속도냐 안전이냐, AI 기업들의 딜레마… 절반이 ‘빠른 출시’ 택했다

2025 AI Governance Survey

AI 전문 컨설팅 기업 퍼시픽 AI(Pacific AI)가 후원하고 그라디언트 플로우(Gradient Flow)가 수행한 ‘2025년 AI 거버넌스 조사’에 따르면, 생성형 AI 시스템을 실제 운영 환경에 배포한 조직은 전체의 30%에 불과하며, 여러 시스템을 동시에 운영하는 조직은 13%에 그쳤다.

생성형 AI 실제 활용률 30%… 대기업이 소기업보다 5배 앞서

이번 조사는 AI 시스템이 비즈니스 운영과 사회적 기능 영역에서 점점 더 중요해지면서 위험 관리, 윤리적 배포, 책임감 있는 혁신을 위한 효과적인 AI 거버넌스 구축의 필요성을 파악하기 위해 실시됐다. 2025년 2월 14일부터 5월 29일까지 105일간 온라인으로 진행된 이 조사는 351명의 참가자로부터 응답을 수집했으며, 대부분(91%)이 미국에서 운영되는 조직 소속이었다. 이는 AI에 대한 높은 관심과 달리 실제 구현 단계에서는 여전히 초기 수준임을 보여준다.

기업 규모별로 살펴보면 대기업이 소기업보다 다중 AI 시스템을 운영할 가능성이 5배 높았다. 대기업의 19%가 여러 AI 시스템을 동시에 운영하는 반면, 소기업은 4%에 그쳤다. 기술 리더들은 다른 직책보다 더 적극적인 AI 도입 계획을 세우고 있으며, 48%가 향후 3-5개의 새로운 사용 사례를 목표로 하고 있다.

기업 35%가 선택한 하이브리드 전략… AI 개발과 배포 동시 추진

조사에 참여한 기업 중 35%가 AI 개발과 배포를 동시에 추진하는 하이브리드 전략을 채택하고 있는 것으로 나타났다. 이는 순수하게 AI를 배포만 하는 기업(31%)이나 개발만 하는 기업(21%)보다 높은 비율이다. 특히 기술 리더가 있는 조직에서는 45%가 이런 dual 역할을 선택했으며, 불확실성을 표현한 비율도 4%로 낮았다.

기업 규모와 관계없이 약 36%의 대기업, 중기업, 소기업이 모두 이 옵션을 선택해 일관된 패턴을 보였다. 이러한 하이브리드 접근법은 기업들이 자체 AI 역량을 구축하면서 동시에 외부 솔루션도 통합하는 전략을 추구하고 있음을 시사한다. 단일 기능에 국한되기보다는 AI 가치 사슬에서 다양한 역할을 수행하려는 의도로 해석된다.

기업 45%가 ‘빠른 출시’를 최우선… 기술 리더는 56%로 더 심각

조사 결과 응답자의 45%가 빠른 출시 압박을 AI 거버넌스의 주요 장벽으로 꼽았다. 특히 기술 리더층에서는 이 비율이 56%로 더욱 높게 나타났다. 이들은 직접적인 개발 및 배포 압박에 직면하면서 안전성보다 속도를 우선시해야 하는 딜레마에 놓여 있다.

예산 부족이나 할당 자원 부족(34%), 내부 지식 부족(33%)도 주요 장애물로 지적됐다. 기술 리더들은 경영진 후원이나 우선순위 부족(33%)을 추가적인 문제로 제기했다. 기업 규모별로는 소기업(54%)과 대기업(49%) 모두에서 출시 속도 압박이 가장 큰 문제로 나타났으며, 중소기업은 예산 부족을 더 심각하게 인식하고 있었다.

AI 시스템 모니터링 48%에 그쳐… 소기업은 9%만 실시

운영 중인 AI 시스템의 정확성, 드리프트(drift), 오용을 모니터링하는 조직은 48%에 불과했다. 이러한 핵심적인 관리 업무는 소기업에서 특히 저조해 9%만이 실시하고 있었다. 이는 AI 시스템의 안정적 운영에 필수적인 모니터링 체계가 제대로 구축되지 않았음을 시사한다.

