AI 성공의 열쇠? '모델' 아닌 데이터 거버넌스였다

기업들이 인공지능(AI)을 미래 성장 엔진으로 지목하고 적극적인 도입에 나서고 있지만, 정작 AI 성공의 열쇠는 '모델'이 아니라 ‘데이터 관리’에 달려 있다는 경고가 업계 전반에서 나오고 있다. 특히 비정형 데이터의 분류와 가시성 확보가 부족하면 AI는 물론 보안·컴플라이언스 전반을 뿌리 채 흔들 수 있다는 지적이다.

비정형 데이터 거버넌스 솔루션 기업인 콩그루이티360(Congruity360)은 이 같은 위험이 AI 시대 기업들에게 치명적인 ‘맹점’이 되고 있다고 분석했다. 많은 조직이 AI 도입에 막대한 투자를 쏟고 있으나, 데이터를 얼마나 효율적으로 분류하고 통제하는지에 따라 성공 여부가 좌우된다는 것이다.

현재 전체 기업의 41%가 데이터 분류 툴 자체가 없는 상태이며, 37%만이 향후 2년 내 관련 툴을 도입할 계획을 세우고 있다. 이로 인해 기업 내부는 분류되지 않은 고위험 데이터가 파일 서버, NAS, 클라우드 등에 무방비로 방치되는 상황으로 이어지고 있다. 그 결과 IT 및 보안팀은 사후 정리에 막대한 시간과 예산을 투입해야 하고, 이 과정에서 내부 신뢰마저 무너진다.

더CUBE 리서치의 크리스토프 베르트랑(Christophe Bertrand)은 “AI는 업무 프로세스와 워크로드를 넘어 비즈니스 전반에 영향을 미치기 때문에 AI의 기반이 되는 데이터 인프라도 기본적으로 보호가 되어야 한다”며 데이터 보안의 중요성을 강조했다.

콩그루이티360의 최고운영책임자(COO) 마크 워드는 “데이터가 급증하는 현실에서 기업들은 분류나 폐기, 통제가 따라가지 못하고 있다”며 “이런 불균형은 사일로화되어 있는 비정형 데이터 환경을 고착시키고, 이로 인해 보안 사고나 규제 위반의 잠재 위험이 눈덩이처럼 불어난다”고 경고했다.

또한, 기업 내부에서 잘 분류되지 않은 유휴 데이터, 중복문서, 오래된 이메일 등 이른바 ROT 데이터(Redundant, Obsolete, Trivial)는 단순한 저장소 비용 문제가 아닌, 민감 정보 노출 및 규제 위반 위험으로 직결될 수 있다. 워드는 “5년 전 퇴사자가 남긴 파일 공유 폴더에 개인정보가 남아있는 것만으로도 법적 리스크가 현실화될 수 있다”고 설명했다.

운영 효율성과 보안 강화, 컴플라이언스 대응, 비즈니스 리스크 감소라는 ‘거버넌스 빅4’ 축을 중심에 둔 전략이 주목받고 있다. 이를 위해 많은 기업들은 DSPM(데이터 보안 태세 관리)을 도입, 클라우드와 온프레미스 환경에서 사각지대를 신속하게 식별하고 있다. 워드는 “1주일 내로 고객의 데이터 보안 현황을 시각화해 제시할 수 있다”며 대응 속도를 중요한 경쟁력으로 꼽았다.

수백 페타바이트(PB) 규모의 데이터를 다루는 대형 기업에겐 이 문제가 더욱 심각하다. 일정 주기의 운영 감사가 없다면 해당 데이터들은 보이지 않는 리스크로 쌓이게 되고, 불시에 터지는 보안 사고나 감사실패, 규제기관 조문으로 이어질 수 있다. 이에 따라 콩그루이티360은 지속적인 데이터 진단과 라이프사이클 관리(DLM)를 병행, 필요 없는 스냅샷과 오래된 백업을 제거하며 저장소 효율화를 지원하고 있다.

ROT 통제 전략 가운데 핵심은 직관적인 ‘데이터 감시 체계’ 구축이다. 누가 어떤 정보를 언제 접근했는지 추적할 수 있어야 하고, 불필요한 보관을 줄이는 동시에 개인정보보호법(GDPR), 의료정보보호법(HIPAA) 등 각종 컴플라이언스 요구에도 부합해야 한다.

이러한 데이터 거버넌스는 단순히 보안 강조를 넘어서 AI 성공을 위한 전제 조건이라는 점에서 특히 주목된다. 드렉셀대학 조사에 따르면 62%의 기업이 AI 도입이 지체되는 이유로 ‘부실한 데이터 거버넌스’를 꼽았다. 워드는 “클린하고 분류된 데이터가 있어야만 AI가 신뢰성 있는 결과를 제공한다”며 “허술한 데이터로 AI 모델을 학습하는 건 연산 낭비일 뿐 아니라 규제 리스크도 키우는 일”이라고 강조했다.

콩그루이티360은 Fortune 1000부터 중소기업(SMB) 시장까지 모두를 대상으로 SaaS 기반 DSPM 서비스를 제공하고 있다. DSPM은 데이터의 일부 속성만 평가하는 것이 아니라, AI와 보안의 관점에서 정보의 가치와 위험도를 동시에 진단하는 통로이기도 하다. 여기에는 ▲정기적 데이터 감사와 ROT 정리 ▲선제적 분류 규칙 설정 ▲불필요한 백업 제거 ▲민감도에 따른 스토리지 재배치 ▲데이터 수명 중심의 폐기 정책 수립 등이 포함된다.

마지막으로 콩그루이티360은 ROT 관리를 단발성 프로젝트가 아닌 일상적 운영 과제로 삼아야 한다고 강조한다. ROT는 정적 목표가 아니라 지속적으로 강화해야 할 보안 문화이기 때문이다. 워드는 “사람의 실수가 여전히 보안 침해의 가장 큰 원인”이라며 “퇴직자의 계정이 남아있거나, 잘못된 분류로 민감 데이터가 노출되는 문제가 반복되고 있다”고 경고했다.

결국 AI는 데이터를 정제하기 이전에 그 리스크부터 제어해야 한다. AI 프로젝트를 성공으로 이끄는 것도, 실패시키는 것도 거버넌스에 있다는 사실을 인식할 때, 진정한 ‘AI 거버넌스 기반 보안 체계’가 작동한다. 오늘날 기업이 데이터를 제대로 조망하지 못할 때 발생하는 위험은 더 이상 가능성이 아닌, 확률의 문제로 진입하고 있다.