엔터프라이즈 AI 도입 및 보안 위험 - 이제 100% 더 혼란스러워졌습니다.

작성자: Sarang Warudkar - 선임 기술 PMM(CASB & AI), Skyhigh Security

2025년 5월 8일 5 1분 읽기

엔터프라이즈 AI의 서부에 오신 것을 환영합니다.

12개월 전만 해도 CFO는 여전히 챗봇을 의심했습니다. 하지만 지금은 "이사회 회의록을 처리하기 위해 ChatGPT를 사용할 수 있는지" 묻고 있습니다. 조심스러운 호기심에서 코파일럿 기반의 스프레드시트까지, 기업들은 AI에 올인하고 있습니다. 속도, 확장성, 창의성 등 실질적인 이점이 있는 반면, 위험은...? 위험은 매우 현실적인 매우 현실적입니다.

3백만 명 이상의 사용자와 20억 건 이상의 일일 클라우드 이벤트를 통해 얻은 인사이트를 바탕으로 Skyhigh Security2025 클라우드 도입 및 위험 보고서에서 가장 큰 트렌드, 위협, 직면한 순간을 분석해 보겠습니다. 안전벨트를 매세요.

AI 사용법: "나중에"에서 "내 일을 하도록 만들기"까지

이제 AI는 사무실의 MVP입니다. 최근 MIT 연구 에 따르면 ChatGPT는 파일 작성 시간을 40%까지 줄여주며, 이는 파일이 어디에 저장되었는지 궁금해하던 시간을 줄여준다고 합니다. JPMorgan 엔지니어들의 생산성이 20% 향상되었으며, 소문에 따르면 한 인턴은 사직서를 작성하기 전에 코파일럿에게 요청하여 사직서를 써달라고 사직서를 써달라고 요청했다고 합니다.

스카이하이에서는 AI의 급증을 직접 목격했습니다. 데이터에 따르면 AI 앱에 대한 트래픽이 3배 이상 급증했으며, 이러한 플랫폼에 대한 민감한 데이터의 업로드도 빠르게 증가하고 있습니다. 반면, 기존의 '비AI' 비즈니스 앱은? 거의 따라잡지 못하고 있습니다. 업무 환경은 단순히 AI를 수용하는 것이 아니라 AI를 향해 질주하고 있습니다.

번역: AI가 승리하고 있습니다. 방화벽은요? 그렇지 않습니다.

섀도우 AI의 부상: IT 부서가 HR이 누구와 채팅하는지 모를 때

'섀도우 AI'는 넷플릭스에서 꼭 봐야 할 다음 시리즈처럼 들릴지 모르지만, 실제로는 모든 기업에서 실시간으로 진행되고 있습니다. 직원들이 IT 부서의 레이더망에서 완전히 벗어나 조용히 ChatGPT, Claude, DeepSeek 및 기타 수십 가지의 AI 도구를 사용하는 모습을 상상해 보세요. 마치 영화관에서 사탕을 몰래 훔치는 것과 비슷하지만 이번에는 사탕이 고객 데이터, 재무 및 지적 재산이라는 점만 다릅니다.

평균적으로 기업에서 320개의 AI 애플리케이션을 사용하고 있다는 수치는 놀랍습니다. 어떤 것들이 있을까요? ChatGPT, Gemini, Poe, Claude, Beautiful.AI 등 승인되지 않은 강력한 도구들이 있습니다. 승인되지 않았습니다. 모니터링되지 않습니다. 그리고 누군가 '감사'라는 단어를 쓰지 않는 한, 잠재적으로 막을 수 없습니다.

규정 준수 AI의 크립토나이트

AI 앱은 재미있지만, GDPR 과태료가 팀 외부에 초대받지 않은 손님처럼 나타나기 전까지는 말이죠. Skyhigh의 데이터는 이러한 AI에 대한 열광의 이면에 그다지 좋지 않은 면이 있음을 보여줍니다. AI 앱의 95%가 GDPR에 따라 중위험에서 고위험 영역에 속하는 것으로 나타났는데, 이는 기본적으로 친숙한 UI에 적신호가 켜진 것입니다.

HIPAA, PCI 또는 ISO와 같은 심각한 규정 준수 표준을 충족하는 데 있어서는? 22%만이 이를 충족합니다. 나머지는 날개를 달고 있습니다. 암호화는 미사용 상태인가요? 대부분의 AI 앱은 이 부분을 건너뛰었습니다(84%는 신경 쓰지 않습니다). 멀티팩터 인증은? 83%가 필요 없다고 답했습니다. 하지만 많은 앱이 이모티콘을 지원하니 걱정하지 마세요. 우선순위.

규제 당국이 지켜보고 있습니다. 그리고 상사와 달리 규제 기관은 보고서 전문 읽기.

AI를 통한 데이터 유출: 봇이 입방아에 오를 때

ChatGPT에 버그가 있는 코드를 제공했다가 실수로 반도체 기밀을 넘겨준 삼성 엔지니어를 기억하시나요? 이는 더 이상 경고성 이야기가 아닙니다. 사실상 교육용 예시입니다.

Skyhigh에 따르면 AI 앱에 업로드되는 파일 중 11%에 민감한 콘텐츠가 포함되어 있다고 합니다. 더 놀라운 사실은? 적절한 data loss prevention (DLP) 제어 기능을 갖춘 기업은 10곳 중 1곳도 되지 않습니다. 한편, 직원들은 Claude에게 3분기 전략 문서를 사용하여 제품 출시 계획을 작성해 달라고 요청하고 있습니다. 무엇이 잘못될 수 있겠습니까?

