AI 관련 위험은 고르게 분포되어 있지 않습니다. 보안 전략 또한 그래야 합니다.

대부분의 조직은 AI 관련 위험을 잘 파악하고 있다고 생각합니다. 직원들이 ChatGPT 같은 도구에 민감한 데이터를 입력하고 있다는 사실도 알고 있고, 승인된 AI 도구에 대한 정책도 마련되어 있습니다. 심지어 기업 차원의 코파일럿 프로그램이나 AI 거버넌스 프로그램을 도입한 곳도 있습니다.

하지만 LayerX의 새로운 연구에 따르면, 가장 큰 AI 사각지대는 바로 그 부분이 아닙니다. 보고서는 훨씬 더 복잡한 현실을 보여줍니다. 대부분의 조직은 몇몇 AI 애플리케이션에만 신경 쓰느라 정작 AI가 실제로 어떻게 활용되고 있는지를 제대로 파악하지 못하고 있습니다. 

기업 AI 리스크는 사용자나 플랫폼 전반에 걸쳐 균등하게 분산되어 있지 않습니다. 오히려 소수의 AI 파워 유저, 몇몇 지배적인 AI 플랫폼, 그리고 기존의 가시성 및 거버넌스 통제 범위를 벗어난 채 운영되는 급속도로 성장하는 AI 도구 생태계에 집중되어 있습니다.

문제는 더 이상 몇몇 개별 AI 애플리케이션에 있는 것이 아닙니다. 문제는 그 주변의 모든 것에 있습니다.

인공지능은 어디에나 있지만, 대부분의 사람들은 거의 활용하지 않습니다.

이번 연구에서 가장 놀라운 결과 중 하나는 AI 도입과 AI 의존도가 매우 다른 개념이라는 점입니다. 지난 1년 동안 기업 사용자 중 거의 절반이 AI 도구를 사용했지만, 매주 사용하는 사용자는 18%에 불과했습니다.

이는 대부분의 사람들이 문서를 요약하거나, 이메일을 작성하거나, 질문에 답하는 등 간헐적으로 AI를 사용한다는 것을 의미합니다. 일상 업무의 일환으로 AI를 꾸준히 사용하는 사람은 상대적으로 소수에 불과합니다.

언뜻 보면 안심이 되는 말처럼 들립니다. 사용량이 줄어들면 위험도 줄어들겠죠. 하지만 데이터는 그렇지 않다는 것을 보여줍니다.

AI 관련 위험은 소수의 AI 파워 유저들에게 집중되어 있다.

기업 내 AI 활동은 소수의 직원에게 집중되어 있습니다. 사용자 절반은 AI와 12회 이하의 대화를 나눈 반면, 상위 5%는 최소 144회 이상의 대화를 나눴습니다. 또한 이들은 AI와 훨씬 더 심도 있게 상호작용하여, 일반 사용자의 평균 2회에 비해 대화당 평균 18회의 질문을 했습니다.

이로 인해 일상적인 업무 흐름 전반에 걸쳐 AI를 광범위하게 활용하고 여러 AI 플랫폼을 사용하는 "AI 파워 유저"라는 새로운 계층이 생겨났습니다. 이들이 반드시 정책을 위반하거나 무모하게 행동하는 것은 아닙니다. 단지 다른 사람들보다 훨씬 더 많은 업무 영역에 AI를 통합하고 있을 뿐입니다.

그 결과, AI 관련 위험은 매우 불균등하게 분포되어 있습니다. 현재 상대적으로 소수의 직원들이 AI 활동, 민감한 데이터 노출, 그리고 다양한 플랫폼에서의 AI 사용에 있어 불균형적으로 많은 부분을 차지하고 있습니다.

ChatGPT가 여전히 기업용 AI 시장을 장악하고 있지만, Copilot이 격차를 좁히고 있습니다.

새로운 모델과 경쟁업체의 등장에 대한 끊임없는 헤드라인에도 불구하고, ChatGPT는 대부분의 기업에서 여전히 지배적인 AI 플랫폼으로 자리매김하고 있습니다. 기업 AI 사용자 중 36%를 차지하며, 전체 AI 대화의 55% 이상을 차지합니다.

Copilot M365는 빠르게 성장하여 도입률 29%를 달성했고, 기업 AI 대화의 거의 4분의 1을 차지하고 있습니다. Copilot의 성장은 중요한 점을 시사합니다. 기업 AI 사용은 관리형 기업 네이티브 AI와 소비자 주도형 AI 도입으로 나뉘기 시작했다는 것입니다. 하지만 이 두 선두 주자를 제외하면, 대부분의 AI 플랫폼은 주목을 받고 있음에도 불구하고 여전히 뒤처져 있습니다.

동시에 모든 AI 플랫폼이 동일한 거버넌스 문제를 야기하는 것은 아닙니다. Copilot M365는 빠르게 성장하고 있지만, 대부분의 사용은 기업이 더 강력한 가시성과 제어권을 유지하는 기업 관리형 Microsoft 환경에서 이루어집니다. Gemini는 다른 위험 프로필을 가지고 있습니다. 많은 직원이 여전히 개인 계정을 통해 소비자 버전을 사용하고 있어 데이터 처리, 보존 및 모델 학습 방식과 관련하여 잠재적인 사각지대가 발생할 수 있습니다.

핵심은 간단합니다. 플랫폼 도입은 전체 이야기의 일부일 뿐입니다. 모든 기업의 AI 도입이 동일한 수준의 위험을 수반하는 것은 아닙니다. 개인 계정을 통해 접근하는 소비자용 AI 도구는 기업에서 관리하는 AI 플랫폼보다 훨씬 더 큰 거버넌스 사각지대를 만들어냅니다.

