【이선경의 ESG 딥다이브】구글의 44조 투자와 AI 시대의 기업 정보 보안

2025년 3월, 구글은 자사 역사상 최대 규모인 320억달러(약 44조2800억원)의 M&A를 단행했다. 인수 대상은 클라우드 보안 스타트업인 위즈(Wiz)로, 위즈는 복잡한 클라우드 환경에서 잠재적 보안 위협과 취약점을 실시간 분석하고 그래프로 시각화해 제공하는 등 AI 활용 공격과 데이터 유출 위협에 효과적인 보안 기술을 확보하고 있는 업체로 알려져 있다. 위즈는 지난 1월 중국의 스타트업 딥시크의 대규모 민감데이터가 인터넷상에 노출되어 있음을 발견한 업체이기도 하다.

구글의 이번 인수는 단순한 보안기술 확보 이상의 의미가 있다. 인공지능(AI)이 업무 전반에 깊숙이 침투함에 따라, 기업의 개인정보보호, 영업비밀, 저작권, 사이버보안 등 정보보호 전반의 리스크가 커지는 가운데, AI 시장 내 입지 강화에 있어 성능 못지않게 보안이 중요해질 수 있다는 판단에 따른 전략적 행보로 해석된다.

AI는 기업의 업무 생산성을 비약적으로 향상시키고 있다. 그러나 이런 업무 효율성의 이면으로 ESG 경영 측면에서 개인정보보호 및 정보보안 위험이 급격하게 확대되고 있다.

기업 내 많은 직원이 문서 요약 및 기획서 작성, 데이터 분석, 코드 리뷰, 법률 검토, 고객 응대 등 다양한 분야에서 생성형 AI의 도움을 받는 것이 일상이 됐다. 이 과정에서 민감한 내부 정보나 영업기밀, 고객정보 등이 무심코 입력되며 기업의 핵심 정보와 고객정보가 외부로 유출될 위험이 상존한다.

외부 AI 서비스에 입력된 정보는 어떤 제3자 시스템에 저장되고, 누구에 의해, 어떤 목적으로 활용되는지 기업이 명확히 알기 어렵다. 더욱이 IT 부서의 승인 및 통제 없이 개별적으로 사용되는 '쉐도우 AI(Shadow AI)'의 경우, 기업은 어떤 정보가 언제, 어떤 경로로 외부에 노출됐는지조차 파악하기 어려워 위험이 더욱 증폭된다.

글로벌 보안기업 시스코가 한국을 포함한 30개국, 약 8000명의 보안·비즈니스 리더를 대상으로 실시한 ‘2025 사이버보안 준비 지수’ 조사에 따르면, 전 세계 조직의 60%가 쉐도우 AI 탐지에 자신이 없다고 답했으며, 한국은 이 수치가 83%에 달했다. 또한 한국 응답자의 83%는 최근 1년 내 AI 관련 보안 사고를 실제로 경험했다고 응답해 AI 확산에 따른 보안 위협이 현실화되고 있음을 시사한다.

이러한 위험에 대응하기 위해 일부 대기업과 공공기관에서는 사내에서의 생성형 AI 사용을 금지하고, 자체 폐쇄망 기반의 전용 AI 시스템을 구축하는 등의 조치를 취하고 있으나 근원적인 대책이 되기에는 부족하다. 또한 중견기업 이하에서는 이러한 위험에 무방비로 노출된 경우가 많아 주의가 요구된다.

기존의 개인정보보호 및 정보보안 이슈는 해킹, 내부자의 의도적 유출, 시스템 취약점 등 명확한 경로와 책임 구조 속에서 다뤄져 왔다. 그러나 생성형 AI의 확산은 이러한 틀을 근본적으로 바꾸고 있다. 이제는 보안사고가 명백한 위반이나 의도에 의한 것이 아닌, 일상적인 업무 과정에서 무심코 입력한 정보로 인해 발생할 수 있는 것이다.

AI 사용으로 인한 정보 누출은 누출되는 자료의 범위와 폭이 이전보다 훨씬 광범위해질 수 있으며, 이러한 보안 위협은 시각화되거나 탐지되지 않는 방식으로 확산되며, 기업 내부에서도 인지하지 못한 채 심각한 리스크로 누적될 수 있다. 클라우드 기반 생성형 AI의 경우 정보의 저장 위치, 보관 주기, 삭제 여부 등에 대한 사용자 통제권이 제한되므로, 민감한 내부 데이터가 장기간 외부에 노출되거나 제3자에게 활용될 가능성이 존재한다.

