한 가지 숫자부터 시작하겠다. 82%의 임원이 “우리 회사의 정책이 비인가 AI 에이전트 활동으로부터 조직을 보호하고 있다”고 자신한다. 그런데 같은 조사에서 실제로 모든 AI 에이전트에 대해 보안 승인을 완료한 기업은 14.4%에 불과했다. 자신감과 현실 사이에 68포인트의 간극이 있다. 이 간극이 바로 2026년 기업이 직면한 AI 에이전트 거버넌스 문제의 본질이다.
나는 오픈클로를 개인적으로 쓰면서, 이 도구가 기업 환경에 들어가면 어떤 일이 벌어질지 계속 생각해왔다. 결론부터 말하면, 이미 벌어지고 있다. Microsoft의 내부 보안 팀에 따르면 전사 직원의 29%가 이미 비인가 AI 에이전트를 업무에 사용하고 있다. 문제는 이 도구들이 나쁜 게 아니라, 보이지 않는다는 거다. 보이지 않는 건 관리할 수 없고, 관리할 수 없는 건 보호할 수 없다.
이 글에서는 기업이 AI 에이전트를 도입할 때 반드시 검토해야 할 체크리스트를 정리하고, 오픈클로 같은 오픈소스 에이전트와 엔터프라이즈 솔루션의 차이를 비교하고, 그림자 AI에 대응하는 거버넌스 전략을 다룬다. 오픈클로가 뭔지 아직 잘 모르겠다면 오픈클로 완벽 가이드를 먼저 읽어보면 좋겠다.
그림자 AI – 기업이 모르는 사이에 벌어지는 일
그림자 AI(Shadow AI)는 직원이 IT 부서의 승인 없이 AI 도구를 업무에 사용하는 현상을 말한다. 이전의 그림자 IT와 비슷하지만, 결정적 차이가 있다. 그림자 IT는 대체로 SaaS 앱을 비인가로 쓰는 수준이었다. 데이터가 해당 앱 안에 머물렀고, 영향 범위가 제한적이었다. 그림자 AI는 다르다. AI 에이전트는 CRM의 모든 거래 데이터를 읽고, 이메일을 보내고, API를 호출하고, 코드를 실행할 수 있다. 영향 범위가 사람 한 명이 복사-붙여넣기하는 수준을 넘어서, 시스템 전체로 확장된다.
수치로 보면 상황이 얼마나 심각한지 체감할 수 있다. Gartner에 따르면 직원의 68%가 IT 승인 없이 AI 도구를 사용하고 있다. Microsoft의 조사에서는 75%의 지식 근로자가 이미 업무에 AI 도구를 쓰고 있고, 이 중 78%가 회사 공식 도구가 아닌 개인 도구를 가져와서 쓰고 있다. EY의 2026년 기술 설문에서는 부서 단위 AI 프로젝트의 52%가 공식 승인 없이 진행되고 있었다. 그리고 이 도구들이 발견되기까지 평균 400일 이상이 걸린다.
오픈클로 같은 오픈소스 에이전트는 이 그림자 AI 문제를 더 복잡하게 만든다. 설치가 쉽고, 무료이고, 개인 노트북에서 돌아간다. IT 부서의 레이더에 잡히지 않는다. 직원이 오픈클로를 깔아서 회사 Gmail과 연결하고, CRM 데이터를 분석하고, 슬랙에 자동 보고서를 올리고 있을 수 있다. 의도는 생산성 향상이지만, 민감한 사업 데이터가 외부 AI 모델 API로 전송되고 있다는 사실은 모르고 있을 수 있다.
중요한 건, 이 직원들이 악의적인 게 아니라는 점이다. 대부분은 업무를 더 잘하려는 의도에서 시작한다. 문제는 직원의 행동이 아니라, 조직의 가시성 부재다.
EY의 2026년 데이터에 따르면, AI 도구를 비인가로 사용한 기업의 45%가 민감 데이터 유출이 확인됐거나 의심되는 상황을 경험했다. 그림자 AI가 발생시키는 보안 사고의 평균 비용은 일반 사고보다 67만 달러가 더 높다. 그리고 이 비용은 사고가 발견되기까지 걸리는 시간에 비례해서 올라간다. 평균 400일 이상 발견되지 않는다는 걸 감안하면, 그 사이에 누적되는 리스크는 상당하다.
