AI 잘 쓰는 직원이 많을수록 회사 정보는 새어 나간다고?
회사가 무언가를 금지하면, 보통은 그걸로 끝났다고 생각합니다. 접속을 막고, 규정에 한 줄 넣고, 적발하면 경고하면 되니까요.
그런데 AI 앞에서는 이 공식이 잘 통하지 않습니다.
막을수록 사용이 줄기는커녕, 회사가 더 들여다볼 수 없는 곳으로 옮겨가거든요.
더 묘한 건, 경영진은 우리 회사는 잘 통제되고 있다고 믿는 사이에 이 일이 벌어진다는 점입니다. 보이는 건 빙산의 일각뿐이고, 정작 큰 덩어리는 수면 아래에 있는 거죠.
이번 호에서는 직원들이 회사 몰래 AI를 쓰는 진짜 이유와, 막을수록 위험해지는 이 역설을 어떻게 풀어야 할지 따라가 봤습니다.
거의 모든 회사 안에서 벌어지지만
경영진만 모르는 일
회사 네트워크에서는 챗GPT가 열리지 않습니다. 보안 때문에 외부 AI 접속을 막아둔 거죠. 그런데 사무실을 둘러보면 개인 노트북을 따로 챙겨 다니는 직원이 보입니다. 점심시간이 되면 휴대폰 핫스팟을 켜고 오전에 받은 견적서를 붙여 넣어 품목 정리를 맡기는가 하면, 거래처에 보낼 회신 초안을 다듬죠. 회사가 정해둔 길은 잠겨 있는데, 정작 업무는 회사가 보지 못하는 길로 돌아가고 있는 겁니다.
이 풍경이 익숙하다면, 한 회사만의 유난스러운 사정이 아니어서 그렇습니다.
경영진이 보는 규모와 실제 규모
조사를 보면 격차가 분명하게 드러납니다. 98퍼센트의 조직이 승인 없이 쓰이는 AI를 이미 확인했고, 생성형 AI를 쓰는 사람 중 47퍼센트가 회사 시스템이 아닌 개인 계정으로 접속하고 있었습니다. 절반 가까운 사람이 회사가 들여다볼 수 없는 곳에서 AI를 다루는 셈이죠. 이런 정보의 장벽 때문에 앞으로 1년 안에 관련 사고가 터질 거라 내다본 조직도 49퍼센트에 달하기도 했고요.
여기서 진짜 문제는 리더가 체감하는 규모가 실제보다 한참 작다는 데 있습니다. 경영진의 눈에 잡히는 건 공식 도구로 들어온 사용량뿐이고, 개인 계정과 개인 기기로 빠져나간 사용은 처음부터 집계 자체가 되지 않았거든요. 그래서 우리 회사는 잘 통제되고 있다고 믿기 쉽지만, 막아둔 정문 뒤로 사람들이 얼마나 드나드는지는 보이지 않는 상태입니다.
직원을 탓할 수 없는 이유
이 대목에서 직원들을 보안 의식 없는 사람으로 몰면 핵심을 놓치게 됩니다. 규칙을 어기려는 의도로 그러는 경우는 드물거든요. 대부분은 그저 눈앞의 일을 더 빨리 끝내려는 것뿐입니다. 직원들이 회사 밖 도구로 향하는 데는 대체로 비슷한 이유가 깔려 있습니다.
쓸 만한 대안이 없음 : 회사가 공식 AI 도구를 마련해주지 않으니, 각자 익숙한 챗GPT로 갈 수밖에 없습니다.
도입이 너무 느림 : AX 도입 검토에 몇 달이 걸리는 사이, 당장 처리할 업무는 오늘도 쌓이고 있죠.
안 된다는 답의 반복 : 보안팀이 계속 차단으로만 응답해오면, 사람들은 묻기를 멈추고 조용히 우회로를 찾습니다.
결국 접속을 막는 방식으로는 직원들의 AI 사용을 막을 수 없습니다. 이런 방식은 일을 없애는 게 아니라 더 깊은 음지로 밀어 넣는 효과만 내거든요.
거스를 수 없는 AX 흐름 속에서 정문을 잠글수록 직원들은 보이지 않는 창문을 하나씩 더 열게 됩니다.
