GenAI의 광범위한 그림자가 기업 데이터를 위험에 빠뜨리고 있습니다

생성형 인공지능(GenAI) 솔루션은 더 이상 기업 직원들이 단순히 ‘테스트해 보는’ 것이 아닙니다. 이들은 점점 더 빠른 속도로 일상 업무에 채택되고 통합되고 있습니다. 한 보고서에 따르면, 지난 한 해 동안 조직의 40%가 일상 업무 흐름에서 GenAI를 사용했다고 보고했으며, 80% 이상이 사용자들이 이러한 도구를 매주 사용한다고 보고했습니다.

하지만 AI 채택이 증가하는 반면, 가시성과 통제력은 그에 미치지 못하고 있습니다. GenAI가 이메일 수신함, 코드 편집기, 협업 도구, 가상 비서 등에 내장되면서, 프롬프트, 업로드, 복사-붙여넣기 작업을 통해 점점 더 많은 양의 민감한 데이터에 접근하게 되었습니다. 이 모든 것은 기존의 통제 수단을 우회할 가능성이 높습니다.

그 결과는 그림자 데이터의 증가입니다: 비즈니스에 중요한 정보가 SaaS, 클라우드, 온프레미스 서비스를 가시성, 거버넌스, 보존에 대한 제한된 안전장치만으로 흐르고 있습니다. AI 솔루션으로 지속 가능하고 안전하게 혁신하기 위해서는 현대 기업들이 이 채택-통제 간극을 이해하고, 그림자 데이터가 통제를 벗어나기 전에 이를 해결하는 방법을 배우는 것이 중요합니다.

GenAI의 광범위하고 모호한 그림자

그림자 데이터의 핵심 과제는 컨텍스트의 부족에서 비롯됩니다. 그림자 IT 과제가 저장된 파일, 승인된 애플리케이션, 알려진 유출 지점에 국한되는 반면, AI 기반 그림자 데이터의 경계는 훨씬 덜 엄격하게 정의됩니다. 팀들은 단지 알려지지 않은 도구를 발견하고 보안을 강화할 수만 있는 것이 아닙니다. 그들은 또한 이메일 플랫폼, 클라우드 스토리지 솔루션, CRM과 같은 승인된 애플리케이션에 통합된 AI 모델을 모니터링해야 합니다. 이는 그들이 작업하고 모니터링해 온 ‘안전한’ 솔루션을 뒤집어엎고, 위협 범위를 확장시킵니다.

GenAI는 또한 민감한 데이터가 기업 아키텍처를 통해 이동하는 방식을 변화시킵니다. 전통적인 SaaS 솔루션의 애플리케이션 및 파일 기반 워크플로우와 달리, GenAI는 더 나은 결과를 얻기 위해 사용자가 컨텍스트를 공유하도록 장려하는 지속적이고 대화형 레이어에서 작동합니다. 이로 인해 사용자는 소스 코드 조각, 고객 기록, 내부 문서 등을 포함할 수 있는 일상적인 복사-붙여넣기 작업과 업로드를 수행하게 되며, 이 모든 것은 각각의 민감도 수준에 맞는 적절한 데이터 공유 거버넌스를 갖추지 못하고 있습니다.

게다가, GenAI 채택은 종종 깔끔하고 중앙 집중화된 패턴을 따르지 않습니다. 기업 데이터 사용자 중 정확히 똑같은 사람은 두 명 없으며, 최적화된 워크플로우와 시간 절약형 자동화를 추구하는 그들의 행동은 수많은 AI 솔루션을 활용하도록 이끌 수 있고, 이는 다시 더 파편화된 데이터 경로를 생성합니다. 이를 기업 전체 인력에 걸쳐 곱해보면, 그림자는 믿을 수 없을 정도로 광범위해집니다.

GenAI 차단이 효과적이지 않은 이유

이러한 위협에 직면하여, 많은 조직의 즉각적인 반응은 GenAI 도구에 대한 접근을 완전히 차단하거나 엄격하게 제한하는 것입니다. 이는 이해할 수 있는 접근 방식이지만, 종종 기업이 기대하는 만큼 효과적이지 않습니다. 일단 GenAI라는 요정이 병에서 나오면, 말하자면, 다시 제어하는 것은 매우 어렵습니다. 많은 직원들이 일상 업무 흐름을 간소화하기 위해 이러한 도구를 사용하며, GenAI를 작업 계획 및 실행에 깊이 뿌리내리게 합니다.

위에서 접근이 제한되면, 사용이 멈추지 않을 가능성이 높습니다. 단지 눈에 보이지 않는 곳으로 이동할 뿐입니다. 직원들이 개인 계정이나 관리되지 않는 계정으로 전환하면, 기업은 어떤 데이터가 애플리케이션에 의해 공유되고 보존되는지에 대한 모든 가시성을 잃게 됩니다. 실제로, 한 보고서는 직원의 44%가 이미 정책과 지침을 위반하는 방식으로 AI를 사용했다고 밝혔으며, 다른 연구는 승인되지 않은 AI 도구를 사용하는 직원의 75%가 잠재적으로 민감한 정보를 그 도구들과 공유한 것을 인정했다고 보고했습니다. 선의의 직원들이 무심코 안전장치를 우회하고 민감한 데이터가 통제된 환경을 떠나 통제가 불분명한 시스템으로 들어갈 기회를 만들 때, 이는 상당한 내부자 위험을 초래하며, 이는 조직에 연간 평균 1,950만 달러의 비용을 치르게 할 수 있습니다. 사용자 활동을 관리되지 않는 브라우저, 개인 클라우드 계정, 또는 틈새 AI 도구로 더 깊이 밀어넣음으로써, 기업은 보안 팀이 결코 볼 수 없는 더 많은 위협 벡터를 생성합니다.

