지난해 한 메신저 앱 기업의 엔지니어는 인증된 기술 업계 종사자들이 이용하는 익명 커뮤니티 블라인드에 글을 올렸다. 챗GPT, 클로드, 제미나이 사용을 제한하는 기업이 모두 그런 것인지, 아니면 자신이 다니는 회사만 그런 것인지 묻는 내용이었다.

그가 근무하던 회사는 해당 도구 사용을 금지하는 대신 챗GPT 기반의 내부 대체 서비스를 제공했다. 그러나 이 엔지니어는 업무 속도가 느려진다는 이유로 이를 선호하지 않았다. 그는 “사실상 별 도움이 되지 않았다”고 회상했다.

해당 게시글에는 곧 다른 기업의 기술 인력이 대거 의견을 남겼다. 이들은 회사가 승인한 AI 도구가 지나치게 제한적이거나 유용한 기능 상당수가 제거돼 있다는 점에 불만을 나타냈다.

일주일 뒤 같은 엔지니어는 해결책을 들고 다시 게시판을 찾았다. 웹어셈블리(WebAssembly) 기반 대규모언어모델(LLM) 엔진을 활용해 브라우저 안에서 코딩 모델을 완전히 실행하는 방법을 찾아낸 것이다. 대화 내용은 로컬에 저장되고 외부 네트워크 트래픽도 발생하지 않아 회사가 이를 탐지할 수 없었다. 그는 게시글에 “즐거운 코딩 되길 바란다”며 “기능이 궁금하면 개인 메시지를 보내 달라”고 적었다.

생성형 AI의 기능을 가장 잘 이해하는 직원일수록 오히려 관련 규정을 우회하거나 위반할 가능성이 높다. 엔지니어는 물론, 어쩌면 의외로 의무 AI 교육을 이수한 직원 역시 공식적인 통제 장치를 엄격한 규칙이라기보다 업무 속도를 높이기 위해 넘어야 할 장애물로 인식하는 경우가 많다. 데이터 및 분석 기업 렉시스넥시스(LexisNexis) 보고서에 따르면 AI 교육을 받은 직원의 74%가 승인되지 않은 AI 도구를 사용한 경험이 있다고 답했다. 교육을 받지 않은 직원의 비율은 17%에 그쳤다.

넥시스 솔루션즈(Nexis Solutions) 제품 담당 부사장 다니 맥코믹은 “문제의 핵심은 직원의 역량과 기업 환경에 적합한 도구 사이의 격차”라며 “AI 도구에 대한 이해도가 높은 직원일수록 이를 실험하고 업무 흐름에 통합하려는 경향이 강하다”고 설명했다.

AI 교육은 생성형 AI에 대한 초기 거부감이나 주저함을 줄이는 역할을 하는 것으로 보인다. 이러한 심리적 장벽은 AI 도입을 가로막는 요인이 될 수 있다. 맥코믹은 “교육이 위험을 초래한다는 의미는 아니다”라며 “많은 기업이 대응할 준비를 갖추기 전에 수요가 더 빠르게 드러난다는 점이 핵심”이라고 말했다.

이 같은 상황에서 CIO는 AI 활용을 장려하는 동시에 사용 방식을 통제해야 하는 어려운 과제에 직면해 있다. 직원들이 생성형 AI에 익숙해질수록 전면 금지와 같은 기존 접근 방식은 더 이상 효과를 발휘하지 못할 수 있으며, 오히려 역효과를 낼 가능성도 있다.

보다 생산적인 접근법은 섀도우 AI의 긍정적인 측면에 주목하는 것이다. P&G CIO 세스 코언(Seth Cohen)은 승인되지 않은 AI 도구 사용이 직원들이 해당 기술의 가치를 인식하고 더 빠르게 일하려는 의지를 보여주는 신호일 수 있다고 분석했다. 그는 “중요한 것은 그런 학습 경험을 기업에 적합하고 확장 가능한 시스템 안으로 흡수하는 것”이라고 설명했다.

하지만 실험을 장려하는 동시에 민감한 데이터를 보호하고, 점점 더 분산되는 AI 환경에 대한 통제력을 유지해야 하는 CIO들에게 그러한 시스템을 구축하는 일은 쉽지 않은 과제로 남아 있다.

AI 교육 프로그램을 새롭게 설계하라

기업이 AI 활용 과정에서 직면하는 가장 큰 과제 중 하나는 조직 내 활용 수준의 편차가 크다는 점이다. 일부 팀은 이미 AI를 일상 업무 프로세스에 깊숙이 통합했지만, 다른 팀은 여전히 활용을 주저하거나 적극적으로 참여하지 않고 있다.

