“통제 밖으로 번지는 생성형 AI··· CISO 대응 한계 드러나” 팔로알토네트웍스 조사

그는 “생성형 AI 앱이 조직에 심각한 문제를 일으킬 수 있는 방식으로 다량 사용되고 있는 것은 명백한 사실”이라며 “회사 통제 밖의 개인 컴퓨터로 생성형AI를 사용할 경우, 단순한 질문을 통해서도 대량의 데이터가 유출될 수 있다. 문제는 질문뿐만 아니라 다른 사용자의 질문 패턴도 AI가 학습하기 때문”이라고 설명했다. 이어 “이는 조직이 완전히 통제하기 어렵다. 누구나 개인 시간에, 개인 기기에서 AI를 사용할 수 있기 때문”이라고 덧붙였다.

조직이 의도하든 아니든 승인되지 않은 생성형AI 앱을 사용하는 직원을 오히려 보상하는 경우도 있다고 그는 지적했다. 예컨대, 품질이 지나치게 뛰어난 보고서를 칭찬하는 경우가 그렇다. 그는 “솔직히 말해, 생성형AI 사용을 금지하는 많은 기업조차 실제로는 이를 사용하는 직원을 보상하고 있다”며 “성과 기반 평가를 받을 때 그림자 IT나 개인 기기를 이용한 생성형AI 활용으로 성과가 향상되는데 처벌이 없다면, 사용을 멈출 이유가 없다”고 말했다.

그가 언급한 이 조사는 팔로알토네트웍스가 발표한 생성형AI 트렌드 보고서로, 2024년 한 해 동안 7,000여 고객사의 트래픽 로그를 분석해 생성형AI 애플리케이션 사용 현황을 집계했다. 조사 대상에는 챗GPT(ChatGPT), 마이크로소프트 코파일럿(Microsoft Copilot), 아마존 베드록(Amazon Bedrock) 등 다양한 SaaS형 생성형AI 앱이 포함됐으며, 2025년 1분기 고객의 데이터 유출 방지(DLP) 사례에 대한 익명 분석도 함께 진행됐다.