CISO의 67%가 모르는 사이에 벌어지고 있는 일
회사에 도둑이 들었다고 생각해보자. 그런데 이 도둑은 밖에서 들어온 게 아니다. 이미 안에 있었다. 사무실 구석구석에서 조용히 움직이고, 서류를 뒤적이고, 파일을 복사한다. 아무도 눈치채지 못한다.
2026년 3월, AI가 바로 그 도둑이 됐다. 정확히 말하면, 도둑이라기보다 통제되지 않는 유령이다. 눈에 보이지 않지만 분명히 존재하고, 매일 수천 건의 행동을 하고, 누구의 허락도 받지 않는다.
Pentera가 미국 CISO 300명을 대상으로 조사했다. 67%가 자기 조직에서 AI가 어디에, 어떻게 쓰이는지 모른다고 답했다. Fortune 500 기업의 80%가 이미 AI 에이전트를 쓰고 있는데, 보안 책임자 셋 중 둘은 그걸 파악조차 못 하고 있다. 44%는 AI 보안이 기존 보안보다 뒤처져 있다고 스스로 인정했다.
더 소름 끼치는 숫자가 있다. 기업 내 머신 아이덴티티가 인간 직원의 82배다. 에이전트가 만든 계정, 토큰, 세션이 인간보다 82배 많은데, 그중 92%를 추적하지 못 하고 있다. 회사 직원이 1,000명이라면, 추적 불가능한 디지털 유령이 75,000개 이상 돌아다니고 있다는 뜻이다.
보이지 않는 것은 지킬 수 없다. 보안의 기본 원칙이, AI 시대에 처참하게 무너지고 있다.
"섀도우 IT"라는 말은 익숙할 것이다. 직원이 IT 부서 몰래 쓰는 소프트웨어. 2026년, 이 그림자가 AI로 진화했다.
이름도 생겼다. Shadow AI.
98%의 조직에서 승인되지 않은 AI 사용이 보고됐다. 직원 열 명 중 셋은 비공식 AI 에이전트를 업무에 쓰고 있다. 열 명 중 여섯은 승인되지 않은 AI 도구를 쓰고 있다. 매달 223건의 데이터 정책 위반이 터진다.
여기서 중요한 건, 이게 단순히 직원이 ChatGPT를 몰래 쓰는 수준이 아니라는 점이다. Shadow AI는 자율적으로 작동하는 에이전트 단계로 진화했다. 머신 속도로, 인간 감독 없이, 시스템에 접근하고 의사결정을 내린다. 이메일을 보내고, 결제를 처리하고, 코드를 배포한다.
더 무서운 건 이런 경우다. SaaS 도구에 내장된 AI 에이전트가 직원이 인지하지도 못 한 채 활성화된다. 내가 쓰는 업무 도구 안에 이미 에이전트가 들어와 있는데, 나조차 그걸 모른다. Gartner는 2026년 말까지 엔터프라이즈 애플리케이션의 40%가 태스크 특화 AI 에이전트를 탑재할 것으로 예측했다. 2025년에는 5% 미만이었다. 일 년 만에 8배 폭증이다.
이전 세대의 Shadow IT와는 차원이 다른 위험이다. Shadow IT는 사람이 도구를 몰래 쓰는 거였다. Shadow AI는 도구가 스스로 행동한다.
가장 충격적인 숫자는 이 대비다.
83%의 조직이 에이전틱 AI를 도입하겠다고 한다. 그런데 보안 준비가 된 곳은 29%뿐이다. 갭이 54%포인트. 하지만 실제는 더 심각하다.
AI 도구를 도입한 조직은 73%인데, 실시간으로 보안과 정책을 강제할 수 있는 거버넌스를 갖춘 곳은 고작 7%다. 66%포인트의 구조적 적자다.
비유하자면 이렇다. 자동차를 사서 고속도로에 올렸는데, 브레이크는 나중에 달겠다는 것이다. 그것도 시속 200킬로로 달리면서. 에이전트는 도입하는 순간부터 행동한다. 레코드를 수정하고, 계정을 만들고, 코드를 푸시한다. 인간이 검토하기 전에 이미 끝난다.
