AI 기술은 3년도 채 되지 않아 실험적인 장난감에서 직장의 필수품으로 자리 잡았습니다. 우리 모두 그 정도는 알고 있었습니다. 하지만 아무도 예상하지 못했던 것은 AI가 도입률뿐 아니라 위험 측면에서도 기존 SaaS 분야를 얼마나 빨리 앞지를 것이라는 점이었습니다.
우리의 새로운 2025년 엔터프라이즈 AI 및 SaaS 데이터 보안 보고서LayerX 기업 고객의 실제 브라우징 원격 측정 데이터를 기반으로 한 분석 결과는 놀라운 사실을 보여줍니다. AI는 더 이상 "떠오르는" 기술이 아닙니다. AI는 이제 현대 기업에서 데이터 유출의 가장 큰 맹점입니다.
보안 팀이 수년간 거버넌스를 구축해 온 이메일이나 파일 공유와 달리, 대부분의 AI 사용은 SSO, 가시성, 기업 통제 밖에서 그늘진 곳에서 이루어집니다.
엄청난 속도로 진행되는 AI 도입
헤드라인부터 시작해 보겠습니다. 기업 직원의 45%가 이미 생성적 AI 도구를 사용하고 있습니다. 이는 전체 직원의 거의 절반에 달하는 수치이며, 이러한 도구가 등장한 지 3년도 채 되지 않았습니다. 반면, 파일 공유나 화상 회의와 같은 SaaS 분야는 이와 유사한 보급률을 달성하는 데 10년 이상이 걸렸습니다.
더욱 놀라운 점은 모든 기업 AI 사용의 92%가 단일 도구인 ChatGPT에 집중되어 있다는 것입니다. 이는 ChatGPT가 가장 빠르게 성장하는 분야일 뿐만 아니라 가장 집중도가 높은 분야임을 의미합니다. 단일 소비자 대상 플랫폼이 사실상의 기업 AI 표준이 되었습니다.
이 정도 규모의 도입 자체는 놀라운 일이 아닙니다. 충격은 다음을 볼 때 발생합니다. 방법 직원들이 사용하고 있습니다.
놀라운 데이터 경로: 업로드가 아닌 복사/붙여넣기
대부분의 CISO는 파일 업로드를 걱정합니다. 그럴 만한 이유가 있습니다. GenAI 도구에 업로드된 파일의 40%에는 민감한 PII 또는 PCI 데이터가 포함되어 있습니다. 이는 전체 업로드의 거의 절반에 해당합니다.
하지만 진짜 충격은 다른 데 있습니다. 저희 데이터에 따르면 대부분의 민감한 데이터는 업로드를 통해 기업 외부로 유출되지 않습니다. 복사 / 붙여 넣기.
- 직원의 77%가 GenAI 프롬프트에 데이터를 붙여넣습니다.
- 그 페이스트의 82%는 개인 계정에서 나왔습니다.
- 평균적으로 직원들은 비회사 계정으로 하루에 14개의 페이스트를 만들고 있으며, 그 중 최소 3개의 페이스트 활동에는 민감한 데이터가 포함되어 있습니다.
이로 인해 종종 간과되는 파일리스하고 비정형적인 채널인 평범한 클립보드가 민감 데이터 유출의 주요 경로로 변모합니다. GenAI 도구만 해도 기업에서 개인으로 전송되는 데이터의 32%를 차지합니다.
파일 중심 모니터링을 기반으로 구축된 기존 DLP 도구는 이러한 활동을 감지조차 하지 못합니다. 즉, 기업들은 AI 거버넌스에 뒤처져 있을 뿐만 아니라, 제대로 된 정보를 얻지 못하고 있습니다.
개인 계정이 쇼를 운영하고 있습니다
기업들은 ID 보안, 페더레이션, SSO에 수백만 달러를 투자했습니다. 하지만 저희 데이터에 따르면 이러한 통제는 AI 분야에는 거의 영향을 미치지 않습니다.
- AI 사용의 67%는 관리되지 않는 개인 계정을 통해 발생합니다.
