조직 전반에 생성AI와 머신러닝 기술의 도입이 가속화되고 있으나, 이와 함께 요구되는 AI 거버넌스 체계의 실행은 여전히 뒤처지고 있는 것으로 나타났다. 규제와 리스크에 대한 인식은 높아졌지만, 실행으로 옮긴 조직은 극히 일부에 불과해 실제 AI 리스크 대응력이 현저히 낮은 상태다. 이는 기술 부족이 아닌 조직 문화, 책임 구조, 전문성 결여 등 구조적 문제로 인한 것으로 분석된다.

AI 기반 연결 리스크 플랫폼 기업 오딧보드(AuditBoard)가 보고서 ‘설계에서 현실로: 불확실한 환경에서 효과적인 AI 거버넌스 실행(From Blueprint to Reality: Execute Effective AI Governance in a Volatile Landscape)’를 발표했다.

정책-실행 격차 심화

전체 응답자의 86%가 자사 조직이 기존 및 향후 도입될 AI 관련 규제를 인지하고 있다고 응답했으나, 실제로 AI 거버넌스 프로그램을 완전히 실행한 조직은 25%에 불과했다. 대부분이 정책 수립 단계에 머무르고 있으며, 이를 조직 운영 전반에 내재화하는 데 실패하고 있는 것으로 나타났다. 이 같은 정책과 실행 간 괴리는 향후 AI 리스크 대응력에 치명적인 약점이 될 수 있다.

응답자 중 92%는 외부 제3자 AI 사용에 대한 가시성을 확보하고 있다고 자신했지만, 실제로 AI 전용 리스크 평가를 수행하는 조직은 67%에 그쳤다. 이는 전체의 약 3분의 1에 달하는 기업이 외부 AI 모델이나 벤더에 대한 리스크를 명확히 인지하지 못한 채 서비스를 이용하고 있는 것으로 해석된다.

이처럼 과신 상태에 놓인 조직은 감사, 모델 인벤토리 구축, 내부 교육 등 사전적 통제를 소홀히 하는 경향을 보이며, 실제 문제가 발생했을 때 후속 대응에 취약하다.

기술 아닌 조직 문화 개선해야

AI 거버넌스 실행의 핵심 장벽은 기술적 한계보다 조직적 요인이다. AI 거버넌스 실행을 가로막는 가장 큰 요인으로는 ▲책임 주체 불명확(44%) ▲내부 전문성 부족(39%) ▲자원 제약(34%)이 꼽혔으며, 실제 기술적 도구의 부족을 주요 원인으로 지목한 비율은 15% 미만에 불과했다. 이는 거버넌스 실행이 기술보다 리더십, 조직 정렬, 실행 체계에 달려 있음을 시사한다.

오딧보드 리치 마커스(Rich Marcus) 최고정보보안책임자(CISO)는 “거버넌스를 단순한 준법 활동이 아닌 조직 역량의 핵심 요소로 바라보는 기업만이 리스크를 통제하고 규제 변화에 민첩하게 대응할 수 있다.”라고 말했다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.