“프롬프트가 새 유출 통로”… 생성형 AI 확산에 기업 보안 ‘사각지대’

생성형 인공지능(AI) 도입이 기업 업무 전반으로 확산하면서 생산성은 높아졌지만, 프롬프트 입력과 파일·이미지 업로드가 새로운 정보 유출 통로로 떠올랐다. 현장에서는 AI 사용을 일괄 차단할 경우 개인 기기와 비인가 서비스로 수요가 이동하는 ‘섀도우 AI’가 늘 수 있는 만큼, 정책과 기술을 결합한 통제 체계가 필요하다는 지적이 나온다.

워터월시스템즈 박현진 프로는 20일 일산 킨텍스(KINTEX)에서 열린 ‘전자정부 정보보호 콘퍼런스(eGISEC 2026)’에서 AI 확산에 따른 내부정보 유출 리스크 구조를 분석하고 이에 대응하는 통제 전략을 제시했다.

매사추세츠공과대학(MIT) 연구에 따르면, 전문적인 업무 문서 생성 작업 시 AI를 활용하면 업무 시간은 37% 단축되고 품질은 18% 향상된다.

박 프로는 “업무 효율 때문에 공식 채널을 막으면 직원들은 개인 기기나 비인가 서비스로 이동하고, 보안 가시성이 떨어져 사고 위험이 커진다”고 말했다. IBM ‘데이터 유출 비용 연구’에 따르면 2024년 전 세계 데이터 유출 사고의 평균 피해 비용은 488만 달러로 역대 최고치였다.

생성형 AI는 프롬프트 텍스트와 파일, 이미지 업로드 등 세 경로를 통해 기밀 정보를 외부로 내보낼 수 있다. 박 프로는 반도체 엔지니어의 기밀 소스코드 입력, 기업 임원의 경영전략 문서 작성, 의료진의 소견서 작성을 위한 환자 개인정보 입력 사례를 들며, 악의가 없어도 업무 편의성만으로 유출 사고가 발생할 수 있다고 설명했다. 그러면서 실시간 탐지 체계 구축이 중요하다고 강조했다.

박 프로는 ‘금지’가 아닌 ‘통제’로의 패러다임 전환을 해결책으로 제언했다. 그는 “무조건적인 차단은 우회를 부른다”며 가시성 확보, 단일 접근 경로 통제, 실시간 AI DLP 모니터링 등 3단계 방어 체계 구축을 강조했다.

구체적으로는 ▲전수 기록 모니터링 ▲질의·응답 로그 수집 ▲개인정보 패턴 탐지 ▲직무별 정책 차등 적용 ▲파일 및 이미지 업로드 차단 ▲프롬프트 길이 제한 등 필수 통제 기능을 갖춰야 한다는 설명이다.

국내외 AI 거버넌스 규제도 강화되고 있다. 유럽연합(EU)의 AI 법(AI Act) 발효에 이어, 국내에서는 지난 1월 22일 ‘AI 기본법’이 시행돼 고영향 AI에 대한 기업의 위험관리 의무가 부여됐다.

박 프로는 “국내외 규제 준수는 이제 기업의 필수 생존 조건”이라며 “보안은 AI 도입의 걸림돌이 아니라 안전한 활용을 위한 가드레일 역할을 해야 한다”고 밝혔다.