더 최근에는 “그림자 에이전트(Shadow Agent)”라는 새로운 현상도 보고되고 있다. 단순히 ChatGPT에 질문하는 수준을 넘어서, 기술적 역량이 있는 직원이 오픈클로나 n8n 같은 도구로 자율형 워크플로우를 직접 만드는 거다. 이 에이전트는 CRM, 이메일, 사내 API에 직접 연결되어 24시간 돌아간다. 사람이 복사-붙여넣기하는 수준의 그림자 AI와는 영향 범위가 차원이 다르다.
엔터프라이즈 에이전트 솔루션 vs 오픈클로 – 무엇이 다른가
기업이 AI 에이전트를 공식적으로 도입하려면, 엔터프라이즈 솔루션과 오픈소스 솔루션의 차이를 정확히 이해해야 한다. 둘은 같은 “AI 에이전트”라는 이름을 쓰지만, 설계 철학이 완전히 다르다.
Microsoft Copilot Cowork는 M365 생태계에 깊이 통합된 에이전트 플랫폼이다. Anthropic과의 파트너십으로 클로드 기술을 내장했고, Agent 365라는 거버넌스 레이어가 에이전트의 모든 행동을 감사한다. 사용자당 월 15달러로 5월부터 일반 공개될 예정이다. 강점은 기존 Microsoft 보안 인프라(Entra ID, Purview, Defender)와의 자연스러운 통합이고, 약점은 Microsoft 생태계 밖의 도구와의 연동이 제한적이라는 점이다.
Salesforce Agentforce는 CRM 데이터 위에서 동작하는 에이전트 플랫폼이다. 영업, 서비스, 마케팅 워크플로우에 특화되어 있고, Einstein Trust Layer라는 보안 레이어가 데이터 유출을 방지한다. 이미 Salesforce를 쓰고 있는 기업이라면 가장 자연스러운 선택이지만, CRM 영역 밖의 자동화에는 한계가 있다.
ServiceNow AI Agent는 IT 서비스 관리(ITSM)와 업무 자동화에 초점을 맞춘 에이전트다. 티켓 처리, 인시던트 대응, 변경 관리 같은 IT 운영 업무에서 강하다.
오픈클로는 이 모든 엔터프라이즈 솔루션과 근본적으로 다른 위치에 있다. 오픈소스이고, 모델 비종속적이고, 사용자의 기기에서 실행된다. 특정 벤더의 생태계에 묶이지 않고, MCP를 통해 어떤 서비스와도 연결할 수 있다. 비용이 월 3~6만 원 수준으로 엔터프라이즈 솔루션 대비 10분의 1 이하다. 하지만 보안 인증(SOC 2, ISO 27001)이 없고, SLA가 없고, 전담 지원팀이 없다. 엔터프라이즈 수준의 감사 로그와 접근 제어도 기업이 직접 구축해야 한다.
정리하면, 엔터프라이즈 솔루션은 “안전하지만 비싸고 제한적”이고, 오픈클로는 “유연하지만 보안 책임이 자기 몫”이다. 둘 중 하나만 고르는 게 아니라, 용도에 따라 조합하는 기업이 늘고 있다. 공식 업무는 엔터프라이즈 솔루션으로, 실험적 자동화나 개발팀 내부 도구는 오픈클로로 운영하는 투트랙 전략이다.
이 투트랙 전략의 핵심은 경계선을 명확히 긋는 거다. 고객 데이터를 다루는 영업/지원 워크플로우는 반드시 엔터프라이즈 솔루션으로, 사내 개발 생산성 도구나 내부 리서치 자동화는 오픈클로로 분리하는 식이다. 두 트랙 모두 거버넌스 프레임워크 안에 포함시키되, 위험 등급에 따라 통제 수준을 차등 적용한다. 어느 트랙이든 에이전트 레지스트리에 등록하고, 접근 권한을 명시하고, 로그를 수집하는 기본 원칙은 동일하게 적용해야 한다.
AI 에이전트 거버넌스 5대 원칙
Microsoft의 2026년 Cyber Pulse 보고서는 AI 에이전트 거버넌스에 필요한 다섯 가지 핵심 역량을 제시했다. 이건 오픈클로든 엔터프라이즈 솔루션이든 관계없이 적용되는 원칙이다.
첫째, 에이전트 레지스트리다. 조직 내에서 운영 중인 모든 AI 에이전트의 중앙 집중식 목록을 유지해야 한다. 공식 에이전트뿐 아니라, 직원이 개인적으로 설치한 오픈클로 같은 비인가 에이전트까지 포함한다. “지금 우리 조직에서 몇 개의 AI 에이전트가 돌아가고 있는가?”라는 질문에 답할 수 없다면, 거버넌스의 첫 단계부터 실패한 거다.