대부분의 조직이 AI를 도입하면서 "나중에 보안을 붙이겠다"고 생각하고 있다. 하지만 에이전트에게 "나중"이라는 개념은 없다. API 콜 하나면 끝이다.
어시스턴트에서 자율적 행위자로 바뀐 AI를, 보안은 따라잡지 못 했다.
추상적인 위험이 아니다. 실제 사고가 터지고 있다.
어떤 의료기관은 AI 에이전트에 환자 기록 분석을 맡겼다가, 잘못된 권한 설정으로 데이터가 유출됐다. 벌금이 약 210억 원이었다. "편하니까 admin 권한 줄게"가 210억 원짜리 실수가 된 것이다.
47개 기업에서 에이전트 자격 증명이 탈취돼, 공격자들이 6개월간 고객 데이터와 재무 기록, 독점 코드에 접근한 사건도 있었다. 멀티 에이전트 시스템에서는 하나의 에이전트가 감염되면 4시간 내에 다운스트림 의사결정의 87%가 오염된다는 분석도 나왔다. 바이러스가 몸 안에서 퍼지듯이, 감염된 에이전트의 판단이 다른 에이전트로 전파된다. 기존 인시던트 대응 속도로는 감당할 수 없는 전파 속도다.
기존 보안 도구로는 왜 안 되는가. 공격자들은 AI 모델 자체를 깨려 하지 않는다. 모델에 정보를 제공하는 주변 컴포넌트, 즉 학습 데이터셋, 모델 리포지토리, 에이전트 프레임워크를 노린다. 문을 부수는 게 아니라, 열쇠를 복제하는 것이다. 이 연결고리를 조작하면 AI 시스템이 민감 데이터를 유출하거나, 의도하지 않은 행동을 수행하게 만들 수 있다.
에이전트가 만드는 임시 토큰과 세션 키는 기존 보안 시스템의 레이더에 잡히지 않는다. 기존의 IAM은 인간 사용자를 전제로 설계됐기 때문이다. 에이전트는 API 콜 하나로 돌이킬 수 없는 행동을 하는데, 기존의 "행위 후 감사" 모델로는 실시간 통제가 불가능하다.
Saviynt의 보고서가 이걸 한마디로 요약했다. "어제의 기술과 스킬로 AI를 지키고 있다."
2026년, AI 거버넌스는 더 이상 선택이 아니다. 법적 의무다.
EU AI Act가 전면 시행됐다. 고위험 AI 시스템에 대해 엄격한 로깅과 인간 감독이 의무화됐다. Gartner는 2030년까지 AI 규제가 4배로 늘어나 전 세계 경제의 75%를 커버할 것으로 전망했다. AI 거버넌스 시장은 2026년 $492M에서 2030년 $1B를 돌파할 전망이다.
에이전트를 만드는 건 결국 엔지니어다. 거버넌스가 CISO의 일이라 해도, 에이전트를 설계하고 배포하는 건 우리다. 지금 당장 할 수 있는 일이 있다. 에이전트에 필요한 최소한의 권한만 부여하는 것. 어떤 에이전트가 어떤 시스템에 접근하는지 목록화하는 것. 모든 행동을 로깅하는 것. 토큰과 API 키의 유효 기간을 설정하고 정기적으로 로테이션하는 것. 프로덕션 데이터에 직접 접근하는 에이전트는 격리된 환경에서 실행하는 것.
거창한 거버넌스 플랫폼 없이도 시작할 수 있다.
결국 이 이야기의 핵심은 하나다. AI 보안의 적은 밖에 있지 않다. 안에 있다. 해커가 방화벽을 뚫는 시나리오보다, 직원이 승인 없이 돌린 에이전트가 과도한 권한으로 데이터에 접근하는 시나리오가 더 현실적이고 더 빈번하다. 98%의 조직에서 이미 벌어지고 있다.
에이전트가 자율적으로 행동하는 시대에, 통제는 CISO만의 책임이 아니다. 에이전트를 만드는 엔지니어, 도입을 결정하는 경영진, 사용하는 직원. 모두의 문제다.
첫 번째 단계는 간단하다. 지금 우리 조직에서 AI가 어디에서 뭘 하고 있는지 파악하는 것. 그림자를 빛 아래로 끌어내는 것.
보이지 않는 것은 지킬 수 없으니까.