2024년 7월 28일
섀도우 AI (Shadow AI)
1. 섀도우 AI (Shadow AI)의 개념 및 위험성
| 개념 | 기업이나 조직에서 허가되지 않거나 임시로 생성한 AI 모델을 사용하는 미인증 AI 사용 환경 | |
|---|---|---|
| 위험성 | 제어 불가 | 통제 불가능한 외부에서 동작하므로 개인 정보 보호, 규정 준수 포함 보안 전반에 대한 잠재적 위험 초래 |
| 숨겨진 위험 | 데이터 분석, 콘텐츠 생성 등 작업을 위해 개인 구독이나 무료 온라인 도구 사용을 통해 통제 가능한 정책을 회피 | |
| 예측 불가 | 데이터 유출, 잘못된 정보 제공 등 예상치 못한 결과로 문제점이 다양하여 측정 어려움 | |
- Shadow IT와 같이 기업이나 조직에서 허용하지 않는 환경으로 여러가지 문제점 발생 가능
- 최근 ChatGPT 등 생성형 AI의 잘못된 사용으로 인해 제품 설계 자료, 소스 코드 등 기밀 데이터의 외부 노출에 따라 대규모 손실이 발생하여 여러 기업에서 개인용 ChatGPT 사용을 금지
2. 섀도우 AI의 주요 문제점 및 대응 방안
(1) 섀도우 AI의 주요 문제점
| 구분 | 문제점 | 영향도 |
|---|---|---|
| 기업 경영 효율성 문제점 | AI 결과물 품질 및 신뢰성 저하 | 공식적 검토와 테스트를 거치지 않아 예측이나 분석의 정확성 저하, 의사 결정 실패로 비즈니스에 부정적 영향 |
| 조직 자원 낭비 및 중복 투자 | 조직 내 AI 프로젝트와 중복 작업 발생(시간과 비용 낭비), 비공식 도구에 대한 의존도가 높아지면 내부 IT 부서의 통제가 약해져 전체적인 시스템 효율성 저하 | |
| 컴플라이언스 위반 문제점 | 개인정보 등 데이터 유출 | 보안성 검토을 거치지 않으므로 기업의 기밀 정보가 유출되거나 고객 데이터가 악용될 가능성 존재 |
| 지적 재산권 불법 접근 | 데이터 처리에 관련된 법/규제 미준수로 인해 규정 위반에 따른 금전적 손실 발생 가능 |
(2) 섀도우 AI의 대응 방안
| 구분 | 대응 방안 | 수행 목표 |
|---|---|---|
| 시스템 차원 대응 방안 | 불필요 AI 솔루션 차단 | 영업 비밀, 민감 정보 등 외부 클라우드 AI 서비스에 배치 불가 데이터에 대해 해당 AI 솔루션 접근 차단 |
| 데이터 거버넌스 적용 | AI 서비스를 데이터 거버넌스, 보안 데이터 액세스 측면 활용하여 규정 준수, 데이터 노출 위험 감소 | |
| 조직 차원 대응방안 | 중앙 집중식 정책 수립 | 사용 사례 정의, 보안 액세스 생성 및 데이터 보호 위해 중앙에서 통제하는 생성형 AI 사용 전략 수립 |
| 리스크와 결과 인식 교육 | 허가되지 않은 AI 사용으로 인해 발생 가능한 문제점과 조직 내외에 미치는 영향에 대한 인식, 대응방법 교육 |
- 잠재적으로 악영향을 줄 수 있는 부적절한 AI 활용 패턴을 파악하고, 조직의 보안 규정, 위험 관리 전략에 따라 명확한 AI 활용 정책 수립 필요
- 개인이 사용하는 AI 도구에 대해 안전성이 입증된 도구 사용은 허용하고, 가이드라인 내에서만 사용하도록 하여 불만과 위험 완화 필요
[참고]
- Forbes, What Is Shadow AI And What Can IT Do About It?
- CIO Korea, 섀도우 AI 재난을 피하는 방법 10가지
About The Author
