최신 클라우드 위협 보고서에 따르면 직원들이 개인 계정을 사용하여 ChatGPT, Google Gemini, Copilot 등과 같은 LLM 도구에 액세스하는 것이 기업 데이터 유출의 주요 채널 중 하나가 되었으며, genAI 관련 데이터 정책 유출이 월 평균 223건으로 작년보다 두 배나 증가했습니다. 보고서에 따르면 일부 조직에서 생성 AI 애플리케이션으로 전송되는 팁의 수는 1년 만에 6배 증가했으며, 1% 기업에서는 매월 140만 건 이상의 팁을 제출하고 있으며, 여기에는 소스 코드, 계약 텍스트, 고객 정보, 심지어 자격 증명과 같은 매우 민감한 데이터가 포함되어 있어 모델 학습에 사용되거나 2차적으로 도용되면 규정 준수 및 지적 재산에 장기적으로 돌이킬 수 없는 위험을 초래할 수 있다고 지적합니다. 보안팀은 브라우저, 개인 계정, 모바일의 회색 채널을 무시한 채 빅 모델에 대한 공식적인 접근에만 집중하는 경향이 있으며, 향후에는 세션의 컨텍스트와 타사 플러그인 에코시스템을 기반으로 개인화된 광고가 오버레이되어 데이터의 경계가 더욱 모호해질 것으로 예상되기 때문에 이러한 유형의 섀도우 AI의 공통점은 "보이지 않고 관리할 수 없다"는 것입니다. 기업은 가능한 한 빨리 genAI 사용 정책과 분류 및 등급 기준을 수립하고, CASB/SASE의 도움을 받아 AI 트래픽을 식별 및 차단하고, 매우 민감한 부서의 경우 개인 LLM 액세스를 기본적으로 금지하고, 감사 및 데이터 최소화 전략을 지원하는 엔터프라이즈 버전의 통제된 LLM을 대안으로 도입해야 합니다.
