기업용 AI 확산 속 ‘섀도 AI’ 늘었다…거버넌스 공백이 변수

기업용 인공지능 도입은 빠르게 늘고 있지만, 실제 현장에서는 ‘확장’보다 ‘통제’가 더 큰 과제로 떠오르고 있다. 제한된 시범 운영에서는 성과를 내더라도, 이를 실제 업무 전반으로 넓히는 과정에서 보안과 정책 관리가 따라오지 못하면서 ‘생산 전환 격차’가 커지고 있다는 진단이다.

수세(SUSE S.A.)의 AI 부문 부사장 겸 총괄인 리스 옥센햄(Rhys Oxenham)은 최근 수세콘 2026에서 기업들이 이제 단순한 AI 파일럿이 아니라, 안전하게 대규모 운영 환경으로 옮기는 문제와 맞서고 있다고 밝혔다. 그는 “파일럿은 비교적 쉽게 가치를 입증할 수 있지만, 이후 이를 핵심 데이터와 함께 실제 운영에 적용하려면 안전장치와 거버넌스가 필요하다”며 “바로 이 지점이 고객들이 넘어야 할 ‘생산 격차’”라고 설명했다.

이 같은 문제는 수치로도 드러난다. 전체 조직의 5곳 중 1곳은 ‘섀도 AI’와 관련된 침해 사고를 경험했다고 보고했지만, 이를 관리하거나 탐지하는 정책을 갖춘 곳은 37%에 그쳤다. 섀도 AI는 임직원이 회사 승인 없이 외부 생성형 AI 도구를 사용하는 현상을 뜻하는데, 편의성은 높지만 데이터 유출과 규정 위반 위험이 크다. 결국 AI 투자 규모 못지않게 거버넌스 체계의 부재가 기업 경쟁력에 직접적인 변수로 부상한 셈이다.

수세, ‘프라이빗 AI’로 해법 제시

수세는 이 문제의 해법으로 ‘프라이빗 AI’를 제시하고 있다. 이는 개방형 표준, 하이브리드 배치, 조직의 완전한 통제권을 기반으로 한 기업용 AI 모델이다. 기업이 자체 데이터센터는 물론 퍼블릭 클라우드, 엣지 환경까지 필요에 따라 AI 워크로드를 배치하면서도 특정 벤더에 종속되지 않도록 설계하는 방식이다.

옥센햄은 특히 ‘디지털 주권’의 중요성을 강조했다. 그는 “디지털 주권은 더 이상 유럽만의 규제 체크리스트가 아니다”라며 “전 세계 모든 조직이 인프라 운영에서 독립성, 자율성, 회복력을 고민해야 한다”고 말했다. 단순한 규정 준수 차원을 넘어, AI 인프라와 데이터 통제권 자체가 기업의 핵심 경쟁력이 되고 있다는 의미다.

현장에서는 경영진이 빠른 AI 성과를 요구하는 반면, 이를 뒷받침할 거버넌스 장치가 부족한 경우가 많다. 이때 구성원들은 승인된 시스템 대신 외부 도구를 우회적으로 사용하게 되고, 기업은 데이터 흐름과 사용 이력을 파악하지 못한 채 통제력을 잃게 된다. 수세는 이런 위험을 줄이기 위해 수세 랜처 프라임(SUSE Rancher Prime)과 수세 리눅스 엔터프라이즈 서버를 기반으로 관측성, 보안, 자동화를 제공한다고 설명했다.

에이전트형 AI 시대, 보안·관측성 중요성 더 커져

특히 AI가 단순 추천을 넘어 실제 업무를 대신 수행하는 ‘에이전트형 AI’ 단계로 진화하면서 거버넌스 중요성은 더 커지고 있다. AI 에이전트가 사용자를 대신해 행동하고 의사결정에 관여할수록, 그 판단이 기업 정책과 일치하는지 실시간으로 확인할 수 있어야 하기 때문이다.

옥센햄은 “에이전트가 사용자 대신 실제 행동을 수행한다면, 그 행동이 회사 정책에 맞게 이뤄지고 있는지 확인해야 한다”며 “이 단계에서는 거버넌스, 보안, 관측성이 매우 중요해진다”고 말했다. 이는 기업용 AI의 경쟁력이 더 이상 모델 성능만으로 결정되지 않고, 운영 안정성과 정책 집행 능력까지 포함하는 방향으로 바뀌고 있음을 보여준다.

결국 2026년 기업용 AI 시장의 핵심 과제는 ‘더 많은 AI 도입’이 아니라 ‘안전하게 확장할 수 있는 기반’을 마련하는 데 있다는 분석이 나온다. AI 파일럿이 실험실을 벗어나 실제 업무 시스템에 안착하려면, 성능 못지않게 거버넌스와 디지털 주권, 보안 체계가 함께 구축돼야 한다는 점이 점점 분명해지고 있다.