AI 기술 도입이 급증하면서 기업들은 AI를 통한 혁신과 효율을 추구하고 있다. 그러나 이에 상응하는 보안 및 데이터 거버넌스 체계를 구축하지 못한 기업이 다수이며, 이로 인해 AI 기반 데이터 유출, 규정 위반 등의 리스크가 현실화될 가능성이 높아지고 있다.

데이터 보안 및 AI 데이터 관리 전문 기업 빅아이디(BigID)가 ‘기업의 AI 위험 및 준비도: 2025 보고서’를 발표했다. 이 보고서는 다수 산업의 보안 및 규정 전문가를 대상으로 한 설문을 기반으로, 기업들이 AI 보안 및 거버넌스에서 심각한 준비 부족을 겪고 있음을 수치와 사례로 밝혔다.

AI 기술 확산 속 통제력 부족

보고서에 따르면 전체 응답 기업 중 단 6%만이 고급 AI 보안 전략이나 신뢰, 위험 및 보안 관리로 정의된 AI 트리즘(TRiSM) 프레임워크를 보유하고 있는 것으로 나타났다. 64%의 기업은 AI 관련 위험에 대한 가시성을 갖추지 못하고 있으며, 이로 인해 섀도우 AI의 확산과 함께 무단 데이터 사용 및 규정 위반 가능성이 커지고 있다.

AI 기반 데이터 유출을 가장 큰 위협으로 인식한 기업이 69%에 달했으나, AI 관련 보안 제어가 전혀 없는 기업도 47%에 이른다. 또한 55%는 AI 규제에 대한 준비가 부족하다고 응답했으며, 40%는 AI 접근 데이터를 보호할 도구가 없다고 답해 기술 도입과 보안 대응 사이에 명백한 간극이 존재함을 보여준다.

보고서는 산업별 AI 보안 대비 수준의 편차도 강조했다. 금융 서비스 산업은 민감 데이터 취급에도 불구하고 38%만이 AI 보호 조치를 시행하고 있으며, 의료 분야는 52%가 AI 규정 준수를 주요 과제로 꼽았다. 소매업의 48%는 AI 모델의 고객 데이터 처리 방식을 파악하지 못하고 있다.

기술 산업은 아이러니하게도 AI 혁신의 중심에 있음에도 불구하고, 42%가 AI 위험 관리 전략 없이 운영 중인 것으로 나타났다. 이는 AI 기술 주도 기업들조차도 보안 대비 체계는 취약하다는 점을 보여준다.

대응 전략과 권고 사항

보고서는 기업들이 AI 거버넌스를 강화하고 리스크 완화를 위한 실질적 전략을 수립해야 한다고 권고했다. 주요 권고 사항으로는 ▲AI 위험 모니터링 체계 마련 ▲AI 인식 데이터 거버넌스 프레임워크 수립 ▲섀도우 AI 억제를 위한 접근 제어 ▲AI 트리즘 기반 전략을 통한 보안 및 규정 대응 조정이 제시됐다.

빅아이디 연구 담당 수석 부사장 에얄 사차로프(Eyal Sacharov)는 “AI 시대에 데이터 관리 방식은 다시 정의되어야 하며, 강력한 거버넌스는 단순한 규제 대응을 넘어 비즈니스 경쟁력을 결정짓는 요소”라고 강조했다.

이 보고서는 북미, 유럽, 아시아 태평양, 중동, 아프리카, 라틴아메리카의 중소기업(54%), 중견기업(26%), 대기업(20%)을 포함한 다국적 기업의 보안 및 데이터 리더들이 응답한 내용을 바탕으로 작성됐다. 빅아이디는 이 보고서를 통해 AI 혁신과 보안의 균형을 위한 업계 전반의 구조적 대응 필요성을 환기시키고 있다.