둘째, 접근 제어다. 에이전트에게도 사람과 동일한 수준의 신원 관리와 권한 정책을 적용해야 한다. 최소 권한 원칙을 일관되게 적용하고, 에이전트가 목적 달성에 필요한 데이터와 시스템에만 접근하도록 제한한다. Cloud Security Alliance의 조사에 따르면 현재 에이전트 신원 관리에 대한 전사적 전략을 갖춘 기업은 23%에 불과하다.
셋째, 시각화와 모니터링이다. 에이전트가 사람, 데이터, 시스템과 어떻게 상호작용하는지 실시간 대시보드로 관찰할 수 있어야 한다. 현재 조직의 AI 에이전트 중 평균 47.1%만 적극적으로 모니터링되고 있다. 나머지 절반 이상은 사각지대에 놓여 있다.
넷째, 위협 보호다. 에이전트를 타겟으로 한 새로운 공격 벡터(프롬프트 인젝션, 도구 오용, 데이터 유출)에 대한 방어 체계가 필요하다. 기존 EDR이나 DLP로는 에이전트의 정상 활동과 악성 활동을 구분하기 어렵다.
다섯째, 지속적 컴플라이언스다. 에이전트 배포가 이루어질 때마다, 권한이 변경될 때마다, 새로운 그림자 AI가 발견될 때마다 컴플라이언스 상태가 변한다. 분기별 감사가 아니라 실시간 정책 검증이 필요하다. 규제 산업(헬스케어, 금융, 제조)에 있는 기업은 특히 긴급하다. 2026년 컴플라이언스 감사의 4건 중 1건이 AI 거버넌스 관련 질의를 포함할 것으로 예상되고 있다.
이 다섯 가지 원칙은 거창해 보이지만, 핵심은 하나다. “에이전트를 사람과 동일한 수준으로 관리하라”는 거다. 사람을 채용하면 신원을 확인하고, 접근 권한을 부여하고, 행동을 모니터링하고, 퇴사하면 계정을 비활성화한다. 에이전트도 동일한 생명주기 관리가 필요하다. 아직 대부분의 기업이 이걸 사람에게만 적용하고 에이전트에게는 적용하지 않고 있다는 게 문제의 핵심이다.
기업 도입 체크리스트 – 단계별 접근법
AI 에이전트 도입을 검토하는 기업이 따라갈 수 있는 실전 체크리스트를 정리한다.
첫 번째 단계는 현황 파악이다. 지금 조직 내에서 AI 에이전트가 이미 사용되고 있는지 확인해야 한다. 68%의 직원이 비인가 AI를 쓰고 있다는 통계를 감안하면, “우리 회사는 아직 안 쓰고 있다”는 가정은 거의 확실히 틀렸다. CrowdStrike의 Falcon 플랫폼이나 네트워크 모니터링 도구로 AI 서비스 관련 DNS 요청을 스캔하면, 어떤 AI 도구가 어느 부서에서 사용되고 있는지 파악할 수 있다.
두 번째 단계는 위험 분류다. 발견된 AI 사용을 위험도에 따라 분류한다. 공개 데이터로만 작업하는 경우(저위험), 내부 데이터를 처리하는 경우(중위험), 고객 데이터나 금융 데이터를 다루는 경우(고위험)로 나눈다. 위험 등급에 따라 허용, 조건부 허용, 차단을 결정한다. 핵심은 “전부 차단”이 아니라 “위험에 비례한 통제”다. 전면 차단하면 직원들이 더 은밀하게 쓰기 시작하고, 가시성이 오히려 더 떨어진다.
세 번째 단계는 공식 도구 선정과 파일럿이다. 기업의 핵심 업무에 맞는 에이전트 솔루션을 선정하고, 소규모 팀에서 파일럿을 진행한다. Microsoft 365를 주로 쓰는 기업이라면 Copilot Cowork가 자연스럽고, Salesforce 기반이라면 Agentforce가 적합하다. 개발팀 내부에서 실험적으로 쓸 도구가 필요하다면 오픈클로를 격리 환경에서 운영하는 방식을 검토할 수 있다.
