AI 도입엔 속도전, 보안엔 허점… 소매 vs 금융 '코드 리스크' 극과 극

생성형 인공지능(AI)을 활용한 코드 개발 방식이 업계별로 뚜렷하게 갈라지고 있다는 분석 보고서가 나왔다. 앱 보안 관리업체 아피로(Apiiro)는 10만 개 이상의 엔터프라이즈 코드 저장소를 분석한 결과, 소매업과 금융 산업 간의 개발 양태와 보안 리스크에서 상당한 차이가 존재함을 드러냈다.

보고서에 따르면 소매기업은 생성형 AI 기술을 최종 사용자 앱에 빠르게 통합해 실사용 단계까지 밀어붙이고 있는 반면, 금융 부문은 활용에 있어 한층 보수적이고 리스크에 민감한 접근 방식을 택하고 있다. 아피로 측은 소매업종에서 AI 관련 코드 저장소가 금융권보다 2.1배 더 많은 것으로 집계되었으며, 커밋 빈도가 61%로 활발한 반면 금융권은 22%에 머물렀다고 밝혔다.

이런 속도 차이에도 불구하고 역설적으로 금융권이 더 높은 보안 리스크 노출을 보이고 있다는 점도 주목된다. 금융 업계의 AI 저장소는 평균적으로 688일 된 구형 코드 기반으로, 소매 업계의 평균 453일보다 1.5배 가량 오래되었다. 아피로는 생성형 AI가 구식 시스템에 후속적으로 통합되는 과정에서 관리 사각지대가 생기며, 내부 인증 정보나 토큰 등 민감한 정보 노출이 비AI 저장소보다 무려 7배 이상 많은 것으로 분석했다.

데이터 민감도 역시 업계마다 상이했다. AI가 고객 개인화 기능에 직접 활용되는 소매업 쪽은 결제 정보나 신원정보를 포함한 민감 데이터가 포함된 비율이 26%에 달했지만, 금융권은 15%로 비교적 낮았다. 규제 준수 요구로 인해 금융 업계는 외부 데이터 사용을 제한하고 내부 테스트 환경 내에서 AI를 운용하는 경우가 많기 때문이다.

기술 도구 측면에서도 이질적인 모습이 관측된다. 소매기업들은 오픈AI의 파이썬 SDK와 LiteLLM 등 특정 도구에 집중하는 경향을 보이는 반면, 금융 산업은 LangChain이나 커스텀 모델 등 보다 다양한 AI 프레임워크를 혼용하면서 복잡성과 리스크 분산을 동시에 높이고 있다.

이번 보고서를 작성한 아피로의 제품 관리자 이타이 누스바움(Itay Nussbaum)은 “생성형 AI는 이미 대부분의 코드 속에 존재한다”며 “어떤 산업이냐에 따라 AI가 작동하는 방식과 노출되는 보안 위험이 전혀 다르게 나타난다”고 강조했다. 누스바움은 소매업이 빠르고 직관적인 고객 서비스 중심으로 AI를 풀가동하는 반면, 금융권은 노후 인프라 위에 제한적으로 레이어를 얹는 방식이라고 설명했다. 양쪽 모두 보안 리스크는 존재하지만, 방향성과 성격이 확연히 다르다는 점에서 업계별 맞춤형 보안 프레임워크가 필요하다는 메시지가 이번 보고서를 관통하고 있다.