AI기본법 시행·EU AI Act 8월 전면 적용 앞둔 지금, ‘쉐도우 AI’는 단순한 보안 이슈가 아니라 조직 존립을 흔드는 3중 리스크다.
한 장면에서 시작하자
금요일 밤, 기획팀 박 차장이 주말 출근을 앞두고 한숨을 쉰다. 월요일 이사회에 올릴 신사업 보고서가 아직 백지다. 그는 익숙한 손놀림으로 개인 노트북을 열고 AI에 접속한다. 방금 끝난 제휴 협상의 계약 초안을 그대로 붙여 넣고 타이핑한다. “이 조건을 우리 회사에 유리하게 다시 써줘.”
15분 만에 깔끔한 보고서가 나왔다. 박 차장은 만족한다. 조직도 모른다. 이사회도 모른다. IT팀도 모른다. 그리고 그 계약 초안은 — AI 서버 어딘가에 남았다.
이것이 2026년 한국 조직 대부분에서 매일 벌어지는 일이다. 업계는 이 현상을 ‘쉐도우 AI(Shadow AI)’라 부른다. 그리고 올해 8월을 기점으로, 이 그림자는 더 이상 숨길 수 없는 실체가 된다.
1. 쉐도우 AI, 무엇을 말하는가
쉐도우 AI는 조직의 공식 승인·보안 검토 없이 개인 또는 부서가 독자적으로 AI 도구를 업무에 쓰는 행위를 뜻한다. 2010년대 ‘쉐도우 IT'(회사 승인 없이 개인 드롭박스·메신저를 업무에 쓰던 관행)의 AI 버전이다. 차이가 있다면 — 훨씬 빠르고, 훨씬 조용하고, 훨씬 치명적이라는 점이다.
규모를 보자.
- 가트너(Gartner)는 전체 기업 AI 사용량의 30% 이상이 비공식 경로로 발생한다고 추정한다.
- IBM의 2025년 데이터 유출 비용 보고서에 따르면 조사 대상 600개 기업 중 20%가 쉐도우 AI로 인한 실제 정보 유출을 이미 경험했다.
- 한국 시장에서 ChatGPT의 월간 활성 사용자(MAU)는 2025년 하반기에 이미 2,100만 명을 돌파했다. 직장인의 과반이 이미 일상 사용자라는 뜻이다.
- Claude·Perplexity·Wrtn 등 2위권 경쟁자까지 합치면 ‘거의 모든 화이트칼라 노동자가 어떤 식으로든 생성형 AI를 업무에 쓰고 있다’는 것이 현실에 가깝다.
그런데 이들 중 몇 퍼센트가 회사의 승인과 계약 하에 쓰고 있을까? 대기업은 10~20%, 중견기업은 한 자릿수, 공공기관과 비영리단체는 사실상 0에 수렴한다는 것이 업계의 공공연한 관측이다.
2. 왜 ‘2026년’이 시한인가
쉐도우 AI는 어제오늘 얘기가 아니다. 그런데 왜 지금이 문제인가. 규제의 시계가 급격히 당겨졌기 때문이다.
① AI기본법, 이미 시행 중이다
「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 AI기본법)은 2026년 1월 22일 시행됐다. 한국은 EU에 이어 세계 두 번째로 본격적 AI 규제 법제를 가진 나라가 됐다. 주요 의무는 다음과 같다.
- 투명성 확보: 생성형 AI로 만든 결과물에 AI 생성물임을 알리는 워터마크·고지 의무
- 안전성 확보: 대규모 AI에 대한 위험관리 체계 구축
- 고영향 AI 책무: 채용·대출·의료·교육·교통 등 10개 영역에서 AI를 쓰면 영향평가와 설명 의무
- 위반 시 과태료 최대 3천만 원
과기정통부는 혼란 방지를 위해 규제 적용을 최소 1년 이상 유예하기로 했다. 즉 실제 과태료 부과는 2027년부터라는 뜻이다. 그런데 이것이 오히려 함정이다. 계도기간 동안 준비하지 못하면, 2027년에는 즉시 과태료 대상이 된다.