이런 식으로, 그림자 데이터는 AI 도구에 접근할 수 있는 무모한 직원들의 단독 결과물이 아닙니다. 이는 GenAI의 접근 가능한 설계, 컨텍스트에 대한 요구, 그리고 전반적인 보편성의 구조적 결과물입니다. 그리고 기업들이 자신들의 그림자 데이터가 어떻게, 어디로 흐르는지에 대한 가시성을 되찾기 전까지는, GenAI 채택은 그 위험을 관리하는 능력을 계속해서 앞지르게 될 것입니다.

가시성과 보호를 통한 그림자 데이터 제거

GenAI 솔루션을 완전히 차단하는 것이 효과적이지 않을 수는 있지만, 기업들은 세 가지 핵심 조치를 취함으로써 AI 혁신을 지원하면서 그림자 데이터 확산을 억제할 수 있습니다.

1. 종단 간 가시성 확립

기업들은 자신들의 데이터 생태계를 효과적으로 보호하기 전에 정확히 무엇을 다루고 있는지 알아야 합니다. 이는 직원들이 어떤 GenAI 애플리케이션을 사용하고 있는지, 승인된 도구에 내장된 애플리케이션을 포함하여 완전한 그림을 그리는 것부터 시작합니다. 또한 이러한 애플리케이션과 공유되는 데이터 유형—재무, 지식재산권, 개인식별정보, 보건정보 또는 기타 규제 정보—과 데이터가 온프레미스, SaaS, 클라우드 네트워크를 가로질러 이동하는 위치까지 확장됩니다. 이 중요한 정보 없이는, 보안 및 규정 준수 팀은 정확한 실제 직원 행동 대신 가정을 관리하게 됩니다.

2. 컨텍스트 인식 데이터 보호 정책 적용

통제가 GenAI가 사용되는 방식에 적응할 수 없다면 가시성만으로는 충분하지 않습니다. 고전적인 ‘허용 또는 차단’ 정책은 지속적이고 대화형 데이터 교환이 필요한 AI 워크플로우에는 너무 경직되어 있습니다. 이러한 솔루션을 효과적으로 보호하기 위해, 팀들은 사용자, 데이터, 목적지를 실시간으로 평가하는 컨텍스트 인식 정책을 생성해야 합니다. 이는 사용자 행동에 대해 현실적이고 비례적인 조치를 취하는 것을 가능하게 하며, 위험한 업로드를 차단하거나, 민감한 정보가 환경을 떠나기 전에 편집하거나, 직원들에게 더 안전한 대안을 시도하도록 지시할 수 있습니다. 이러한 자동화된 가드레일은 완전한 중단이나 수동 개입보다 일상 업무에 더 효과적으로 내재화될 수 있어, 생산성을 저해하지 않으면서 GenAI 사용을 더 안전하게 만듭니다.

3. 일관된 정책 시행 보장

기업들은 팀들이 의존하게 된 도구를 포기하도록 강요하지 않으면서도, 작업이 이루어지는 모든 곳에서 단일하고 일관된 데이터 보호 정책 세트를 시행해야 합니다. 생산성을 크게 방해할 것이므로, 확립된 도구를 ‘뽑아서 교체’해서는 안 됩니다. 대신, 클라우드 스토리지, 협업 플랫폼, SaaS 앱, GenAI 어시스턴트를 가로질러 데이터와 사용자를 따라가는 균일한 정책을 수립해야 합니다. 이러한 일관성은 위험과 마찰을 모두 줄일 것이며, 보안 팀이 파편화된 통제를 관리하는 것을 피할 수 있게 하고, 직원들이 예상치 못한 차단에 직면하기보다 예측 가능한 가드레일 내에서 작업할 수 있도록 할 것입니다. 궁극적으로, 사전 예방적이고 일관된 대응은 사후 대응적이고 파편화된 대응보다 훨씬 더 효과적일 것입니다.

안전하고 지속 가능한 채택 지원

GenAI 도구는 조직이 틈새나 실험적 위험처럼 취급하기에는 너무 빠르게 일상 업무 흐름에 얽혀들었습니다. 이들은 무시될 수도 없고, 완전히 뿌리 뽑힐 수도 없습니다. 대신, 기업들은 혁신적인 AI 사용을 가능하게 하면서도 데이터 생태계를 가로지르는 민감한 데이터의 그림자 같고 보호되지 않는 이동을 피하는 앞으로의 길을 탐색해야 합니다. 성공은 채택을 억압하는 데서 오지 않을 것입니다. 오히려 데이터가 흐르는 모든 곳에서 지속적이고, 컨텍스트 기반이며, 일관된 데이터 보호를 통해 채택을 안전하게 가능하게 하는 데서 올 것입니다.