가 외부로 나가지 않도록 제어하는 것이다.
예를 들어 어떤 AI 앱을 쓸 수 있는지, 어떤 데이터는 입력하면 안 되는지, 로그를 어떻게 남길지 정해야 한다.
직원 교육도 중요하다
기술 통제만으로는 부족하다. 직원이 무엇이 위험한지 알아야 한다. “고객 이름만 지웠으니 괜찮겠지”라고 생각할 수 있지만, 문맥만으로도 민감한 정보가 드러날 수 있다.
AI를 업무에 쓰는 방법과 함께 쓰지 말아야 할 정보도 교육해야 한다.
AI 보안은 생산성을 막는 일이 아니다
AI 보안은 AI를 못 쓰게 하려는 일이 아니다. 오히려 회사가 안심하고 AI를 쓰기 위한 기반이다.
Shadow AI가 늘어난다는 것은 직원들이 AI를 필요로 한다는 신호이기도 하다. 보안팀의 역할은 그 필요를 무시하는 것이 아니라, 안전한 길을 만들어주는 것이다.
회사 몰래 쓰는 ChatGPT가 늘어날수록, 공식적이고 안전한 AI 사용 규칙은 더 중요해질 것이다.
참고한 자료: PR TIMES Zscaler AWS Summit Japan 발표
관련 글
같은 맥락에서 이어서 읽기 좋은 글들입니다.