[디지털투데이 추현우 기자] 금융기관 내부에서 추적되지 않는 비공식 AI 활용, 이른바 그림자 AI(Shadow AI)가 일상 업무 전반으로 확산하고 있다. 22일(현지시간) 핀테크 매체 파이넥스트라(Finextra)는 문제의 핵심이 AI 사용 자체보다 직원들이 어떤 데이터를 어디에 얼마나 자주 입력하는지 조직이 파악하지 못하는 데 있다고 전했다.

현장에서는 이미 AI가 파일럿 프로그램이나 제한된 실험 환경을 넘어 실제 업무 도구로 쓰이고 있다. 고객 응대 직원은 AI로 이메일 문안을 다듬고, 분석가는 긴 보고서를 요약하며, 팀은 내부 문서를 더 빠르게 작성한다. 이런 활용은 개별적으로 보면 정책 위반이나 사고처럼 보이지 않아 확산 속도를 더 키운다.

직원들은 별도 조달 절차나 도입 과정, 시스템 연동 없이 브라우저와 프롬프트만으로 AI를 사용한다. 한 번 생산성 향상을 경험하면 기존 방식으로 돌아가지 않는다는 점도 사용 확대를 부추긴다.

금융기관 다수는 이미 AI 사용 지침을 마련했고, 일부는 공개형 도구 접근도 제한하고 있다. 그러나 직원들은 개인 기기를 쓰고, 민감한 내용을 그대로 붙여넣는 대신 다시 입력하는 식으로 우회한다. 통제를 피하려는 목적이라기보다 기존 방식이 더 느린 데 비해 업무 성과 요구는 그대로이기 때문이다.

더 큰 문제는 이런 사용이 잘 보이지 않는다는 점이다. 고객 정보를 넣어 문장 톤을 조정하거나 내부 보고서를 붙여넣어 요약하고, 더 나은 결과를 얻기 위해 민감한 맥락 정보를 추가하는 행위는 개별적으로는 경보를 울리지 않는다. 하지만 이런 작은 행동이 쌓이면 기존 통제 체계로 다루기 어려운 노출 패턴이 만들어진다.

그림자 AI는 기존 그림자 IT와도 다르다. 데이터가 어디로 가는지만이 아니라 정보가 실시간으로 어떻게 변형되는지가 문제이기 때문이다. 하나의 프롬프트에 여러 민감 정보를 결합해 재구성한 뒤 몇 초 만에 조직 밖으로 보낼 수 있고, 기존 시스템과 달리 준법감시 부서가 확인할 감사 기록이 남지 않는 경우도 많다.

이 때문에 정책과 차단만으로 위험을 막을 수 있다는 전제도 흔들리고 있다. 금융기관은 제한 중심 대응에서 가시성 확보로, 정적인 정책에서 실시간 통제로, 추정된 준수에서 관찰 가능한 행태 점검으로 접근을 바꿔야 하는 상황이다. 조직 내부의 AI 활용이 중앙 조정 없이 조용히 누적되는 만큼, 공식 사고로 드러날 때쯤이면 이미 수개월간 같은 행위가 이어졌을 수 있다.

사안의 핵심은 AI 활용 여부가 아니라 조직의 통제 방식이 실제 업무 현장을 따라가지 못하고 있다는 점이다. 그림자 AI는 생산성 도구로 빠르게 자리 잡았지만, 금융기관은 그 사용 흔적을 포착하고 관리하는 체계를 먼저 갖춰야 하는 과제를 안게 됐다.
 

• 구글 신규 코드 75%는 AI가 짠다…엔지니어는 '검토만'
• 오라클·구글 클라우드, 자연어로 오라클 DB 조회하는 AI 에이전트 출시
• 모아데이타 주주 아트마투자조합, 모아데이타 주식등의 수 변동 없어…총 지분율 13.2%
• 에이더블유피, 154kV 전력설비 공급·설치공사 92억원에 직접취득 결정
• 덕양에너젠, 디케이엠이 주식회사 지분 13.65% 취득 결정