넥시스 솔루션즈(Nexis Solutions) 제품 담당 부사장 다니 맥코믹(Dani McCormick)은 “이러한 불균형이 승인되지 않은 AI 사용이 가장 두드러지게 나타나는 영역이며, 동시에 조직 차원의 정렬을 개선할 수 있는 가장 큰 기회가 존재하는 곳”이라고 설명했다.

이 격차를 해소하는 방법 중 하나는 AI 활용의 기술적·윤리적 측면을 모두 다루는 실습 중심의 AI 교육 프로그램이다. 이러한 프로그램은 직원들에게 승인된 AI 도구를 일상 업무에 통합하는 방법을 가르치는 동시에, 민감한 데이터 보호와 규제 준수, 조직 전반의 투명성과 책임성 확보를 위해 왜 승인된 플랫폼을 사용해야 하는지 설명해야 한다.

P&G CIO 세스 코언(Seth Cohen)은 “교육은 직원이 의사결정을 개선하고 혁신을 가속화하며 실행력을 높이는 등 실제 업무에 적용할 수 있을 때 가장 효과적”이라고 말했다.

이러한 교육은 기술 인력에만 국한돼서는 안 된다. 생성형 AI 도구가 빠르게 대중화되면서 정식 기술 교육을 받지 않은 직원도 스스로 다양한 AI 서비스를 시험해 보는 사례가 늘고 있기 때문이다. 이는 많은 CIO가 공통적으로 관찰한 변화이기도 하다.

디트로이트시 CIO 아트 톰프슨(Art Thompson)은 “교육을 받지 않은 직원의 약 30%가 AI 기능에 관심을 보이며 직접 탐색하고 있는 것으로 보인다”고 말했다. 이어 “진정한 목표는 직원들이 기술을 책임감 있게 활용할 수 있도록 지원하는 것”이라며 “그렇지 않으면 섀도우 AI 생태계가 더욱 커지고 현재보다 가시성은 오히려 낮아질 것”이라고 경고했다.

효과적인 AI 교육 프로그램은 판단력, 거버넌스, 신뢰라는 세 가지 요소를 동시에 다뤄야 한다. 또한 직원들이 조직과 파트너, 그리고 AI 도구가 작동하는 더 넓은 생태계를 이해할 수 있도록 해야 한다. 직원들은 자신의 선택이 데이터 보안, 고객 신뢰, 규제 준수, 비즈니스 관계에 어떤 영향을 미칠 수 있는지 이해해야 한다.

톰프슨은 여전히 많은 직원이 AI 공급업체가 정보를 수집하는 방식이나 AI 결과물을 검증하는 방법을 제대로 이해하지 못하고 있다고 지적했다.

그는 “규칙을 마련하는 것은 좋은 출발점이지만, 직원들이 책임감 있게 도구를 사용하려면 그 지침의 의미를 이해해야 한다”며 “사업 부서가 거버넌스에 적극 참여하고 IT 문화의 일부가 되는 것이 이를 정착시키는 좋은 방법”이라고 설명했다.

여러 CIO는 규정 집행 역시 신중하게 이뤄져야 한다고 강조한다.

AI 거버넌스·리스크·컴플라이언스(GRC) 플랫폼 기업 로직게이트(LogicGate)의 최고경영자(CEO) 겸 공동 설립자 맷 쿤켈(Matt Kunkel)은 “직원들이 AI 실험으로 인해 징계를 받을 수 있다고 우려한다면 사용을 중단하는 것이 아니라 단지 이를 숨길 뿐”이라며 “기업은 직원들이 불이익에 대한 두려움 없이 AI 활용 사실을 공개할 수 있는 환경을 조성하고, 잠재적인 AI 위험을 발견해 알리는 직원에게는 적절한 보상을 제공해야 한다”고 말했다.

직원이 원하는 AI 환경을 제공하라

더 나은 교육 프로그램과 강력한 거버넌스 체계를 구축하는 것만으로는 충분하지 않다. 기업은 직원들이 왜 섀도우 AI를 찾게 되는지 그 근본적인 원인도 해결해야 한다. 대부분의 경우 직원들은 업무를 더 빠르게 처리하고 일상 업무의 불편함을 줄여주는 도구를 원하기 때문에 승인되지 않은 AI 서비스를 사용한다.

많은 경우 직원이 개인 비용을 들여 AI 도구를 구독한다면, 이는 회사가 제공하는 공식 시스템만으로는 필요한 기능을 충족하지 못하고 있다는 의미일 수 있다.

UKG CIO 프라카시 코타(Prakash Kota)는 “이는 위험 요소이면서 동시에 놓친 기회이기도 하다”며 “섀도우 AI는 직원이 하고자 하는 일과 조직이 실제로 가능하게 해주는 일 사이의 간극에서 성장한다”고 설명했다.