- CRM 로그인의 71%, ERP 로그인의 83%가 연합되지 않았습니다.
- "기업" 계정조차도 종종 비밀번호만 사용하기 때문에 개인 로그인과 기능적으로 구별할 수 없습니다.
결론은? 기업 ≠ 보안. CRM, ERP, 그리고 이제는 AI와 같이 가장 민감한 고객 및 재무 데이터를 보관하는 시스템에 마치 일반 소비자용 앱처럼 접근하고 있다는 것입니다. 신원 확인 통제가 존재하지만, 직원들은 그저 우회적으로 이를 활용합니다.
거버넌스: 어디에도 찾을 수 없음
우리 조사에서 가장 반직관적인 결과는 다음과 같습니다. AI가 기업 워크플로에 더 많이 내장될수록 AI를 둘러싼 거버넌스는 줄어듭니다.
직원들은 민감한 데이터를 프롬프트에 붙여넣고, 일반 사용자용 계정에 파일을 업로드하고, 관리되지 않는 ID로 로그인합니다. 그리고 이 모든 일은 허가된 감독 없이 이루어집니다.
이와 대조적으로 이메일은 수십 년간 DLP, 아카이빙, 그리고 연합을 통해 최소한 어느 정도 보호 장치를 구축해 왔습니다. 이에 비해 AI는 서부 개척 시대와 같습니다.
그러나 AI는 더 이상 "떠오르고" 있지 않습니다. 이미 다음을 설명합니다. 모든 기업 활동의 11%수십 년 동안 기업 생산성을 정의해 온 경쟁 분야들이 있습니다. 기업들은 가장 빠르게 성장하는 분야에서 맹목적으로 경쟁하고 있습니다.
CISO가 다음에 해야 할 일
이 데이터를 바탕으로 가장 시급한 우선순위 세 가지는 다음과 같습니다.
- AI를 일류 기업 범주로 취급하세요.
GenAI는 더 이상 실험 단계가 아닙니다. ChatGPT만으로도 기업 침투율 43%에 도달하여 Zoom 도입률과 매우 짧은 시간 안에 맞먹는 성과를 거두었습니다. 직원의 45%가 AI 도구를 적극적으로 사용하고 AI가 전체 기업 브라우징 활동의 11%를 차지하는 상황에서, GenAI는 이제 이메일 및 파일 공유 시스템과 동일한 수준의 엄격한 관리가 필요합니다. 실험 단계는 끝났습니다. 이메일이나 파일 저장소와 동일한 수준의 관리 및 제어가 필요하며, 업로드 및 복사/붙여넣기 같은 파일 없는 작업 모두에 대한 모니터링이 필요합니다. - 비연합 기업 로그인을 활성 섀도 IT로 처리
연구에 따르면 직원이 ERP(83% 비SSO) 및 CRM(71% 비SSO)과 같은 중요 앱에 회사 자격 증명을 사용하는 경우에도 SSO 페더레이션이 부족하여 이러한 로그인이 관리되지 않는 개인 계정과 기능적으로 동일하다는 사실이 밝혀졌습니다. 따라서 새로운 SaaS 앱에 SSO를 우선시하는 대신 중요 시스템의 모든 비연합 계정을 관리되지 않는 섀도 IT로 즉시 재분류합니다.즉각적인 조치는 ERP 및 CRM 시스템에 초점을 맞춘 감사를 실행하여 모든 페더레이션되지 않은 액세스 포인트를 파악하는 것입니다. 이러한 취약점을 해결하는 것은 공개적으로 노출된 서버와 마찬가지로 시급하게 처리해야 합니다. 이러한 취약점은 데이터 접근 및 유출을 위한 보이지 않고 통제되지 않는 경로이기 때문입니다. - 개인 계정 액세스를 차단하는 대신 데이터 인식 정책 구현
