[아이티데일리] 국경을 넘나드는 부적절한 생성형 인공지능(AI) 사용 문제가 2027년까지 AI 관련 데이터 유출 사고의 40% 이상을 차지할 것이라는 전망이 나왔다. 이에 전 세계를 아우르는 AI 거버넌스와 법률 수립은 물론, 기업들의 선제적 대응 필요성이 부각되고 있다.

18일 가트너는 ‘2025년 전망: AI 시대와 양자 여명기에서의 개인정보 보호’ 보고서를 통해 이같이 밝혔다.

최근 사용자들이 생성형 AI 기술을 도입하는 속도가 데이터 거버넌스 및 보안 조치의 발전 속도를 앞지를 정도로 빨라지고 있다. 또 AI 기술을 지원하기 위한 중앙 집중식 컴퓨팅 성능으로 인해 데이터 현지화에 대한 우려가 커지고 있다.

가트너의 요그 프리츠(Joerg Fritsch) VP 애널리스트는 “의도치 않은 국경 간 데이터 전송은 주로 감독 미흡으로 인해 발생한다. 명확한 설명이나 발표 없이 생성형 AI가 기존 제품에 통합될 때 더욱 빈번하게 일어난다”며 “조직에서는 직원들이 생성형 AI 도구를 사용해 만들어내는 콘텐츠에 변화가 일어나고 있다. 이러한 도구는 승인된 업무용 애플리케이션에서는 유용하게 활용될 수 있지만, 민감한 프롬프트가 알 수 없는 위치의 AI 도구나 API로 전송될 경우 보안에 위험을 미칠 수 있다”고 설명했다.

가트너는 글로벌 AI 표준화 격차가 운영 비효율성을 초래한다고 강조했다. AI 및 데이터 거버넌스에 대한 일관된 글로벌 모범 사례와 표준이 없다면, 시장이 세분되고 기업이 전략을 지역별로 따로 수립할 수밖에 없게 돼 기업의 글로벌 AI 운영 확장과 AI 제품 및 서비스 활용 능력이 저해될 수 있다는 지적이다.

프리츠 VP 애널리스트는 “AI 정책이 지역에 따라 다르게 전개돼 데이터 흐름 관리 및 품질 유지가 복잡해지면 운영 비효율성이 발생할 수 있다”며 “기업들은 민감한 데이터를 보호하고 규정 준수를 보장하기 위해 고급 AI 거버넌스와 보안에 투자해야 하며 이는 AI 보안, 거버넌스, 규정 준수 서비스 시장의 성장과 AI의 투명성과 제어를 강화하는 기술 솔루션의 발전을 촉진할 것”이라고 말했다.

가트너는 2027년까지 AI 거버넌스가 전 세계 모든 주권 AI 법률과 규정에서 필수 요건이 될 것으로 예측하며, 기업들은 이에 선제적으로 대응해야 한다고 조언했다.

프리츠 VP 애널리스트는 “필수 거버넌스 모델과 제어를 통합하지 못하고, 데이터 거버넌스 프레임워크를 신속하게 확장할 리소스가 부족한 기업은 경쟁에서 불리해질 수 있다”고 강조했다.

이와 관련해 가트너는 AI 데이터 유출, 그중에서도 국경을 넘는 생성형 AI 오용으로 인한 위험을 완화하고 규정 준수를 보장하기 위한 전략적 조치를 제시했다.

먼저 데이터 거버넌스 강화다. 기업은 AI 처리 데이터에 대한 지침을 포함하도록 데이터 거버넌스 프레임워크를 확장해 국제 규정을 준수하고, 의도치 않은 국경 간 데이터 전송을 감시해야 한다는 설명이다. 정기적 개인정보 영향 평가와 데이터 계보, 데이터 전송 영향 평가 통합 등이 이에 포함된다.

아울러 AI 감독을 강화하고 AI 배포 및 데이터 처리에 대한 투명한 소통을 보장하는 거버넌스 위원회를 설립해야 한다고 제언했다. 해당 위원회는 기술 감독, 위험 및 규정 준수 관리, 소통 및 의사 결정 보고의 역할을 담당해야 한다고 가트너는 설명했다.

또한 민감 데이터를 보호하기 위한 고급 기술, 암호화, 익명화를 활용해야 한다고 강조했다. 가령 특정 지역의 신뢰 실행 환경을 확인하고, 데이터가 해당 지역을 벗어날 경우 차등 개인정보와 같은 고급 익명화 기술을 적용할 수 있다는 것이다.

마지막으로 AI 기술에 맞춘 신뢰, 위험 및 보안 관리(TRiSM) 제품 및 기능에 대한 예산을 계획하고 할당해야 한다고 꼬집었다. TRiSM 투자에는 AI 거버넌스, 데이터 보안 거버넌스, 프롬프트 필터링 및 수정, 비정형 데이터의 합성 생성 등이 포함된다. 가트너는 2026년까지 AI TRiSM 제어를 적용한 기업은 부정확, 불법 정보를 최소 50% 감소시켜 잘못된 의사결정을 줄일 것으로 예측했다.