네 번째 단계는 거버넌스 프레임워크 구축이다. 에이전트 레지스트리, 접근 제어 정책, 모니터링 체계, 인시던트 대응 절차를 문서화하고 시행한다. 이 단계에서 가장 많이 실수하는 게 “정책만 만들고 측정하지 않는 것”이다. 정책이 있어도 실제로 지켜지고 있는지 모니터링하지 않으면, 69%의 조직이 AI 정책은 있지만 실제 AI 사용 현황 인벤토리는 38%만 유지하고 있다는 통계와 같은 상황에 빠진다.
다섯 번째 단계는 피드백 루프를 만드는 거다. 비인가 AI 사용이 특정 도구나 특정 부서에서 급증한다면, 그건 차단해야 할 위협이 아니라, 그 영역에 공식 도구가 필요하다는 신호다. 직원들이 자발적으로 발견한 생산성 도구를 거버넌스 안으로 끌어들이는 접근이 “전면 차단”보다 훨씬 효과적이다. 최고의 기업들은 비인가 AI 실험을 “거버넌스 안의 탐색”으로 전환시킨다. 쓰기 쉽게 만들되, 보이게 만드는 거다.
오픈클로를 기업에서 안전하게 쓰려면
오픈클로를 기업 환경에 도입하려는 경우, 추가적인 보안 레이어가 필수다. 개인 사용과는 차원이 다른 보안 요구사항이 있다.
네트워크 격리부터 해야 한다. 오픈클로 인스턴스는 내부 네트워크에만 바인딩하고, 외부 접근은 Tailscale이나 WireGuard 같은 제로트러스트 VPN을 통해서만 허용한다. 도커 컨테이너 안에서 실행해서 호스트 시스템에 대한 직접 접근을 차단하고, 샌드박스를 활성화해서 에이전트의 도구 실행을 격리한다.
인증과 권한 관리도 강화해야 한다. API 키는 환경변수나 시크릿 매니저로 관리하고, 파일 권한을 제한한다. 에이전트가 접근할 수 있는 도구와 데이터 범위를 허용 목록으로 제한하고, 민감한 작업(메일 발송, 파일 삭제, 외부 API 호출)에는 실행 승인(exec approval) 기능을 켜서 사람의 확인을 거치게 한다.
감사 로그도 필수다. 에이전트가 어떤 도구를 호출했는지, 어떤 데이터에 접근했는지, 어떤 외부 서비스와 통신했는지 기록해야 한다. 이 로그를 중앙 로그 시스템으로 수집하고, 비정상적인 패턴을 탐지하는 알림을 설정한다.
스킬과 MCP 서버 관리도 정책이 필요하다. ClawHub에서의 자동 업데이트를 비활성화하고, 승인된 스킬만 화이트리스트로 관리한다. 새 스킬이나 MCP 서버 도입 시에는 보안 리뷰를 거친다.
마무리
AI 에이전트 도입은 더 이상 “할지 말지”의 문제가 아니다. 직원의 68%가 이미 비인가 AI를 쓰고 있고, Fortune 500의 80% 이상이 AI 에이전트를 운영하고 있다. 문제는 도입 속도가 거버넌스 속도를 압도적으로 앞지르고 있다는 점이다. Gartner는 2026년 말까지 기업 앱의 40%가 AI 에이전트를 내장할 것으로 전망했는데, 이건 2025년의 5% 미만에서 수직 상승하는 수치다.
핵심을 정리하면 이렇다. 먼저 현황을 파악해야 한다. 지금 조직 안에서 어떤 AI 도구가 쓰이고 있는지 모르면 시작할 수 없다. 그 다음 위험도에 비례한 통제를 적용한다. 전면 차단은 답이 아니다. 에이전트 레지스트리, 접근 제어, 모니터링, 위협 보호, 지속적 컴플라이언스의 5대 원칙을 구축한다. 엔터프라이즈 솔루션과 오픈소스 솔루션의 차이를 이해하고, 용도에 맞게 조합한다.
Writer의 2026년 기업 AI 도입 조사에서 C-suite 임원의 54%가 “AI 도입이 회사를 갈라놓고 있다”고 답했다. 동시에 92%의 임원이 AI 엘리트 직원을 의도적으로 육성하고 있고, 60%는 AI를 채택하지 않는 직원을 정리할 계획이라고 답했다. AI 에이전트는 기업의 경쟁력을 결정짓는 인프라가 되고 있다. 그 인프라를 안전하게 운영하는 거버넌스가 따라오지 못하면, 경쟁력이 아니라 리스크가 된다. 지금이 거버넌스를 세울 시점이다.