IBM, “조직 13% AI 통한 데이터 유출…97% AI 접근 관리 미비”

AI 도입 속도가 AI 보안과 거버넌스를 크게 앞지르고 있다는 분석이 나왔다. 보안을 강화해야 한단 우려의 목소리다.

IBM의 ‘2025 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report)’보고서에 따르면, 전체 조사 대상 조직의 13%가 AI 모델 또는 애플리케이션에서 데이터 유출이 발생했다. 8%는 자신들의 AI 시스템이 침해됐는지 조차 파악하지 못했던 것으로 나타났다. AI 시스템 침해 사고를 경험한 조직 중 97%는 AI 접근 제어가 제대로 마련돼 있지 않았다. 그 결과, AI 관련 보안 사고 60%는 데이터 유출로, 31%는 운영 중단으로 이어졌다.

즉, 많은 조직들이 AI 보안과 거버넌스를 뒤로한 채 AI 도입에만 급급하고 있단 분석이다. 관리되지 않는 AI 시스템은 데이터 유출 가능성이 높고, 유출 시 비용도 더 크단 얘기다.

수자 비스웨산(Suja Viswesan)IBM 보안 및 런타임 제품 담당 부사장은 “이번 연구결과는 AI 도입과 감독 간의 격차가 존재하며, 공격자들이 이를 악용하기 시작했음을 보여준다”며, “이번 조사를 통해 AI 시스템에 기본적인 접근 제어조차 부족하다는 점이 드러났고, 이는 민감한 데이터 노출과 모델 조작 위험으로 이어진다”고 밝혔다.

이어 “AI가 비즈니스 운영 전반에 깊숙이 자리 잡고 있는 만큼, AI 보안은 필수적으로 갖춰져야 한다”며 “행동하지 않는 대가는 단순한 재정 손실을 넘어 신뢰, 투명성, 통제력의 상실을 의미한다”고 말했다.

한편, 보안 운영 전반에 AI 및 자동화를 광범위하게 활용한 조직은 데이터 유출 비용을 평균 190만 달러 절감하고, 데이터 유출 대응 기간을 평균 80일 단축한 것으로 나타났다.

AI 시대의 유출현황
IBM 후원으로 포네몬 인스티튜트(Ponemon Institute)가 2024년 3월부터 2025년 2월까지 전 세계 600개 조직을 대상으로 조사한 이번 보고서는 AI가 공격하기 쉽고 가치가 높은 대상으로 떠오르고 있음을 시사한다.

• AI 거버넌스 정책: 데이터 유출을 경험한 조직의 63%는 AI 거버넌스 정책이 없거나 아직 개발 중이며, 정책을 보유한 조직 중에서도 비승인 AI를 정기적으로 감사하는 곳은 34%에 불과하다.
  
• 섀도 AI의 비용: 전체 조직 중 5곳 중 1곳은 섀도 AI로 인해 데이터 유출을 경험했으며, AI를 관리하거나 섀도 AI를 탐지하는 정책을 보유한 조직은 37%에 불과했다. 섀도 AI를 많이 사용하는 조직은 이를 사용하지 않거나 적게 사용하는 조직보다 평균 67만 달러 더 높은 데이터 유출 비용을 기록했다. 섀도 AI 관련 보안 사고는 개인 식별 정보(65%) 및 지적 재산(40%) 유출 비율이 일반적인 보안 사고에서의 각 데이터 유출 비율(각각 53%, 33%)보다 높았다.
  
• AI를 활용한 지능형 공격: 전체 시스템 침해 사례 중 16%는 공격자가 AI 도구를 활용한 것으로 나타났으며, 주로 피싱 또는 딥페이크 사칭 공격에 사용되었다.

데이터 유출 시 금융 비용
전 세계 평균 유출 비용은 444만 달러로 5년 만에 처음으로 감소했다. 데이터 유출 탐지 및 대응에 걸리는 평균 기간은 241일로, 전년 대비 17일 단축됐고, 데이터 유출사고를 내부적으로 탐지해 낸 조직들이 더 많았다. 외부 공격자가 침해 사실을 알려온 경우에 비해 내부에서 유출 사실을 자체적으로 탐지해 낸 조직은 평균 90만 달러의 비용을 절감했다.