② EU AI Act, 8월 전면 시행
2024년 8월 발효된 EU AI Act는 고위험 AI 시스템에 대한 핵심 의무 조항이 2026년 8월 전면 적용된다. 국내에서 해외 AI 기업에 직접 관련 있는 것 같지만, 현실은 다르다. 한국의 제조업·수출 기업 상당수는 EU 고객사와의 계약에 따라 ‘AI 사용 내역 공개’ 요구를 받기 시작했다. EU에 제품을 파는 한국 기업이 쓰는 AI는, 간접적으로 EU 규제의 영향권에 든다.
③ 공공기관·보조금 수혜조직은 더 엄격하다
이 지점이 특히 한국적 맥락에서 중요하다. AI기본법은 “국가기관 등이 고영향 AI 제품·서비스를 이용할 때는 영향평가를 실시한 것을 우선 고려해야 한다”고 명시한다. 공공기관, 정부 출연기관, 보조금을 받는 비영리단체·협회·재단은 일반 기업보다 한 단계 더 높은 문턱에 서게 된다.
여기에 더해 2026년 이후 감사원·주무부처의 감사 기준에는 ‘AI 모델 카드(Model Card)’ 가 등장할 것으로 예상된다. 모델 카드는 “어떤 AI를 어떤 용도로, 어떤 데이터로, 누구 책임 하에 썼는가”를 문서로 증명하는 체계다. 직원이 개인 계정으로 AI를 썼다면 — 모델 카드는 존재하지 않는다. 그리고 감사에서 그것은 “AI 거버넌스 부재”로 기록된다.
3. 한국 조직이 마주할 3중 시한폭탄
쉐도우 AI가 터질 때 조직에 오는 타격은 세 가지 형태로 동시에 온다.
폭탄 ① 정보 유출
가장 직관적이고 가장 즉각적인 리스크다. 직원들이 외부 AI에 입력하는 것들의 예를 보자.
- 대외비 계약서·NDA 대상 자료
- 고객 개인정보·전화번호·주민번호 일부
- 내부 재무제표·KPI·임직원 명부
- 특허 출원 전 기술사양·생산 레시피
- 인사평가서·징계 자료
이것들은 모델 학습 데이터로 재사용될 수도, 해킹으로 유출될 수도 있다. IBM 보고서는 내부자 위협으로 인한 데이터 침해 평균 비용을 1,620만 달러(약 220억 원) 로 추정한다. 중소 조직은 이 한 방에 회복 불능이다.
폭탄 ② 감사·컴플라이언스 실패
한국의 공공기관·보조금 수혜조직에게 이 폭탄이 더 크다. 문제는 과태료가 아니라 ‘감사 지적’ 이다. 감사 지적은 다음으로 이어진다.
- 보조금 환수 결정
- 기관장 문책
- 차년도 사업비 삭감 또는 ‘부적합’ 판정
- 언론 보도에 따른 조직 브랜드 타격
최근 2년간 정부 각 부처가 산하기관 감사에 ‘AI·디지털 활용 적정성’ 항목을 추가한 흐름이 확인된다. 올해 하반기 감사부터는 “어느 직원이 어느 AI를 어떻게 썼는지 입증하라”는 요구가 나올 가능성이 높다.
폭탄 ③ 저작권·워터마크·편향 책임
AI기본법은 생성형 AI 결과물에 워터마크 표시 의무를 규정했다. 당신 조직의 홈페이지·카드뉴스·보고서에 “AI로 만든 이미지”가 표시 없이 올라갔다면, 그 자체가 법 위반이다. 게다가 외부 AI가 저작권이 있는 학습 데이터를 바탕으로 생성한 결과물을 조직이 상업적으로 썼다면 — 저작권 소송의 피고는 당신 조직이다.
