[더테크 이승수 기자]  기업들의 AI 도입 속도가 AI 보안과 거버넌스 체계 마련을 크게 앞지르고 있는 것으로 나타났다. 이로 인해 데이터 유출 및 운영 중단 등 심각한 보안 리스크가 확산되고 있다는 지적이 나왔다.

IBM은 21일 ‘2025 데이터 유출 비용 보고서’를 공개하고, 조사 대상 조직의 13%가 AI 모델 또는 애플리케이션에서 실제 데이터 유출을 경험했으며, 8%는 AI 시스템이 침해됐는지조차 파악하지 못했다고 밝혔다. AI 침해를 겪은 조직의 97%는 적절한 접근 제어 장치가 마련돼 있지 않았으며, 이로 인해 보안 사고의 60%가 데이터 유출로, 31%는 운영 중단으로 이어졌다.

IBM 보안 및 런타임 제품 담당 수자 비스웨산 부사장은 “이번 결과는 AI 도입과 감독 간의 격차가 공격자들에 의해 악용되고 있음을 보여준다”며 “AI 시스템에 기본적인 접근 제어조차 부족하다는 점은 민감한 데이터 노출과 모델 조작 위험으로 직결된다. AI가 비즈니스 전반에 깊이 자리 잡은 만큼, 보안은 선택이 아닌 필수”라고 강조했다.

이번 보고서는 IBM 후원으로 포네몬 인스티튜트가 2024년 3월부터 2025년 2월까지 전 세계 600개 조직을 대상으로 실시했다. 올해 처음으로 AI 보안, 거버넌스 및 접근 제어 관련 항목이 포함됐는데, 이는 AI가 공격하기 쉽고 가치가 높은 대상으로 떠오르고 있음을 시사한다.

조사 결과 데이터 유출을 경험한 조직의 63%는 AI 거버넌스 정책이 없거나 아직 개발 중이었으며, 정책이 있더라도 비인가 AI를 정기적으로 점검하는 곳은 34%에 불과했다. 전체 조직 중 5곳 중 1곳은 ‘섀도 AI’로 인해 데이터 유출을 경험했고, 이러한 조직은 평균 67만 달러 더 높은 유출 비용을 기록했다.

섀도 AI와 관련한 보안 사고는 개인 식별 정보와 지적재산 유출 비율이 일반적인 사고보다 더 높았다. 전체 시스템 침해 사례의 16%는 공격자가 AI 기반 도구를 활용한 것이었으며, 주로 피싱이나 딥페이크 사칭 공격에 사용됐다.

데이터 유출 비용은 전 세계 평균 444만 달러로 집계돼 5년 만에 처음으로 감소했지만 여전히 높은 수준이다. 탐지와 대응에 걸린 평균 기간은 241일로 전년 대비 17일 줄었으며, 내부적으로 유출을 탐지한 조직이 외부 통보를 받은 조직보다 평균 90만 달러를 절감한 것으로 나타났다.

의료 분야의 데이터 유출 비용은 평균 742만 달러로, 전년보다 줄었음에도 모든 산업 가운데 가장 높았으며 탐지·대응 기간도 평균 279일로 가장 길었다. 랜섬웨어 공격에 대해서는 대가 지급을 거부한 비율이 63%로 증가했으나, 공격자가 침해 사실을 공개한 경우 평균 비용은 508만 달러에 달했다.

AI 리스크가 커지고 있음에도 보안 투자는 오히려 감소했다. 데이터 유출 이후 보안에 투자할 계획이 있다고 답한 조직은 지난해 63%에서 올해 49%로 줄었다. 이 중에서도 AI 기반 보안 솔루션이나 서비스에 집중하겠다고 밝힌 조직은 절반 이하에 불과했다.

보고서에 따르면 대부분의 조직이 유출 사고 이후 평균 100일 이상 운영 차질을 겪었고, 복구 이후에도 상품이나 서비스 가격 인상으로 비용을 전가할 계획을 세우고 있었다. 전체 기업의 절반 가까이가 가격 인상을 고려하고 있으며, 이 중 3분의 1은 15% 이상 올릴 가능성이 있다고 응답했다.