섀도 AI 2.0 — 바이브 코딩이 만드는 새로운 보안 사각지대
과거 "섀도 AI"는 직원이 챗GPT 같은 서비스에 사내 문서를 붙여넣는 행위였습니다. 보안 매체 데일리시큐가 보도한 RedAccess의 "Shadow Builders" 조사에 따르면, 이제는 자연어 설명만으로 AI가 코드와 화면, 데이터 연결까지 만들어주는 "바이브 코딩"으로 직원이 업무용 앱을 만들고 사내 시스템에 연결한 뒤 인터넷에 공개하는 사례가 새로운 위험으로 떠올랐습니다.
■ 얼마나 퍼져 있나
마케팅 담당자는 캠페인 관리 도구를, 재무팀은 임원 보고용 대시보드를 직접 만듭니다. 문제는 이런 앱이 CRM, ERP, 티켓 시스템과 실제로 연결된다는 점입니다. RedAccess 조사에서 바이브 코딩 플랫폼의 공개 접근 웹 자산은 38만 개 이상, 약 5천 개는 기업 업무용, 2천 개 이상은 민감 데이터를 포함했습니다. 일부는 기본 인증도 없이 관리자 권한이 노출돼 의료 기록·금융 정보·내부 전략 문서까지 드러났습니다.
■ 기존 보안 도구가 못 잡는 이유
과거의 섀도 AI는 DLP가 붙여넣기 행위를 탐지할 수 있었습니다. 하지만 바이브 코딩 앱은 브라우저 세션 안에서 개발부터 배포까지 끝나버려 EDR·DLP·CASB로도 탐지가 어렵습니다. 직원이 직접 만들고 공개하는 구조라 회사의 IT 자산 목록에도 애초에 잡히지 않습니다.
■ 금지보다 신고 가능한 절차가 먼저다
전문가들이 권하는 순서는 징계가 아니라 현황 파악입니다. 어떤 도구로 어떤 앱을 만들었는지 확인해 자산 목록을 만드는 것이 첫걸음입니다. 대부분의 직원은 숨기려는 게 아니라 업무를 빨리 처리하려 도구를 쓴 것이기 때문입니다. 이어 각 앱의 연결 방식을 확인하고, 공개 URL 여부는 즉시 조치가 필요한 최우선 신호로 다뤄야 합니다. 마지막으로 승인된 플랫폼과 데이터 범위, 최소 인증 기준을 정하고, 부담 없이 신고할 수 있는 절차를 마련해야 합니다. 절차가 복잡하면 직원은 계속 그 도구를 몰래 씁니다.
기술 도입 속도와 보안 설계는 함께 가야 합니다. 보안은 나중이 아니라 처음부터 최소 요건으로 설계돼야 사고를 막을 수 있습니다.
우리 조직의 AX 성숙도가 궁금하다면 무료 진단(3분)으로 확인해보세요: https://dhicttech.co.kr/business/consulting/diagnosis
대한 ICT 기술사 사무소 · AX 컨설팅: https://dhicttech.co.kr/business/consulting
