섀도우 AI(Shadow AI)는 직원 78%가 회사 미승인 AI 도구를 업무에 쓰는 현상이다. 보안 사고 평균 $67만 추가 비용, EU AI 법 2026년 8월 발효 위험, 데이터 유출·규제 위반·할루시네이션 기반 의사결정 3대 위험, AI 사면 전략, 개발팀 AI 거버넌스 체크리스트, 커서·클로드 코드 업무 활용 보안 기준까지.
직원의 78%가 회사 승인 없이 AI 도구를 업무에 사용하고 있다. 이를 섀도우 AI(Shadow AI)라고 한다. IT 부서나 보안팀의 관리 범위 밖에서 챗지피티, 퍼플렉시티, 클로드 등을 개인 계정으로 접속해 업무에 쓰는 행태다.
섀도우 AI가 만드는 보안 위험은 구체적이다. 직원이 회사 내부 문서, 고객 정보, 코드베이스를 외부 AI 서비스에 입력하는 순간 데이터 통제권을 잃는다. 보안 사고 시 평균 추가 비용은 약 67만 달러(약 9억 원)다. 2026년 8월부터 발효되는 유럽연합 AI 법(EU AI Act)은 이 위험도를 더 높인다. 섀도우 AI가 생겨나는 이유, 실제 보안 위험, 차단보다 현실적인 대응 전략을 다룬다.
섀도우 AI(Shadow AI)는 기업의 IT 부서나 보안팀의 공식 승인·통제·관리 범위를 벗어나 임직원이 개인적으로 사용하는 생성형 AI 도구나 서비스를 가리킨다. 비슷한 개념인 '섀도우 IT'(미승인 소프트웨어 사용)의 AI 버전이다.
규모가 이미 대다수다. 직원의 98%가 일하는 기업에서 승인되지 않은 AI 애플리케이션이 사용되고 있다는 조사가 있다. 직원 개인 기준으로는 78%가 회사 미승인 AI 도구를 업무에 쓴다고 응답했다. 직원의 60%는 보안 위험이 있다는 사실을 알면서도 마감 기한을 맞추기 위해 미승인 AI를 쓸 의향이 있다고 밝혔다.
개발팀에서 자주 일어나는 섀도우 AI 사례는 다음과 같다.
① 데이터 유출 — 입력 순간 통제권 상실
직원이 외부 AI 서비스에 내부 정보를 입력하면, 그 데이터가 어떻게 처리·저장·학습에 활용되는지 회사는 통제할 수 없다. 일부 AI 서비스는 입력 데이터를 모델 학습에 활용하는 약관을 둔다. 기업 기밀, 고객 개인정보, 소스 코드가 외부 서버로 전송된다.
② 규제 위반 — 컴플라이언스 사각지대
GDPR, HIPAA(의료정보), 국내 개인정보보호법 등 규제 환경에서 고객 데이터를 외부 AI 서비스에 전송하는 것은 명시적 동의 없이 처리하는 것으로 해석될 수 있다. 기업이 파악하지 못하는 사이에 위반이 발생한다.
③ 할루시네이션 기반 의사결정 — 검증 없는 AI 출력 신뢰
직원이 미승인 AI로 작성한 보고서, 법률 해석, 재무 분석을 검토 없이 업무에 활용하면, AI의 잘못된 정보(할루시네이션)가 실제 의사결정에 들어간다. 공식 AI 도구는 출력 검증·감사 로그 체계가 있지만, 섀도우 AI는 그 흔적이 남지 않는다.
보안 사고 비용: 섀도우 AI로 인한 보안 사고는 평균 약 67만 달러(한화 약 9억 원)의 추가 비용을 발생시킨다. (출처: 복수 보안 조사 기관 종합)
2026년 8월 2일부터 유럽연합 AI 법(EU AI Act)이 발효된다. 이 법은 기업이 자사 시스템에서 사용하는 AI를 파악하고 위험도를 분류·관리할 의무를 부과한다.
섀도우 AI가 문제가 되는 이유가 바로 여기에 있다. 기업이 직원들이 어떤 AI를 쓰는지 파악하지 못한다면, EU AI 법 준수 여부를 증명할 수 없다. 고위험 AI(의료·인사·금융 분야 의사결정 보조 등)에 해당하는 도구가 섀도우 방식으로 쓰이고 있다면, 적절한 위험 평가와 투명성 요건을 충족하지 못한 것이 된다.
위반 시 EU AI 법의 과징금은 최대 전 세계 연간 매출의 3~7%다. 섀도우 AI는 기업이 파악하지 못하는 구멍이므로, 규제 리스크를 높인다.
섀도우 AI 현상을 막으려면 근본 원인을 이해해야 한다. 크게 세 가지다.
① 회사 공식 AI 도입이 너무 느리다: 기업 내 AI 도입은 검토·승인·보안 평가·계약·교육 절차를 거쳐야 한다. 이 과정이 수개월이 걸리는 동안 직원들은 이미 생산성 향상을 경험한 AI 도구를 개인적으로 쓰기 시작한다.
