AI 기술의 급속한 확산이 생산성과 효율을 높이고 있지만, 조직 내 관리되지 않는 AI 사용으로 새로운 보안 리스크가 대두되고 있다. 기업의 승인 절차를 거치지 않은 ‘섀도 AI(Shadow AI)’가 경영진부터 일반 직원까지 전사적으로 확산되며, 데이터 유출 문제를 야기하고 있다. 기존의 보안 인식 제도만으로는 이를 통제하기 어렵기에 기업 거버넌스의 근본적 전환이 필요하다.

사이버 보안 및 리스크 관리 전문 기업 업가드(UpGuard)가 ‘섀도 AI 현황(State of Shadow AI)’ 보고서를 발표하며, 전 세계 직장 내 비인가 생성AI 사용 실태와 그에 따른 보안 리스크를 분석했다.

보고서는 2025년 8월 18일부터 31일까지 미국, 캐나다, 아시아태평양(호주·뉴질랜드·싱가포르·말레이시아) 및 인도 내 200인 이상 기업의 보안 리더 542명을 대상으로 진행한 설문과 2025년 7월 30일부터 8월 11일까지 미국과 영국의 직장인 1020명을 대상으로 진행한 조사를 바탕으로 작성됐다.

비인가 AI 사용의 확산

보고서에 따르면 전 세계 근로자의 80%가 승인되지 않은 AI 도구를 업무에 사용하고 있으며, 보안 책임자조차 예외가 아니다. 응답자의 68%가 보안 리더(CISO 포함)로서 비인가 AI를 일상 업무에 활용하고 있다고 답했다. 특히 보안 리더의 90%는 AI 도구를 허가 없이 사용한 경험이 있으며, 69%의 CISO가 이를 정기적으로 활용한다고 밝혔다. 

역설적으로 교육받은 직원일수록 비인가 도구 사용률이 증가했다. 전체 직원 중 40%는 AI 보안 교육을 받고 위험을 인식하고 있음에도, 이들이 오히려 비인가 도구를 더 자주 사용하는 것으로 나타났다. 이는 교육 수준이 높을수록 AI 활용 자신감이 커지고, 결과적으로 승인되지 않은 기술을 더 적극적으로 탐색하기 때문이다. 따라서 단순 보안 교육만으로는 생산성 중심의 기술 탐색 욕구를 제어하기 어렵다.

신뢰 붕괴와 관리 체계의 약화

27%의 직원은 “AI를 동료나 상사보다 더 신뢰한다”고 답했으며, 23%의 CISO는 “조직 내에서 비밀번호나 자격 증명이 AI 도구에 공유되고 있음을 알고 있다.”라고 밝혔다. 

또한 응답자 중 52%만이 자사 AI 정책을 인지하고 있었고, 70%는 “직장에서 민감한 데이터가 AI 도구를 통해 공유된 사실을 알고 있다.”라고 답했다. 기업이 기술적 통제보다 신뢰 기반의 관리 체계를 상실하고 있음을 보여준다.

업가드 리서치 및 인사이트 부문 책임자 그렉 폴록(Greg Pollock)은 “섀도 AI는 고용주와 직원 간의 신뢰 관계를 흔드는 요인”이라며 “단순한 통제보다 직원들의 호기심을 올바르게 유도할 수 있는 접근이 필요하다.”라고 말했다.