GenAI(개인 계정 67%) 및 IM(개인 계정 87%) 도구에 대한 업로드 및 붙여넣기의 상당 부분이 기업 계정이 아닌 계정을 통해 이루어집니다. 이러한 서비스에 대한 접근을 단순히 차단하는 것은 비현실적이며 섀도 IT(Shadow IT)로 이어질 수 있습니다. 따라서 "차단/허용"이라는 이분법적 접근 방식에서 벗어나 상황 인식, 데이터 중심 정책. 직원이 ChatGPT, Google Drive 또는 WhatsApp Web의 개인 인스턴스에 액세스할 수 있도록 허용하지만 특별히 브라우저 수준 컨트롤을 배포합니다. 분류자가 식별한 민감한 기업 데이터가 붙여넣기 또는 업로드되는 것을 방지합니다.이러한 접근 방식은 애플리케이션이 아닌 데이터 자체를 중심으로 중요한 보안 경계를 생성하는 동시에 현대 워크플로의 현실을 인정합니다. - DLP 예산을 네트워크/파일 분석에서 브라우저 수준 붙여넣기 제어로 전환:결과는 다음을 보여줍니다 복사/붙여넣기가 파일 업로드를 넘어 주요 데이터 유출 채널로 자리 잡았습니다.직원의 77%가 GenAI 도구에 데이터를 붙여넣고, 62%가 PII/PCI가 포함된 IM 앱에 데이터를 붙여넣는 것으로 나타났습니다. 기존의 네트워크 기반 DLP 솔루션은 이러한 파일리스 데이터 이동을 감지하지 못합니다. 따라서 기업은 파일 중심 모니터링에서 벗어나 데이터 보호 전략과 예산 배분을 전환해야 합니다. 브라우저 기반 보안 솔루션 배포를 우선시합니다. 또는 복사/붙여넣기 이벤트 내에서 민감한 데이터를 검사, 분류 및 차단할 수 있는 보안 엔터프라이즈 브라우저 전에 웹 양식, AI 프롬프트 또는 채팅 창에 제출됩니다. 핵심은 전송 중인 데이터뿐만 아니라 작업 시점, 즉 브라우저에서 데이터를 제어하는 것입니다.
LayerX 데이터가 다른 이유
AI 도입에 대한 다른 보고서는 설문조사나 자체 보고 데이터에 의존하는 반면, 저희 보고서는 기업 사용자로부터 직접 브라우저 원격 측정을 받습니다. 즉, 추측은 필요 없고, 승인된 앱, 승인되지 않은 앱, 섀도우 앱 전반의 실제 활동을 파악할 수 있습니다.
이 독특한 관점은 설문조사에서는 알 수 없는 사실을 보여줍니다. 즉, 업로드가 아닌 복사/붙여넣기가 주요 유출 채널이라는 사실, 개인 계정이 비즈니스에 중요한 워크플로우를 지배한다는 사실, 그리고 AI가 단지 눈앞에 보이는 위험이 아니라 지금 당장 일어나고 있는 위험이라는 사실입니다.
히프 라인
CISO는 수년간 이메일, 파일 저장, 그리고 승인된 SaaS를 중심으로 거버넌스를 구축해 왔습니다. 한편, AI는 기업 분야에서 가장 빠르게 성장하는 분야로 자리 잡았으며, 직원의 거의 절반이 매일 AI를 사용하고 있습니다. 하지만 이러한 AI 중 안전하다고 보장할 수 있는 것은 거의 없습니다.
이것이 바로 우리의 데이터가 드러내는 역설입니다. AI가 필수불가결해질수록 감독은 줄어듭니다.
클립보드는 이제 기업 데이터 유출의 새로운 지평을 열고 있습니다. ChatGPT는 사실상의 AI 기업 표준이 되었습니다. 그리고 관리되지 않는 계정은 조용히 신원 관리 규칙을 다시 쓰고 있습니다.
보안 리더들의 과제는 AI를 통제할 것인가의 여부가 아닙니다. 눈에 보이지 않는 데이터 유출이 홍수처럼 번지기 전에 얼마나 빨리 AI를 통제할 수 있느냐가 중요합니다.
전체 보고서 다운로드 AI와 SaaS 데이터 위험의 전체 규모를 밝혀냅니다.