② 마감 압박 앞에서 규정보다 결과가 우선된다: 직원의 60%가 보안 위험을 알면서도 마감을 맞추기 위해 미승인 AI를 쓸 의향이 있다. 개인 성과 평가가 마감 준수에 연동되는 구조에서 자연스럽게 발생한다.
③ 공식 승인된 도구가 업무 필요에 맞지 않는다: 회사가 제공하는 AI 도구가 특정 업무(코딩, 디자인, 영상 요약 등)에 최적화되지 않거나, 사용이 불편하면 직원들은 더 편리한 외부 AI로 자연스럽게 이동한다.
섀도우 AI를 강제 차단하는 방식은 역효과가 크다. 직원들은 더 은밀한 방법을 찾거나, 업무 효율이 크게 떨어진다. 보안 전문가들이 권장하는 접근은 '투명성 기반 거버넌스'다.
AI 사면(AI Amnesty) 선언: '과거에 어떤 AI를 어떻게 썼는지 묻지 않을 테니, 지금 업무에 활용 중인 도구를 공유해달라'고 요청한다. 이를 통해 실제 현장의 AI 사용 현황을 파악하고, 공식 지원 환경을 구축하는 재료로 삼는다.
빠른 AI 도구 심사 프로세스: 직원이 새 AI 도구 사용 요청을 했을 때 수개월이 아닌 수주 내에 승인·거절 결과를 주는 빠른 심사 절차를 만든다. 속도가 느리면 직원은 승인을 기다리지 않고 개인적으로 쓰기 시작한다.
허용된 AI 도구 화이트리스트 운영: 보안 평가를 마친 AI 도구 목록을 공개하고, 직원들이 업무 용도에 맞는 도구를 선택할 수 있게 한다. 완전 금지보다 관리된 선택지를 제공하는 방식이 현실적이다.
개발팀 관점에서 섀도우 AI를 예방하고 관리하기 위한 실전 체크리스트다.
섀도우 IT는 IT 부서 승인 없이 사용하는 소프트웨어·서비스 전반을 가리키는 오래된 개념입니다. 섀도우 AI는 그중 생성형 AI 도구에 특화된 개념입니다. 생성형 AI는 일반 소프트웨어와 달리 입력 데이터를 학습에 활용하는 약관 구조, 높은 출력 신뢰도로 인한 할루시네이션 위험, 빠른 확산 속도가 결합돼 기존 섀도우 IT보다 위험도가 높습니다.
개인 계정으로 쓰는 챗지피티의 기본 설정은 입력 내용을 학습 데이터로 활용할 수 있습니다(설정에서 끌 수 있음). 회사 기밀, 고객 정보, 개인식별정보를 입력하면 GDPR·개인정보보호법 위반 소지가 있고, 회사의 정보보안 정책 위반이 될 수 있습니다. 오픈AI가 제공하는 기업용 ChatGPT Enterprise는 데이터를 학습에 활용하지 않는 약관을 제공합니다.
회사의 공식 승인 없이 쓴다면 섀도우 AI에 해당합니다. 특히 회사 코드 저장소에 연동하거나 내부 코드를 통째로 입력하는 방식은 보안 위험이 됩니다. 회사가 커서·클로드 코드 사용을 공식 승인하고, 어떤 데이터를 입력할 수 있는지 정책을 정하면 섀도우 AI가 아닌 공식 AI 도구로 관리됩니다.
팀이나 부서 단위로 '현재 업무에 쓰고 있는 AI 도구를 솔직하게 공유해달라. 과거 사용에 대해서는 문책하지 않는다'는 선언을 합니다. 여기서 수집한 현황을 바탕으로 보안팀이 각 도구의 위험도를 평가하고, 안전하게 사용할 수 있는 공식 환경을 구축합니다. 효과적인 AI 사면은 무조건적 공개 요청이 아닌, 업무에 맞는 도구를 공식 지원하겠다는 약속과 함께 진행돼야 합니다.
직접적으로 영향을 줍니다. EU AI 법은 기업이 자사 시스템에서 사용하는 AI를 파악하고 위험도를 관리할 의무를 부과합니다. 섀도우 AI는 IT 부서가 파악하지 못하는 AI이므로, EU AI 법 준수 여부를 증명하는 데 구멍이 됩니다. 의료·인사·금융 의사결정 보조에 쓰이는 AI는 고위험 AI로 분류돼 별도 요건이 붙는데, 이런 용도로 섀도우 AI를 쓰고 있다면 과징금 리스크가 생깁니다. 법 발효는 2026년 8월 2일입니다.
규모와 관계없이 섀도우 AI는 발생합니다. 스타트업은 절차가 적어 직원들이 더 자유롭게 다양한 AI 도구를 쓰는 경향이 있습니다. 규모가 작을 때는 간단한 방법으로 관리할 수 있습니다. 팀 슬랙 채널에서 '어떤 AI 쓰고 있어요?'를 주기적으로 공유하고, 고객 데이터·기밀 입력 금지 원칙을 온보딩 때 명확히 하는 것만으로도 기본 거버넌스가 됩니다. 투자를 받거나 고객사에 보안 정책을 제출해야 하는 시점에는 공식 AI 사용 정책 문서가 필요해집니다.