코타는 이러한 현상을 직원들이 무엇을 달성하려고 하는지, 그리고 공식 도구가 어떤 부분에서 부족한지를 더 잘 이해할 수 있는 기회로 받아들여야 한다고 강조했다.

IT 서비스 기업 블루 맨티스(Blue Mantis) CIO 리처드 에이모스(Richard Amos)도 같은 견해를 보였다.

에이모스는 “우선 승인된 도구가 사용하기 어렵거나 기능이 제한적이거나, 제공 절차가 느린지 확인해 볼 것”이라며 “만약 그렇다면 직원들은 다른 대안을 찾게 된다. 사람은 본능적으로 업무를 더 효율적으로 처리할 방법을 찾기 마련”이라고 말했다.

또한 에이모스는 승인되지 않은 AI 도구를 사용하는 직원 대부분이 악의적인 의도를 가진 것은 아니라고 지적했다. 섀도우 AI는 규정에 대한 반발심보다는 호기심, 업무상의 불만, 또는 더 빠르게 일하고자 하는 욕구에서 비롯되는 경우가 많다는 설명이다.

그는 “사용 사례를 정확히 파악한 이후에는 AI 거버넌스 위원회에서 이를 검토하고 향후 도입 과제(backlog)로 고려할 수 있다”고 말했다.

직원들이 비공식적으로 사용하는 AI 도구에 주목하는 것은 CIO에게 또 다른 이점을 제공한다. 해당 도구가 더 큰 거버넌스 또는 보안 문제로 발전하기 전에 새로운 기술 트렌드를 조기에 포착할 수 있기 때문이다. 직원들의 실험 활동을 파악하고 있는 기업은 실제로 어떤 도구가 현업에서 유용하게 활용되는지 더 정확하게 이해할 수 있다.

보안 기업 에버론 솔루션즈(Everon Solutions) CIO 라이언 프리츠(Ryan Fritts)는 “새로운 AI 도구가 등장하는 즉시 이를 발견할 수도 있다”고 말했다.

더 빠르게 움직여야 한다

여러 기업은 직원들이 기존 시스템의 부족한 부분을 보완하기 위해 승인되지 않은 AI 도구를 사용하고 있다는 사실을 확인한 뒤 AI 플랫폼을 업그레이드했다. 그러나 단순히 승인된 도구를 제공하는 것만으로는 충분하지 않다. 이러한 플랫폼은 직원들의 요구 변화와 AI 기술 혁신의 빠른 속도에 맞춰 지속적으로 발전할 수 있을 만큼 유연하고 적응력이 있어야 한다.

P&G CIO 세스 코언(Seth Cohen)은 “구식 모델을 사용하는 플랫폼 위에서 디지털 솔루션을 구축하는 데 열정을 느끼는 사람은 없을 것”이라고 말했다.

일부 기업은 직원들에게 더 큰 선택권을 부여하기 위해 최신 상용 기반 모델(foundation model) 가운데 원하는 모델을 선택할 수 있도록 지원하고 있다. 또 다른 기업들은 직원들이 안전하게 실험할 수 있는 보안 AI 환경을 제공한다.

코언은 “명확한 프레임워크 안에서 자유를 허용하고, 실험 과정에서 얻은 학습 내용을 수집해 플랫폼 전반을 개선하는 데 활용해야 한다”고 설명했다.

궁극적인 과제는 통제와 자율성 사이에서 적절한 균형을 찾는 것이다. 직원들이 AI를 업무에 효과적으로 통합할 수 있도록 충분한 자유를 제공하면서도 필요한 감독 체계를 유지해야 한다. CIO는 조직이 불필요한 위험에 노출되지 않도록 하면서도 팀이 지속적으로 학습할 수 있는 시스템과 문화를 구축해야 한다.

또한 기업은 새롭게 등장하는 AI 애플리케이션을 일일이 추적하는 끝없는 게임에 매달리기보다 데이터 관리에 집중하는 편이 더 큰 효과를 얻을 수 있다는 조언도 나온다.

에버론 솔루션즈(Everon Solutions) CIO 라이언 프리츠(Ryan Fritts)는 “실질적인 변화를 만들어내는 작업은 데이터 영역에 있다”며 “어떤 데이터가 어디에 저장돼 있는지 명확히 파악하고, 해당 데이터에 대한 정책을 실시간으로 적용할 수 있어야 한다”고 말했다.

이어 “데이터 관리 체계를 제대로 갖추면 섀도우 AI에 대한 과도한 우려와 불안은 대부분 자연스럽게 줄어들게 된다”고 설명했다.
dl-ciokorea@foundryco.com