기업 보안의 거대한 사각지대: '섀도우 AI' 위기 확산¶
원제목: Cycode Report States: Shadow AI Is Now One of the Biggest Blind Spot in Enterprise Security
핵심 요약
- 기업 대부분이 AI 코딩 보조 도구를 사용하고 있으며, AI 생성 코드가 이미 실제 코드베이스에 포함되어 있음.
- 81%의 기업이 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 AI 사용 현황을 완벽하게 파악하지 못해 '섀도우 AI'로 인한 보안 사각지대가 심각함.
- AI 보안 투자를 대폭 늘릴 계획이며, 복잡성 해소를 위해 애플리케이션 보안 도구 통합을 가속화할 예정임.
상세 내용¶
Cycode의 새로운 보고서에 따르면, 기업들이 AI 시대를 맞아 소프트웨어 보안에 있어 심각한 '섀도우 AI' 위기에 직면해 있다고 경고합니다. AI 기술의 도입 속도가 너무 빨라 보안팀이 이를 관리할 능력을 따라가지 못하고 있다는 분석입니다.
보고서는 400명 이상의 CISO 및 보안 전문가를 대상으로 한 설문 조사를 기반으로 하며, 거의 모든 조직이 AI 코딩 보조 도구를 이미 사용하거나 파일럿 테스트 중임을 확인했습니다. 또한, AI가 생성한 코드가 현재 코드베이스 내에 존재하며, 상당수의 경우(30%) AI가 대부분의 코드를 생성하고 있는 것으로 나타났습니다.
이러한 급격한 AI 도입에도 불구하고, 81%의 조직은 소프트웨어 개발 생명주기(SDLC) 전반에 걸쳐 AI가 어떻게, 어디서 사용되는지에 대한 전체적인 가시성을 확보하지 못하고 있습니다. 이는 관리되지 않는 AI 사용, 즉 '섀도우 AI'라는 새로운 유형의 위험을 초래하며, 많은 기업에서 가장 큰 보안 우려 사항으로 떠올랐습니다.
이에 대응하여, 모든 조직(100%)은 향후 12개월 내에 AI 관련 보안 이니셔티브에 대한 투자를 확대할 계획이라고 밝혔습니다. 이는 AI 개발이 더 이상 미래의 추세가 아닌 현재의 현실임을 시사하며, 보안이 뒤처질 경우 AI를 공격 벡터로 하는 심각한 공급망 침해로 이어질 수 있다는 Lior Levy Cycode CEO의 지적에 힘을 싣습니다.
AI는 생산성(78%), 코드 품질(79%), 시장 출시 속도(72%)를 크게 향상시키는 것으로 나타났지만, 동시에 52%의 조직은 공식적인 AI 거버넌스 프레임워크가 부족한 상황입니다. 이로 인해 AI 개발 도구, 모델, 코딩 보조 도구의 비관리식 확산인 섀도우 AI가 만연하게 되었고, 보안 리더들은 AI 생성 코드 취약점을 가장 큰 사각지대이자 최우선 보안 과제로 삼고 있습니다. 한편, 복잡성을 줄이고 AI 기반 위험을 효과적으로 관리하기 위해, 97%의 조직이 향후 12개월 내에 애플리케이션 보안 도구 스택을 통합할 계획을 밝히며 '도구 난립'을 지양하고 통합 플랫폼으로 전환하려는 움직임을 보이고 있습니다.
편집자 노트¶
이번 Cycode의 보고서는 AI가 소프트웨어 개발 과정에 깊숙이 침투했지만, 이를 뒷받침해야 할 보안 및 관리 체계는 아직 초기 단계에 머물러 있음을 명확히 보여줍니다. 특히 '섀도우 AI'라는 개념은 많은 직장인들에게 익숙할 수 있는, '관리되지 않는 IT(Shadow IT)'의 AI 버전이라고 이해하면 쉽습니다. 개인이나 부서가 IT 부서의 공식 승인 없이 특정 소프트웨어나 서비스를 사용하는 것처럼, 이제는 AI 도구나 모델이 기업의 보안 정책이나 관리망 밖에 존재하는 상태를 의미합니다.
이는 곧 예측 불가능한 보안 위험의 증가로 이어질 수 있습니다. 예를 들어, AI가 생성한 코드가 예상치 못한 취약점을 포함하고 있거나, 민감한 정보가 AI 모델 학습 과정에 유출될 가능성 등이 있습니다. 기업 입장에서는 이러한 '보이지 않는 위험' 때문에 막대한 투자를 하고도 정작 중요한 부분에서 허점을 드러낼 수 있다는 점에서, 보고서의 경고는 결코 가볍게 넘길 일이 아닙니다. 결국 AI 시대의 진정한 보안은 기술 자체뿐만 아니라, 이를 어떻게 투명하게 관리하고 통제하느냐에 달려 있다고 할 수 있습니다.