이에 따라, 정보보호는 더 이상 IT 부서만의 과제가 아닌, 전사적 의사결정과 ESG 경영의 핵심 이슈로 부상하고 있다. IT 기업이나 B2C 기업에 국한되지 않고, 모든 산업 분야에서 개인정보와 정보보안의 중요성이 재조명되어야 한다.

AI 기술의 발전은 기업에게 혁신적인 기회를 제공하지만, AI 모델 자체의 잠재적 보안 취약성과 쉐도우 AI의 확산은 기업의 핵심 자산인 정보와 데이터를 전례 없는 위험에 노출시킬 수 있다.

회계학 개념인 '좌초자산(stranded assets)'은 외부요인의 변화에 따라 경제적 가치가 급감하거나 활용이 불가능해져 사실상 무가치해진 자산을 의미하는데, AI로 인한 기업의 핵심정보 누출은 해당 정보의 축적에 투자된 자본과 시간을 무력화해 누출된 정보와 관련된 자산을 좌초자산화 할 수 있다. 

생성형 AI 활용 확대는 산업을 불문하고 기업의 영업기밀, 연구데이터, 기술자산 등 핵심 경쟁력까지도 무의식 중에 유출시킬 수 있다는 점에서, ESG 경영 측면에서 일부 산업군을 중심으로 강조되던 정보보안 이슈는 이제 모든 산업군을 아우르는 지속가능경영의 핵심요소로 부각되고 있다. 이를 위해 다음과 같은 강력한 정보보안 체계 수립이 요구된다.

먼저, 정보보안 거버넌스 체계를 수립해야 한다. 데이터 민감도에 따라 AI 활용 범위를 설정하고, 승인된 시스템에 대한 보안 기준과 ‘쉐도우 AI’에 대한 대응 방안을 구체화해야 한다.

다음은 전사적 인식 제고 및 교육 강화다. 모든 임직원이 AI 사용에 따른 정보보안 리스크를 인지하고, 기업의 AI 정책과 가이드라인을 철저히 준수할 수 있도록 지속적인 교육을 실시해야 한다.

기술적인 방어 시스템도 강화해야 한다. AI 기반 위협 탐지 솔루션을 도입하고, 클라우드 환경 전반에 대한 가시성을 확보해 보안 취약점을 조기에 식별·대응할 수 있는 체계를 구축해야 한다, 또한, 외부 서비스나 솔루션 활용시 공급사의 보안관리 및 데이터 처리 체계에 대한 철저한 검증 및 점검이 필요하다. 

정기적인 보안 감사와 리스크 평가도 이뤄져야 한다. AI 도입 이후에도 지속적인 보안 점검과 위험 요소 분석을 통해 변화하는 환경에 적응하며 정책과 시스템을 지속적으로 개선해야 한다.

AI는 기업의 지속가능성을 위한 중요한 기술적 기반이지만, 적절한 통제 없이 확산될 경우 치명적인 리스크로 작용할 수 있다. 기술의 혁신성과 편의성에만 집중하는 접근에서 벗어나, 보안 거버넌스와 내부 통제를 중심으로 한 균형 있는 전략 수립이 필요하다.

아울러 정부 차원에서도 생성형 AI 서비스 제공 기업을 대상으로, 데이터 수집·활용·보관·저작권 보호·사용자 고지·보안 기준 설정·위반 시 제재 등의 내용을 포함한 입법 및 가이드라인 정비가 시급하다. AI 기술 발전이 기업의 경쟁력을 높이는 기반이 되기 위해서는, 그 활용 과정 전반에 대한 사회적 통제력과 책임구조가 함께 구축돼야 할 것이다.

☞ 이선경 대표는

이선경 그린에토스랩 대표이사는 신한증권과 대신증권에서 채권 크레딧 애널리스트와 주식 애널리스트를 거쳐 CJ경영연구원과 CJENM, CJ제일제당 등에서 전략기획, 재무전략/IR 팀장, 대신경제연구소에서 ESG센터장을 역임했다. 2024년 3월 그린에토스랩을 설립해 ESG공시 및 공급망 컨설팅과 녹색기술/녹색금융 고도화 자문 등을 제공하고 있다. 국민연금과 미래에셋자산운용 등 대형금융기관의 ESG모델 및 ESG적용 프로세스 구축, ESG 평가 등을 장기간 수행했고, 정부 기관의 공급망 ESG플랫폼 구축, 환경DB분석 및 산업별 환경성 평가체계 수립 등 금융과 기업에 적용되는 ESG체계 구축 및 전략수립과 경험을 보유한 ESG 전문가이다. 다수의 정부 기관 및 에너지 유관기관에서 ESG 위원으로 활동 중이다.