요즘 사무실에서는 공식 허가 없이 AI 도구를 쓰는 사람이 많다. ChatGPT에 보고서를 붙여 넣거나, 외부 AI 서비스에 고객 데이터를 입력하거나, 개인 계정의 생성형 AI로 사내 문서를 요약하는 일이 일상이 됐다.
IBM이 2026년 사이버 보안 전망에서 이걸 '섀도 AI(Shadow AI)'라고 불렀다. 10여 년 전의 섀도 IT와 비슷하지만, 파급력이 훨씬 크다는 평가다. AI 도구는 독점 알고리즘, 기밀 데이터, 전략적 의사결정을 직접 다루기 때문이다.
개인정보 담당자 입장에서 보면
섀도 AI 문제는 단순한 보안 이슈가 아니다. 개인정보 관점에서도 직접적인 위협이다.
직원이 외부 AI 서비스에 고객 정보를 입력하면, 그 데이터는 어디로 가는가. 해당 서비스의 개인정보 처리방침은 어떻게 되어 있는가. 제3자 제공이나 위탁 처리 요건을 충족했는가.
이 질문에 답하기 어렵다면, 그게 이미 문제다.
'금지'만으로는 안 된다
조직에서 AI 도구 사용을 전면 금지하는 방식은 실효성이 떨어진다. 직원들은 더 편리한 쪽으로 움직이고, 금지가 잘 지켜지지 않으면 오히려 관리 사각지대만 커진다.
더 실용적인 접근은 승인된 AI 도구의 목록을 만들고, 어떤 데이터를 어떤 도구에 입력할 수 있는지 기준을 잡아주는 것이다. AI 도구 사용 가이드라인을 내부 규정화하고, 개인정보 처리 관점에서 검토된 도구만 업무에 활용하도록 유도하는 구조가 필요하다.
pia-privacy.com을 만들면서 느낀 것
직접 챗봇 서비스를 만들고 보니, 사용자가 어떤 데이터를 입력하는지에 대한 설계가 얼마나 중요한지 다시 깨달았다.
개인정보 특화 서비스라도 "사용자가 실제 개인정보를 입력하지 않도록 UI 단에서 유도하는 것"이 기술 조치 못지않게 중요하다. 도구를 만드는 쪽도, 쓰는 쪽도, 이 감각이 있어야 한다.