보안을 이유로 직원들의 AI 사용을 전면 금지한 기업이 있다. 그 기업의 직원들은 지금 이 순간, 개인 스마트폰으로 ChatGPT를 실행해 회사 문서를 요약하고 있다. IT 업계는 이를 '섀도우 IT(Shadow IT)'라 부른다. 통제되지 않는 기술 사용, 그것이 금지 정책이 만들어낸 실제 결과다.
무조건 막는 것은 경쟁력을 잠식하는 무능한 리스크 관리다.
대부분의 경영진은 AI 보안 문제를 이분법으로 접근한다. 허용하거나, 차단하거나. 그러나 그 선택지는 이미 사라졌다. 직원들은 회사의 허가 없이도 사용한다. 문제는 그것이 통제 불가능한 방식으로 이루어진다는 점이다.
경영진의 과제는 이제 '보안(Security)'이 아니라 '거버넌스(Governance)'다. AI에 입력해도 되는 정보, 입력해서는 안 되는 정보, 사전 승인 후 입력 가능한 정보를 3단계로 구분하는 것만으로도 조직의 리스크는 현저히 줄어든다.
대기업처럼 사내 전용 LLM을 구축하지 않더라도, 중견·중소기업 경영진이 이번 주 당장 실행할 수 있는 기준이 있다. 첫째, API 방식으로 데이터 학습에서 제외되도록 설정한다. 둘째, 업무별 정보 등급 기준표를 작성한다. 셋째, AI 활용 결과물에 대한 책임 소재를 명확히 한다.
AI 보안은 IT 부서만의 문제가 아니다. 그것을 정책으로 제도화하고, 조직 문화로 정착시키는 것이 경영진의 책임이다.