채용 AI·대출 심사 AI에서 나오는 편향 결과물은 고영향 AI 책무 조항에 걸린다. “AI가 한 결정이라서 몰랐다”는 면책 사유가 되지 않는다.
4. 금지가 답이 아니다 — 4단계 양성화 전략
여기서 많은 조직이 빠지는 함정이 있다. “그럼 AI를 차단합시다” 라는 대응이다. 이것은 실패한다. 이유는 세 가지다.
첫째, 직원들은 개인 휴대폰으로 접속한다. 차단 불가능하다. 둘째, AI를 금지한 조직은 생산성 경쟁에서 즉시 뒤처진다. 셋째, 금지는 역설적으로 쉐도우 AI를 더 ‘그림자’로 밀어 넣는다. 관리 가능한 회색지대가 관리 불가능한 암흑지대가 된다.
정답은 ‘양성화(陽性化)’ 다. 다음 4단계를 권한다.
① 가시성 확보 — 현황 파악부터
“우리 직원들이 어떤 AI를 쓰고 있는가”를 먼저 조사한다. 처벌 목적이 아닌 익명 설문으로. 어떤 도구를, 어떤 업무에, 어느 빈도로 쓰는지 알면 다음 단계의 80%가 결정된다.
② 정책(AUP) 수립과 승인 도구 리스트
‘AI 활용 수칙(Acceptable Use Policy)’을 만든다. 핵심은 세 가지다.
- 입력 금지 데이터 목록: 개인정보, 계약 원문, 재무 비공개 자료 등
- 승인된 도구 리스트: 법인 계약 기반의 ChatGPT Team·Claude for Work·네이버 하이퍼클로바X 등
- 용도별 권장 도구 매핑: “문서 초안은 A, 번역은 B, 코드 리뷰는 C”
③ 법인 라이선스 제공 — ‘2.7만 원 장벽’ 해소
직원이 개인 카드로 월 2만 7천 원을 내며 쓰는 AI는 기술적으로도 법적으로도 ‘조직이 통제 못 하는 도구’다. 반대로 조직이 법인 계약으로 팀 플랜(Business/Team 에디션) 을 제공하면, 데이터 학습 제외·로그 보관·관리자 콘솔을 얻는다. 연간 1인당 수십만 원의 라이선스 비용은 ‘감사 지적 한 번’보다 훨씬 싸다.
④ 로그·감사 체계와 교육
사용 내역을 자동 수집·보관하고, 분기별 짧은 교육을 시행한다. 교육의 핵심 메시지는 “쓰지 말라”가 아니라 “이렇게 쓰면 당신도 조직도 안전하다” 다. 책임은 처벌이 아니라 공유된 기준에서 나온다.
결론 — 8월은 곧 온다
지난 시대의 IT 보안 공식은 단순했다. “위험하면 차단한다.” 이 공식은 더 이상 작동하지 않는다. 생성형 AI는 이메일보다 빠르게, 스마트폰보다 은밀하게 조직에 침투했다. 2026년 4월 현재, 당신 조직의 직원 중 AI를 업무에 쓰지 않는 사람을 찾는 것이 AI를 쓰는 사람을 찾는 것보다 어렵다.
문제는 — 그 사용을 조직이 알고 있는가, 모르는가.
EU AI Act의 8월은 4개월 앞으로 다가왔다. 한국 AI기본법의 계도기간은 1년 남짓이다. 그 사이 조직이 해야 할 일은 단 하나다. 그림자 속의 AI를 빛 아래로 끌어내는 것. 금지하는 조직은 뒤처지고, 방치하는 조직은 터진다. 살아남는 조직은 양성화의 속도가 결정한다.
당신 조직의 AI 모델 카드는, 오늘 몇 장인가?
Keywords: 쉐도우 AI, Shadow AI, AI기본법, EU AI Act, AI 거버넌스, AI 컴플라이언스, 공공기관 AI, 보조금 감사, AI 모델 카드
About the Author
