Shadow AI가 비즈니스에 미치는 영향을 탐구합니다: 위험, 전략, 안전하고 혁신적인 미래 추구. 기업은 이 새로운 영역을 어떻게 탐색할 것인가?
2023년 12월 Amazon은 ChatGPT와 같은 소비자 중심의 챗봇에 대한 보다 안전한 대안을 약속하는 최신 AI 벤처인 Q를 공개했습니다. 그러나 흥분은 오래 가지 못했습니다. 발표 3일 만에 아마존Q가 논란에 휩싸였다. 직원들은 Q가 Amazon의 엄격한 기업 표준에 미치지 못한다는 사실이 드러나 부적절한 보안 및 개인 정보 보호 조치에 대해 놀랐습니다. 비평가들은 AWS 데이터 센터 위치, 미공개 제품 기능 및 내부 할인 프로그램을 포함하여 "환각" 및 민감한 정보 유출 경향을 강조했습니다 . Amazon의 엔지니어들은 피해 통제 모드로 강제 전환되어 향후 낙진을 방지하기 위해 "sev 2" 긴급 상황으로 태그된 중요한 문제를 해결했습니다.
비슷한 시기에 삼성전자도 AI로 인한 골치 아픈 문제를 안고 있었다. 민감한 내부 소스 코드가 ChatGPT에 유입되어 눈에 띄는 보안 취약점이 드러났습니다. 응답은 신속했습니다. 생성 AI 도구에 대한 전사적 금지가 내부 메모를 통해 전달되었습니다. 삼성의 결정은 데이터 검색 및 삭제에 대한 통제가 어려운 구글 제미니(Google Gemini), 마이크로소프트 코파일럿(Microsoft Copilot)과 같은 외부 AI 플랫폼에서 데이터를 관리하는 데 어려움이 있음을 강조했습니다. 이러한 움직임은 이러한 AI 서비스를 디지털 트로이 목마 로 보는 삼성 직원 65% 의 우려를 반영했습니다. 금지 조치가 생산성에 미치는 영향에도 불구하고 삼성은 안전한 AI 사용 환경이 구축될 때까지 번역, 문서 요약, 소프트웨어 개발을 위한 자체 AI 솔루션 개발을 선택하면서 확고한 태도를 유지했습니다.
Apple도 직원들이 ChatGPT 및 유사한 AI 기반 도구를 사용하는 것을 금지하면서 이러한 경쟁에 동참했습니다. 이러한 금지 조치는 해당 도구가 직접적인 경쟁자인 Microsoft와 제휴하고 있어 Apple의 민감한 데이터 보안에 대한 우려가 커지면서 부분적으로 촉진되었습니다. 이러한 추세는 거대 기술 기업에만 국한된 것이 아닙니다. JPMorgan Chase , Deutsche Bank, Wells Fargo 등과 같은 거대 금융 기업들도 제3자의 눈으로부터 민감한 금융 정보를 보호하기 위해 AI 챗봇의 사용을 제한했습니다.
그러나 이러한 제한은 직원들이 효율성과 시간 절약을 위해 직장에서 개인 장치를 사용하는 "Shadow AI" 문화를 의도치 않게 탄생시켰고, 이는 AI 사용에 있어서 상당한 정책 실천 격차를 부각시켰습니다.
구체적인 데이터는 부족하지만 AI 제한이 있는 회사의 수많은 개인이 그러한 해결 방법을 사용했다고 고백했습니다 . 이에 대해 공개된 사람은 이것뿐입니다! 이러한 Shadow AI 사용은 많은 조직에서 널리 퍼져 회사 정책에 모순되거나 위반되는 방식으로 AI 사용을 장려하여 직원들이 숨겨야 한다고 느끼는 활동이 되었습니다.
이 문제를 더 깊이 파고들면서 직장에서 genAI 사용을 제한하는 회사 에 대한 수많은 이야기 에도 불구하고 직원들이 GenAI를 덜 사용하는 것 같지 않다는 것을 확인하는 최근 연구를 발견했습니다. Dell의 최근 조사에 따르면 응답자의 91%가 생활에서 어느 정도 생성 AI를 사용해 본 적이 있으며, 또 다른 71%는 직장에서 특별히 사용한 적이 있다고 보고했습니다.