의료 분야의 데이터 유출 비용은 평균 742만 달러로 지난 해에 비해 235만 달러가 감소했음에도 불구하고, 모든 산업 분야 중 가장 높은 유출비용을 기록했다. 유출 탐지와 대응에 평균 279일이 소요되어 일반적인 유출사고 처리 기간인 평균 241일보다 5주 이상 길었다.

지난 해 랜섬웨어 공격 요구에 응하지 않은 조직 비율은 63%로 전년(59%)보다 증가했다. 더 많은 조직들이 대가 지불을 거부했으나 여전히 갈취나 랜섬웨어 사고의 평균 비용이 높은 것으로 나타났다. 특히 공격자에 의해 침해가 공개된 경우, 이 비용은 508만 달러로 높게 나타났다.

AI 리스크의 증가에도 불구하고, 보안 투자는 감소한 것으로 나타났다. 유출사고 이후 보안에 투자할 계획이 있다고 답변한 조직 비율은 2024년 63%에서 2025년 49%로 크게 감소했다. 데이터 유출 사고 후 보안 투자를 계획하고 있는 기업 중에서도 AI 기반 보안 솔루션이나 서비스에 집중하려는 조직은 절반 이하에 그쳤다.

데이터 유출의 장기적 영향: 운영 중단
보고서에 따르면, 조사 대상 대부분의 조직이 데이터 유출 사고 이후 운영 중단을 겪었다. 게다가 이러한 수준의 혼란은 복구 일정에도 영향을 미쳤다. 조직 대부분이 복구하는 데 평균 100일 이상 소요했다.

데이터 유출 사고의 영향은 단순한 복구를 넘어 지속된다. 전년 대비 감소하긴 했지만, 전체 조직의 절반 가까이 유출 사고로 인해 상품 또는 서비스 가격 인상을 계획하고 있다. 이중 약 3분의 1은 15% 이상의 가격 인상을 계획한다고 보고했다.

Related Materials

• ArcGIS AI Models – Year in Review - Esri, 2024년
• Artificial Intelligence Geographic Information Systems-AI GIS - IJAEBS, 2024년
• Geospatial Analytics Artificial Intelligence Market Size to Hit USD ... - Precedence Research, 2024년
• The Future of GIS: Trends in Geospatial Technology - MGISS, 2024년
• Machine learning empowered geographic information systems - WJARR, 2024년

AI 코딩 플랫폼 베이스44에서는 남의 프로젝트도 쉽게 엿볼 수 있어

💡Editor’s Pick - 바이브 코딩 플랫폼 베이스44, 보안 취약 - 기본적인 설정 오류 때문에 타인 프로젝트도 열람 가능 - 인공지능 발전 눈부신데, 보안 인식은 따라오지 못해 인공지능 기반 코딩 플랫폼인 베이스44(Base44)에서 초고위험도 취약점이 발견됐다. 익스플로잇 하는 데 성공할 경우, 사용자가 만든 비밀 애플리케이션 프로젝트에 무단으로 접근할 수 있게

The Tech Edge문가용 기자

AI 모델 오작동 유발하는 ‘GPUHammer’ 공격…엔비디아 GPU 보안 허점

💡Editor Pick - GPU 메모리의 BitFlip 일으켜 AI 시스템에 영향 미칠 수 있음 - NVIDA 취약점 확인 후, ECC 활성화로 대했지만 GPU 성능 저하 이슈 존재 엔비디아 A6000 GPU의 메모리에서 AI 모델의 정확도를 무력화할 수 있는 하드웨어 취약점이 발견됐다. 캐나다 토론토대학교 연구진이 공개한 이른바 ‘GPUHammer’는 GPU 메모리에 반복 접근해

The Tech EdgeCheifEditor

[AI전략] 기술 ‘깡패’ 미국, AI 풀스택 전략으로 동맹국에 ‘강매’

💡Editor’s Pick - 백악관 과학기술정책실 수석, ”미국 AI를 받아들이라” 직설적으로 주문 - 김동환 포티투마루 대표, ”특화형 소버린 AI 통한 AI 주권 확립 필요” 최근 미국의 AI 전략이 심상치 않다. AI 풀스택 수출 전략을 통해 기술 종속을 꾀하고 있다. AI 인프라 패키지를 통해 데이터센터, 클라우드, 네트워크, AI 모델, 보안 시스템까지 통합

The Tech EdgeCheifEditor