섀도우 AI는 승인되지 않은 챗봇을 넘어 진화했습니다.

대부분의 사람들은 "섀도우 AI"라는 말을 들으면 누군가가 승인되지 않은 챗봇을 몰래 사용하는 것을 떠올립니다. 하지만 그런 정의는 이미 시대에 뒤떨어졌습니다.

현대의 '그림자 AI'는 훨씬 더 복잡합니다. 직원들은 일상적인 업무 흐름 속에서 여러 AI 도구를 결합하여 사용합니다. 챗봇, AI 검색 엔진, 코딩 도우미, 내장형 코파일럿, AI 기반 SaaS 기능 등 작업 내용에 따라 다양한 도구를 전환하며 활용합니다. 그 결과, AI 생태계는 SaaS보다 더 파악하기 어려워지고 있습니다.

이는 하나의 악성 애플리케이션이 아니라, 보안 팀이 파악하고 추적하고 관리하는 데 어려움을 겪는 수많은 AI 도구들의 장기적인 확산 현상입니다. 

기업의 AI 활용은 생각보다 훨씬 더 개인적인 특성을 띱니다.

기업 AI 활동의 거의 절반이 기업 계정이 아닌 개인 계정을 통해 이루어지고 있다는 사실이 우리를 가장 놀라게 했습니다.

직원들이 개인 ChatGPT 계정이나 개인 Gemini 계정을 사용하고 있습니다. 심지어 회사 계정으로 로그인한 상태에서 개인 AI 라이선스를 사용하는 경우도 있습니다. 거버넌스 관점에서 보면 이는 악몽과 같습니다. 조직은 데이터 보존 정책, 감사 가능성, 규정 준수 통제, 그리고 이러한 AI 도구들이 기업 데이터를 어떻게 처리하는지에 대한 가시성을 잃게 됩니다. 

이는 기업 AI의 과제가 더 이상 AI 애플리케이션 관리에만 국한되지 않고, 그 안에서 이루어지는 개인의 AI 사용을 관리하는 것으로 점점 더 확대되고 있음을 의미합니다.

민감한 데이터가 이미 AI 도구로 유입되고 있습니다. 

저희 연구 결과에 따르면 기업 AI 대화의 6% 이상에 이미 민감한 데이터가 포함되어 있는 것으로 나타났습니다. 직원들은 매일 AI 시스템과 개인 정보, 금융 정보, 기술 데이터 등을 공유하고 있습니다. 

DeepSeek은 대화의 12.63%에서 민감한 데이터가 노출되어 가장 높은 노출률을 보였습니다. ChatGPT는 8.38%로 그 뒤를 이었고, Copilot M365는 3.65%로 훨씬 낮은 노출률을 나타냈습니다.

이제 문제는 직원들이 인공지능 시스템과 민감한 데이터를 공유할지 여부가 아닙니다. 이미 공유하고 있기 때문입니다. 진정한 과제는 이러한 공유가 어디서, 얼마나 자주, 어떤 계정과 플랫폼을 통해 발생하는지를 파악하는 것입니다.

AI 확장 기능과 커넥터의 등장으로 AI 위험 영역은 채팅 창을 넘어 더욱 확대되고 있습니다.

이 보고서는 또한 많은 조직들이 현재 거의 주목하지 않고 있는 빠르게 성장하는 두 가지 AI 채널, 즉 AI 브라우저 확장 프로그램과 AI 커넥터를 강조합니다.

기업 사용자 중 약 15%가 이미 하나 이상의 AI 브라우저 확장 프로그램을 사용하고 있습니다. 이러한 확장 프로그램의 거의 75%는 높은 수준 또는 중요 수준의 브라우저 권한을 요구하며, 16% 이상에서 이미 알려진 취약점이 발견되었습니다. 이와 동시에 AI 커넥터는 AI 시스템을 SharePoint, GitHub, Slack, Atlassian, Google Workspace와 같은 기업 애플리케이션에 직접 연결하는 사례가 점점 늘어나고 있습니다.

이는 AI 시스템이 더 이상 직원이 챗봇 창에 정보를 수동으로 입력하는 방식에만 국한되지 않는다는 것을 의미합니다. AI 시스템은 기업 데이터, 문서, 협업 플랫폼 및 내부 지식 저장소에 직접 접근할 수 있는 권한을 점점 더 많이 부여받고 있습니다. 이러한 변화는 기업 AI 위험의 본질을 근본적으로 바꾸어 놓습니다.

그것에 대해해야 할 일

첫 번째 단계는 가시성 확보입니다. 파악할 수 없는 AI 사용 현황을 관리할 수는 없습니다. 다음으로, 조직은 AI 위험이 실제로 집중되어 있는 곳, 즉 AI 파워 유저, 관리되지 않는 개인 AI 사용, 그리고 기업 데이터에 직접 접근하는 AI 시스템에 집중해야 합니다. 목표는 AI를 차단하는 것이 아니라, AI가 어떻게 사용되고 있는지 이해하고 가장 중요한 부분에 통제를 적용하는 것입니다.

우리는 데이터, 플랫폼 분석, 민감 데이터 노출 분석 및 실질적인 권장 사항을 포함한 모든 것을 종합하여 보고서에 담았습니다. 2026년 인공지능 활용 현황 보고서.

전체 보고서 다운로드 여기에서 확인하세요.

• 공유하기 :