ISACA 가 실시한 연구는 직장에서의 AI 채택과 호주 및 뉴질랜드의 AI 사용을 관리하는 공식 정책 사이의 상당한 격차를 강조합니다. 이 지역 직원의 63%가 다양한 업무에 AI를 활용하지만 공식적으로 허용하는 조직은 36%에 불과합니다. 조사 결과, AI가 서면 콘텐츠 제작(51%), 생산성 향상(37%), 반복 작업 자동화(37%), 의사결정 개선(29%), 고객 서비스(20%) 등에 적용되고 있는 것으로 나타났다. 그러나 AI 사용에 대한 포괄적인 정책을 갖고 있는 조직은 11%에 불과하며, 21%는 정책을 수립할 의향이 없습니다.
더욱이 ISACA의 연구에 따르면 조직 내 AI 관련 교육이 부족한 것으로 나타났습니다. 단 4%만이 모든 직원에게 이를 제공하고 있으며 57%는 AI 기술의 직접적인 영향을 받는 직원에게도 교육을 제공하지 않습니다. 이러한 상황은 직원들이 공식적인 승인 없이 IT 리소스를 사용하여 잠재적으로 조직 보안 및 거버넌스를 위험에 빠뜨리는 Shadow IT와 유사한 우려를 불러일으킵니다.
Shadow IT가 기업에 몰래 접근한 것과 마찬가지로 Shadow AI는 이미 존재하므로 조직은 이를 사용하는 방법을 파악하는 동시에 GenAI 입장에 정면으로 맞서야 합니다.
전문가들은 가드레일이 생산성을 크게 향상시키고 시간을 절약해 주기 때문에 직원들이 AI 도구를 사용하는 것을 막지 못할 것이라고 믿습니다 . 따라서 기업 CIO는 이 문제에 직면하고 조직의 위험 허용 범위에 부합하는 완화 전략을 모색해야 합니다. 필연적으로 좋은 의도를 가진 직원은 이러한 도구를 활용하여 효율성을 높일 것이므로 기업 기술 리더는 이러한 추세에 적극적으로 대처하고 효과적으로 관리함으로써 조직에 대한 잠재적인 피해를 예방할 수 있습니다.
AI 도구와 모든 직원의 상호 작용은 잠재적인 취약점이 될 수 있습니다.
Shadow IT의 역사는 보안되지 않은 Amazon S3 버킷 과 관련된 악명 높은 사건과 같은 심각한 데이터 침해로 특징지어지며, 이로 인해 30,000명의 개인 데이터가 공개적으로 노출되었습니다. 이러한 역사적 선례는 AI 시대에 엄격한 데이터 거버넌스의 필요성을 강조하는 경고의 역할을 합니다.
Shadow AI는 여러 가지 이유로 Shadow IT보다 더 강력한 도전입니다. 첫째, AI 도구 사용의 분산된 특성은 데이터 오용 또는 유출 가능성이 직원의 기술적 하위 집합(예: 개발자)에 국한되지 않고 조직 전체에 걸쳐 확장된다는 것을 의미합니다. 또한 AIaaS(AI as a Service) 모델은 처리하는 데이터로부터 본질적으로 학습하여 이중 위험 계층을 생성합니다. 즉, AI 공급업체가 민감한 데이터에 액세스할 수 있는 가능성과 악의적인 행위자가 노출된 데이터를 발견하고 활용할 수 있는 능력이 향상됩니다.
EMEA 및 아시아 지역 VP이자 SAS의 디지털 혁신 책임자인 Amir Sohrabi 에 따르면, 데이터 우선 사고방식을 갖춘 기술 리더는 2024년 이후 효율성을 향상시킬 수 있을 것입니다. 생성 AI 도구의 이점을 극대화하는 것은 잘 구성된 데이터에 달려 있으며, 데이터 액세스, 위생 및 거버넌스를 포괄하는 강력한 데이터 관리 관행이 필요하기 때문입니다.
Dell Technologies의 Gen AI 및 클라우드 전도사 리더인 Nick Brackney는 CIO.com에 게재한 기사 에서 기업이 Shadow AI에 성공적으로 대처하기 위해 사용해야 하는 "세 가지 규범적 방법"을 지적합니다.
먼저, 사용 사례 정의, 보안 액세스 생성 및 데이터 보호를 위한 경영진의 리더십을 포함하여 생성적 AI 사용을 위한 중앙 집중식 전략을 수립합니다. 이 접근 방식은 조직 전체의 시행과 확장을 단순화하는 동시에 성공을 보장하기 위해 쉬운 승리를 구축하고 식별하는 노력을 요구합니다.
