기업 평균 140개 AI 탑재 SaaS 운영...그립시큐리티, 쉐도우AI 리스크 경고

[디지털투데이 황치규 기자]보안 기업 그립시큐리티가 2만3000개 소프트웨어형서비스(SaaS) 애플리케이션 환경을 분석한 보고서를 최근 공개하고 기업 통제 밖에 있는 쉐도우AI 따른 리스크를 경고 하고 나섰다.

보고서에 따르면 분석 대상 기업 100%가 AI를 내장한 SaaS 환경을 운영했다.

SaaS에 대한 공격은 전년 대비 490% 급증했고, 문서화된 사고 80%는 개인식별정보(PII)나 고객 데이터와 관련됐다.

그립시큐리티 제품 마케팅 컨설턴트 채드 홈스는 "기업이 평균 140개 AI 탑재 SaaS 환경을 운영한다는 점이 가장 놀라웠다"고 말했다.

회사측에 따르면 AI 탑재 앱 하나가 침해되면 조직 내 다른 AI 탑재 환경 전체로 피해가 번질 수 있다. 다른 조직으로 확산될 가능성도 있다.

문제를 키우는 건 속도 경쟁이다. SaaS 개발사들은 앞다퉈 에이전트 AI를 제품에 빠르게 탑재하고 있다. 고객들 입장에선 모르는 사이에 쉐도우 AI를 설치할 가능성도 커진 셈이다.

인증을 위한 OAuth 토큰도 SaaS 앱이 요구하는 대로 별다른 검토 없이 발급되는 경우가 많다.

그립시큐리티는 보고서에서 "AI는 미래 위험도, 단순한 IT 문제도 아니다. 이를 통제하는 것은 선택이 아니다"며 2026년이 역대 최악의 SaaS 침해의 해가 될 수 있다는 경고도 내놨다. 해법으로는 쉐도우 AI 가시성 확보와 동적 거버넌스를 제시했다. 보고서는 "성공하는 리더는 정적 승인을 지속적 감시와 위험 기반 통제로 대체한다"며 "AI를 핵심 공급업체와 동일한 수준으로 관리해야 한다"고 밝혔다.