뉴스
리서치
마켓정보
라운지
커뮤니티
매체소개
고객센터
0
생성형 AI(Gen AI) 도구의 사용이 기업 현장에서 빠르게 확산되면서, 직원들이 개인 계정을 통해 기업 기기에서 이 도구들을 활용하고 민감 데이터를 복사하거나 붙여넣는 행위가 급증하고 있다. 이로 인해 보안 위협이 가중되는 가운데, 사이버 범죄자들도 AI를 악용해 신뢰받는 툴로 가장하는 수법까지 동원하고 있다는 분석이 나왔다.
사이버 보안 기업 멘로 시큐리티(Menlo Security)는 최근 공개한 보고서에서 최근 30일간(2025년 5월~6월) 글로벌 기업들의 웹 트래픽과 생성형 AI 사용 패턴을 추적해 이 같은 추세를 확인했다고 밝혔다. 보고서에 따르면, 생성형 AI 관련 웹사이트 방문자 수는 지난해 7억 건에서 올 1월 기준 105억 건으로 50% 이상 급증했다. 가장 활발한 사용 채널은 브라우저이며, 전체 사용의 약 80%가 브라우저를 통해 이루어지고 있다. 이 가운데 사용량 1위는 챗GPT(ChatGPT)로, 주간 사용자 수는 약 4억 명에 이르며, 대부분은 무료 요금제를 사용 중이다.
무료 요금제를 통해 손쉽게 접근할 수 있다는 장점에도 불구하고, 많은 사용자들이 모델 학습에 자기 데이터를 제공하고 있다는 점을 인지하지 못하고 있는 것으로 나타났다. 오픈AI(OpenAI)는 개인정보 보호 정책을 통해 무료 계정 사용자 데이터를 모델 학습에 활용할 수 있음을 명시하고 있다. 전문가들은 기업 사용자의 경우 챗GPT 엔터프라이즈나 API처럼 기본적으로 데이터 학습이 제외되는 형태의 유료 서비스 이용을 권장하고 있다.
한편 아시아·태평양 지역에서는 생성형 AI 도입 속도가 압도적으로 빠르다. 중국과 인도에서는 각각 75%, 73%의 기업들이 이미 일정 수준의 도입을 완료했거나 진행 중이다. 반면, 유럽과 중동은 GDPR 등 까다로운 데이터 보호 규제 탓에 다소 더딘 채택 속도를 보이고 있다.
멘로의 조사에 따르면, 전체 기업 직원 중 68%는 공공 생성형 AI 툴을 개인 계정으로 활용하고 있으며, 이 중 57%는 회사의 민감 정보를 해당 도구에 입력한 경험이 있다고 응답했다. 불과 한 달 동안 생성형 AI와 관련해 민감 데이터를 복사한 시도는 15만 건 이상, 붙여넣은 시도는 31만 건 이상에 달했다. 강조해야 할 점은 이 중 대부분이 개인 정보, 금융 정보, 로그인 비밀번호, IP 등 기업이 민감하게 여기는 정보들로 분류된다는 것이다.
더욱이 악성 브라우저 확장 프로그램을 통해 감쪽같이 변형된 피싱 AI 툴도 우후죽순 등장하고 있다. 멘로는 겨우 세 달 동안 약 2,600개의 유사 도메인과 사칭 사이트를 탐지했으며, 이 가운데 상당수가 챗GPT나 코파일럿(Copilot)이라는 이름을 도용해 합법적인 도구로 위장하고 있었다. 이는 생소한 사용자들에게서 자발적으로 정보를 유도하거나 악성 링크 클릭을 유도하는 데 매우 효과적인 수법이다. 실제로 보안 체계를 회피하는 ‘제로아워 피싱 공격’은 전년 대비 무려 130%나 증가했다.
이처럼 ‘섀도 AI(Shadow AI)’로 불리는 비공식 AI 도구의 활용은 과거 개인 이메일, 클라우드, 모바일 SNS 도구가 확산되었을 때와 유사한 현상이다. 기업이 공식 도구나 명확한 정책을 제공하지 않으면, 직원들은 가용한 모든 수단을 통해 비공식 도구를 사용하게 되는 것이다. 이러한 섀도 AI의 확산을 막기 위해서는 직원이 개인 계정으로 무료 생성형 AI에 접근하지 못하도록 제어하고, 공식 승인된 AI 도구만 사용하도록 엄격하게 관리해야 한다.
또한 데이터 손실 방지(DLP) 솔루션을 적극적으로 도입해 복사/붙여넣기, 업로드, 다운로드 같은 행위를 실시간으로 모니터링하고 제어할 방안이 필요하다. 특히 PDF, DOCX 파일처럼 겉보기엔 무해하지만, 악성코드를 숨기고 있을 잠재성이 높은 파일 유형에 대해서는 별도 검열 체계도 병행되어야 한다. 여기에 제로트러스트(Zero Trust) 기반 보안 모델을 구축해 외부 계약자나 비관리 기기도 모두 엄격히 인증하는 방식으로 사전 보안 체계를 고도화하는 것이 효과적이라는 분석도 나온다.
무엇보다 중요한 것은 직원들에 대한 교육이다. 아무리 보안 조치를 강화해도, 직원 스스로 그 위험성을 인지하지 않는다면 중요 정보 유출은 반복될 수밖에 없다. 기업은 이제 단순한 접근 차단만이 아닌, ‘신뢰 기반’ 내부 보안 생태계를 조성하고 공공 생성형 AI 도구의 위험성과 공식 도구 사용 지침에 대한 지속적인 커뮤니케이션에 나서야 할 시점이다. AI 도입의 속도는 이례적으로 빠르며, 기술만으로는 대응이 어렵다. 변화의 흐름 속에서 조직 전체가 리스크에 앞서 준비할 수 있어야 한다.
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 397회차](https://f1.tokenpost.kr/2025/08/ymq6xmjo99.jpg)
![[토큰포스트] 기사 퀴즈 396회차](https://f1.tokenpost.kr/2025/08/icu7ddm2o6.jpg)
![[토큰포스트] 기사 퀴즈 395회차](https://f1.tokenpost.kr/2025/08/7t6xwmr85d.jpg)
![[토큰포스트] 기사 퀴즈 394회차](https://f1.tokenpost.kr/2025/08/uqcxlxef2l.jpg)