둘째, 데이터를 체계적으로 정리하고 영업 비밀, 민감한 정보 등 퍼블릭 또는 호스팅 프라이빗 클라우드 AI 서비스에 배치해서는 안 되는 유형을 이해하세요. 이러한 유형의 데이터에 대한 대화 로그를 완벽하게 제어하거나 유지하지 않는 AI 솔루션을 사용하십시오.
셋째, AI 서비스를 온프레미스에서든 보안 클라우드 솔루션을 통해든 데이터에 가져와 제어함으로써 거버넌스, 직원 생산성, 보안 데이터 액세스 측면에서 이점을 활용할 수 있습니다. 이 접근 방식은 최종 사용자 경험을 향상시켜 규정 준수를 보장하고 데이터 노출 위험을 줄입니다.
조직에 잠재적으로 해를 끼칠 수 있는 부적절한 AI 관행을 설명하고 데이터 보안 프로토콜 및 위험 관리 전략에 따라 AI 애플리케이션의 통합을 안내하려면 명확한 AI 허용 가능한 사용 정책을 작성하는 것이 중요합니다. 이 정책은 의사결정자가 확립된 지침에 따라 조직 내 AI 도구의 사용을 평가하고, 위험 노출을 신속하게 찾아내고, 필요한 시정 조치를 결정할 수 있도록 하는 벤치마크 역할을 합니다.
펜실베이니아 대학교 와튼 스쿨의 Ethan Mollick 교수는 생각을 자극하는 또 다른 접근 방식을 제시합니다 . 그는 새로운 기술을 통합하는 전통적인 방법은 중앙 집중식 특성과 느린 속도로 인해 AI에 효과적이지 않아 IT 부서가 경쟁력 있는 사내 AI 모델을 개발하거나 컨설턴트가 구체적인 지침을 제공하기 어렵다고 믿습니다. AI 적용의 진정한 잠재력은 자신의 업무에 전문가인 직원에게 있습니다. 이는 조직이 AI로부터 진정한 이익을 얻으려면 AI 기술을 사용하는 데 직원(일명 "비밀 사이보그")을 참여시켜야 함을 시사합니다.
무엇보다도 브랜드는 공식적인 역할이나 과거 성과에 관계없이 모든 수준의 직원이 귀중한 AI 기술을 보유할 수 있다는 점을 인정해야 합니다. AI에 능숙한 직원들 사이에서 비밀 사이보그를 탐지한 기업은 크라우드 소싱 프롬프트 라이브러리와 같은 집단 학습 환경을 조성하고 AI로 인한 일자리 손실에 대한 보장을 제공하고 AI 사용을 장려함으로써 AI에 대한 우려를 줄이는 문화를 조성해야 합니다. 일상적인 작업을 제거하고 더욱 매력적인 작업을 장려하는 AI입니다.
직원들 사이에서 개방형 AI 사용을 장려하려면 심리적 안전을 확립하는 것이 중요합니다.
고용주는 AI가 조직에 도움이 될 수 있는 중요한 기회를 식별하기 위해 상당한 보상을 제공할 수 있어야 합니다. 여기에는 재정적 인센티브, 프로모션 또는 유연한 근무 조건이 포함될 수 있으며 게임화를 통해 처리될 수 있습니다.
오늘날의 조직은 AI로 인한 생산성 향상을 어떻게 활용할지, AI 기능을 고려하여 작업 프로세스를 어떻게 재구성해야 하는지, 데이터 환각 및 IP 문제 등 AI 사용과 관련된 잠재적 위험을 관리하는 방법을 신속하게 결정해야 합니다. 이를 위해서는 포괄적인 AI 정책을 수립하고 모든 직급의 직원을 참여시켜 통찰력을 활용하며 AI 기반 혁신을 보상하는 문화를 조성하기 위한 사전 예방적 접근 방식이 필요합니다.
기술 애호가와 기업이 AI 통합의 복잡성을 탐색할 때 조직이나 개인 프로젝트 내에서 이 혁신적인 기술을 책임감 있고 혁신적으로 활용하여 개인 정보 보호, 보안 및 효율성에 대한 균형 잡힌 접근 방식을 보장하기 위해 어떤 전략을 배포하시겠습니까?