기업의 AI 활용이 급격히 증가하는 가운데, 공급업체가 통합한 생성AI 기술과 대규모 언어모델(LLM), 자율 에이전트가 데이터 보안 및 개인정보 보호 측면에서 새로운 리스크로 부상하고 있다. 특히 기업 내부에서는 AI 리스크 관리 체계가 완비되지 않은 상태에서 외부 벤더의 AI 활용이 확대되고 있어 거버넌스 공백이 커지고 있다.

데이터 보안, 프라이버시, 규정 준수 및 AI 데이터 관리 기업 빅ID(BigID, CEO 디미트리 시로타)는 공급업체가 활용하는 AI 기술에 대한 위험을 사전에 식별하고 관리할 수 있는 ‘벤더 AI 평가(Vendor AI Assessment)’ 솔루션을 출시했다고 발표했다. 이 솔루션은 벤더 생태계 전반에 걸쳐 AI의 활용, 민감 정보 접근, 데이터 노출 여부, 거버넌스 대응 상황을 실시간으로 파악할 수 있도록 설계되었다.

공급업체 AI 활용의 리스크 식별

빅ID는 기존의 정적인 설문 기반 거버넌스 방식과 차별화된 접근으로, 벤더가 어떤 AI 모델을 활용하고 있는지, 해당 모델이 어떤 데이터를 학습하고 접근하는지, 설명 가능성과 규제 준수 여부 등을 종합적으로 매핑하여 실행 가능한 인사이트를 제공한다. 이를 통해 기업은 AI가 고객 데이터를 활용하고 있는지, 결과가 신뢰 가능한지, 그리고 위험이 보상보다 큰지를 명확하게 판단할 수 있다.

특히 보안, 개인정보 보호, 법무, 규정 준수 부서가 각각 독립적으로 AI 리스크를 분석하던 기존 방식에서 벗어나, 내장된 워크플로 기반으로 위험 평가부터 문서화, 수정 작업까지 일관된 감독 체계를 구축할 수 있도록 지원한다. 조직 내 AI 감독체계가 미비하거나 초기 단계에 있는 경우에도, 타사 AI에 대한 가시성을 확보함으로써 생태계 차원의 방어 체계를 수립할 수 있다.

규제 대응과 거버넌스 자동화

빅ID의 ‘2025 AI 위험 및 준비 보고서’에 따르면, 기업의 64%가 AI 관련 위험에 대한 가시성을 갖추지 못했으며, 절반에 가까운 조직이 AI 보안 제어를 전혀 시행하지 않고 있는 것으로 나타났다. 또한 전체의 55%가 새롭게 제정된 AI 규제에 대비하지 못한 것으로 보고되어, AI 활용의 확산에 비해 규제 대응은 미진한 것으로 평가된다.

이번 벤더 AI 평가는 이와 같은 현실에 대응해, 타사 AI의 데이터 접근 방식과 훈련 메커니즘을 가시화하고, 위험에 기반한 조치를 보다 빠르게 결정할 수 있도록 지원한다. 조직은 이를 통해 데이터 노출 위험을 사전에 차단하고, 방어 가능한 데이터 거버넌스 체계를 갖출 수 있다.

빅ID의 디미트리 시로타(Dimitri Sirota) CEO는 “AI 도입이 가속화되고 있지만, 대부분의 기업은 벤더들이 자사 데이터에 AI를 어떻게 활용하는지 파악하지 못하고 있다.”라며, “보안과 프라이버시, 법무팀이 이러한 사각지대를 명확히 인지하고, 책임 있는 AI 사용을 유도할 수 있도록 ‘벤더 AI 평가’ 솔루션을 개발했다.”라고 말했다.

에드워드 아모로소(Edward Amoroso) TAG CEO 겸 뉴욕대 연구 교수는 “빅ID는 이 솔루션을 통해 타사 AI 리스크를 이해하고 완화할 수 있는 필수 도구를 제공하고 있다”며, “AI가 급속히 공급업체 제품에 통합되는 시점에서, 기업은 투명성과 책임성을 더욱 강력하게 요구해야 한다”고 강조했다.

빅아이디는 향후 이 솔루션을 기반으로 기업의 AI 사용 투명성 제고와 AI 생태계 전반의 신뢰 기반 확산에 기여한다는 계획이다. 또한 보안, 프라이버시, 규정 준수 기능 간 협업을 강화해 벤더 기반 AI 리스크 대응의 표준화를 이끌어갈 예정이다.