한번 빠져나간 데이터의 행방
이 우회가 위험한 진짜 이유는, 흔적도 남기지 않고 데이터가 새어 나가기 때문입니다.
실제로 직원이 공개된 AI에 한번 입력한 정보는 되돌릴 방법이 없습니다. 서버에 올린 파일이라면 삭제를 요청하면 그만이지만, AI 모델 안으로 흡수된 데이터는 다시 빼낼 수가 없거든요. 특히 개인 계정으로 작업한 경우라면 그 직원이 회사를 떠난 뒤에도 입력했던 거래처 단가와 고객 명단이 외부에 그대로 남아있겠지만, 회사는 그 정보가 어디에 있는지조차 알지 못하고요.
먼 나라 이야기로 들리지 않는 사례도 이미 나왔습니다.
삼성에서는 직원들이 사내 소스코드를 챗GPT에 입력한 사실이 알려지며 생성형 AI 사용을 제한하는 일이 있었고요.
2026년 5월에는 한 미국 지역은행에서 직원이 비공인 AI로 고객 정보를 처리한 일이 외부 해킹 없이 AI 오용만으로 규제 당국에 정식 보고된 첫 사례로 기록되기도 했습니다.
이 두 사례가 진짜 무서운 건 누군가 악의를 품어서 벌어진 사고가 아니었습니다. 업무를 빠르게 끝내려던 평범한 선택 하나가 회사 전체를 흔든 거죠.
정책 없는 회사일수록 커지는 위험
이 위험이 모든 회사에 똑같이 닥치지는 않습니다. 회사가 기준선을 세워뒀는지에 따라 크게 달라질 수 있죠.
하지만 기업 현실을 보면 조금 참담합니다. 실제로 데이터 유출이 발생한 기업들을 조사했더니, 63퍼센트가 AI 거버넌스 정책 없이 돌아가고 있었거든요. 열에 여섯은 직원이 무엇을 입력하든 막아줄 장치가 없다는 뜻이죠.
이 빈자리가 가장 넓은 곳이 IT 인프라가 약한 중견기업입니다. 보안 인력이 두텁고 정책이 촘촘한 대기업은 위험한 입력을 아예 차단하거나 최소한 경고라도 띄우고 있지만, 그런 장치가 아예 없는 중견기업에서는 같은 행동이 아무 제동 없이 그대로 일어나고 있죠.
규모가 작아서 안전한 게 아니라, 막아줄 장치가 없어서 데이터가 더 쉽게 새어 나가는 셈입니다.
설계가 차단보다 먼저인 이유
직원들의 비공인 AI 사용은 접속을 막는다고 풀리는 문제가 아닙니다.
차단을 강화하면 직원은 개인 노트북을 한 대 더 챙길 뿐이고, 회사는 통제하는 듯 보여도 실제로는 사용 현황을 보는 눈을 잃습니다.
여기서 우리가 나아갈 방향을 알려주는 숫자가 하나 있습니다.
회사가 관리하는 안전한 AI 계정을 직원들에게 열어주자, 개인 AI 계정 사용은 1년 새 78퍼센트에서 47퍼센트로 떨어졌거든요. 직원들도 개인 AI를 쓰고 싶어서 쓴 게 아니었습니다. 공식적으로 쓸 수 있는 AI가 없으니 우회했을 뿐인거죠.
그래서 기업 입장에서는 순서가 중요합니다.
차단을 앞세우기 전에, 직원들이 지금 AI로 무슨 일을 하고 있는지부터 파악하는 게 먼저인 거죠.
그다음 그 일을 안전하게 처리할 공식 경로를 깔고, 마지막에 위험한 경로를 닫는 순서로 진행하는 게 효과적인 기업 AX 순서가 될 수 있습니다.
지금 사무실 한쪽에서 개인 노트북을 켜는 직원은, 회사에 어떤 도구가 비어 있는지 가장 빠르게 알려주는 신호입니다. 이 신호를 적발의 대상으로 읽을지 설계의 단서로 읽을지에 따라, 앞으로 회사가 떠안을 리스크의 크기가 달라집니다.