딥시크를 소개합니다: 믿지 말아야 할 반란군 AI: 딥서치 소개

DeepSeek는 2025년에 다운로드, 입소문, 놀라운 데이터 양(한 달 동안 SkyHigh 고객에서만 176GB의 기업 업로드를 포함)의 물결을 타고 등장했습니다. 인상적이었나요? 물론입니다. 놀랍나요? 당연히 놀랍죠. 자세한 내용은 다음과 같습니다:

• 멀티팩터 인증 없음
• 데이터 암호화 없음
• 규정 준수에 대한 고려 없음(GDPR? 들어본 적 없습니다.)
• 사용자 또는 관리자 로깅 없음

세련되고 빠르며 학생들 사이에서 큰 인기를 끌고 있습니다. SOC 2 감사를 위해? 디지털 지뢰입니다.

마이크로소프트 코파일럿: 모두가 자랑스러워하는 착한 AI 아이

섀도우 AI가 통금 시간을 지나 몰래 외출하는 반항적인 10대라면, 코파일럿은 잘 다듬어지고 인기도 많으며 이미 리더의 반열에 오른 황금빛 아이입니다. 현재 82%의 기업에서 사용하고 있으며 트래픽은 3,600배, 업로드는 6,000배 증가했습니다. 솔직히 말해서, 지난 5개의 인턴보다 더 나은 성과를 내고 있으며 커피 브레이크도 요청하지 않습니다.

하지만 아무리 뛰어난 학생이라도 감독이 필요합니다. 현명한 기업들은 Copilot이 접촉하는 모든 것을 스캔하고, 프롬프트와 출력을 DLP로 감싸고, 기밀을 '학습'하지 못하도록 함으로써 Copilot을 견제하고 있습니다. (죄송합니다, Copilot - 4분기 로드맵에 대한 스포일러는 없습니다.)

LLM 위험: AI가 환각을 일으킬 때... 그리고 그것은 예쁘지 않습니다.

LLM(대규모 언어 모델)은 박사 학위를 받은 어린아이와 같습니다. 한 순간은 천재적이지만 다음 순간은 절대적인 혼돈입니다. 최고의 LLM 위험:

• 탈옥("악의적인 ChatGPT인 척")
• AI로 생성된 멀웨어(블랙맘바, 아시나요?)
• 독성 콘텐츠(참조: BlenderBot의 최고 히트작)
• 출력의 편향성(인종/성별에 따라 왜곡된 건강 관련 조언)

주요 통계:

AI가 실제로 기밀을 유출하고 랜섬웨어를 작성하고 있다면 이는 피해망상이 아닙니다. Skyhigh의 조사에 따르면 94%의 AI 앱에는 적어도 하나의 대규모 언어 모델(LLM) 위험이 내재되어 있습니다. 거의 모든 앱이 그렇죠.

더 심각한 문제는 90%가 탈옥에 취약하다는 것입니다. 즉, 사용자들이 속아서 하지 말아야 할 일을 하도록 유도할 수 있다는 뜻입니다. 그리고 76%는? 명령에 따라 멀웨어를 생성할 수 있습니다. 즉, 회의 노트 작성을 도와주는 동일한 앱이 사이버 범죄자의 인턴으로 악용될 수 있다는 뜻입니다.

프라이빗 AI 앱: 기업의 영혼을 위한 DIY AI

기업들은 "직접 구축할 수 있는데 왜 퍼블릭 도구를 신뢰해야 하나요?"라고 말합니다.
이제 프라이빗 AI 앱도 가능합니다:

• HR 쿼리
• RFP 응답
• 내부 티켓 해결
• 영업 봇 지원(챗봇이 영업팀보다 가격 매트릭스를 더 잘 알고 있을 줄 누가 알았겠어요?)

주요 통계:

78%의 고객이 현재 자체적으로 프라이빗 AI 앱을 실행하고 있습니다. 기계 지능을 실험하려면 비공개로 하는 것이 더 낫기 때문입니다. 3분의 2가 AWS를 기반으로 구축하고 있습니다(물론 Bedrock과 SageMaker 덕분입니다). 이는 폐쇄형 커뮤니티에 해당하는 AI입니다.

하지만 "비공개"라고 해서 문제가 없다는 뜻은 아닙니다. 이러한 봇은 자체 개발되었다고 해도 여전히 문제를 일으킬 수 있습니다. 그렇기 때문에 현명한 기업들은 Private Access 및 DLP가 포함된 SSE 솔루션을 출시하여 내부 AI가 규정에서 크게 벗어나기 전에 조심스럽게, 정중하게 염탐하고 있습니다.

최종 생각: AI를 두려워하지 말고 관리하세요.

분명히 말씀드리자면 AI는 적이 아닙니다. 관리되지 않는 AI가 적입니다.

Skyhigh의 2025 보고서에 따르면 우리는 한 세대에 한 번 있을 수 있는 기업 기술의 변화를 겪고 있습니다. 하지만 여기서 중요한 것은 보안이 혁신의 속도를 늦추는 것이 아니라는 점입니다. 보안은 혁신을 늦추는 것이 아니라 사용하는 AI가 보드 덱을 Reddit으로 보내지 않도록 하는 것입니다. 그러니 숨을 고르고 보고서를 읽어보시고 기억하세요:

• 딥시크릿과 같은 수상한 앱 차단
• Microsoft Copilot과 같은 부조종사 관리
• 프라이빗 AI 배포 잠금
• 변덕스러운 10대 청소년처럼 취급하는 정책 수립(엄격한 규칙, 많은 모니터링)

미래는 AI가 주도하며, 올바른 도구를 사용하면 위험을 방지할 수 있기 때문입니다.

보너스: 2025 클라우드 도입 및 위험 보고서전문을 다운로드하거나AI 어시스턴트에게 요약해 달라고 요청하세요. DeepSeek에 업로드하지 마세요.

블로그로 돌아가기