AI 프로젝트에 대한 위험 평가 프로세스를 구축한 조직은 45%였으며, 기술 리더가 있는 조직에서는 47%로 약간 높았다. 반면 정기적인 AI 리터러시 교육은 전체 응답자의 22%만이 실시하고 있었고, 기술 리더 조직에서는 8%로 오히려 낮았다. AI 사고 보고 도구를 갖춘 조직은 16%에 그쳤다.

AI 정책 보유율 75% vs 사고 대응 플레이북 54%… 말과 행동의 괴리

조직의 4분의 3(75%)이 AI 사용에 대한 정책을 보유하고 있다고 응답했지만, 실제 AI 사고 대응 플레이북을 갖춘 조직은 54%에 그쳤다. 이는 AI 거버넌스에서 정책 수립과 실제 실행 준비 사이에 상당한 격차가 존재함을 보여준다. 기업 규모별로 살펴보면 중기업의 62%가 사고 대응 플레이북을 보유한 반면, 대기업은 51%, 소기업은 36%에 불과했다.

특히 많은 조직들이 보유하고 있다고 주장하는 AI 사고 대응 프로토콜의 실제 내용은 편향된 출력, 프롬프트 인젝션 공격, 모델 조작, 데이터 유출 등 AI 특유의 위험 요소들을 제대로 다루지 못하고 있는 것으로 나타났다. 전통적인 사이버보안 플레이북으로는 대응할 수 없는 AI 고유의 실패 모드에 대한 준비 부족이 심각한 상황이다.

소기업 AI 거버넌스 담당자 36% vs 대기업 62%… 격차 심화

소기업들은 AI 거버넌스 성숙도에서 일관되게 뒤처지고 있다. AI 거버넌스 담당자를 두고 있는 소기업은 36%에 불과한 반면, 중대기업은 62-64%를 기록했다. 연간 AI 교육을 제공하는 소기업도 41%로, 중기업(79%)과 대기업(59%)에 비해 현저히 낮았다.

NIST(미국 국립표준기술연구소) AI 위험 관리 프레임워크 같은 주요 표준에 대한 인지도도 소기업에서는 14%에 그쳤다. 이는 대기업 중심으로 집중된 규제 인식이 소기업들을 컴플라이언스 위험에 노출시키고 있음을 보여준다. 향후 1년간 1-2개의 생성형 AI 사용 사례만 계획하는 소기업이 73%에 달해 신중한 접근을 취하고 있지만, 동시에 거버넌스 기반이 취약한 상황이다.

FAQ

Q: 생성형 AI를 도입하려는 기업이 가장 먼저 준비해야 할 것은 무엇인가요?

A: AI 사용 정책 수립과 전담 거버넌스 역할 지정이 우선되어야 합니다. 조사에 따르면 75%의 조직이 AI 정책을 보유하고 있지만, 실제 사고 대응 플레이북은 54%만이 갖추고 있어 정책과 실행 사이의 격차를 메워야 합니다.

Q: 소기업도 대기업처럼 복잡한 AI 거버넌스 체계를 구축해야 하나요?

A: 규모에 적합한 거버넌스가 중요합니다. 소기업은 자동화된 거버넌스 체크와 규모에 맞는 프레임워크를 통해 배포 위험을 줄이면서 더 빠르게 혁신할 수 있습니다. 핵심은 모델 관찰 가능성, 명확한 소유권 구조, AI 특화 모니터링 역량을 구축하는 것입니다.

Q: AI 시스템 모니터링이 중요한 이유는 무엇인가요?

A: AI 시스템은 편향된 출력, 프롬프트 인젝션 공격, 모델 조작 등 기존 IT 플레이북으로는 대응할 수 없는 고유한 실패 모드를 가지고 있습니다. 지속적인 모니터링을 통해 정확성 저하, 데이터 드리프트, 오용을 조기에 발견하여 고객 신뢰 손실과 규제 제재를 방지할 수 있습니다.

해당 기사에 인용된 리포트 원문은 Pacific AI 홈페이지에서 확인 가능하다.

이미지 출처: Pacific AI

해당 기사는 챗GPT와 클로드를 활용해 작성되었습니다.