헬스케어 현장에 여전히 도사리는 '섀도우 AI'

의료 현장 AI 도입 확산 속 미승인 도구 사용 관행 여전…데이터 유출·환자 안전 우려 커

AI 도구를 청진기만큼 보편적인 의료 기기로 만들려는 테크 기업들의 야심 속에서, 이 기술은 이미 헬스케어 산업 전반에 깊숙이 침투해 있다. 그러나 일부 사용은 여전히 '그늘 속에' 머물러 있다. 기관의 관리 체계 밖에서 이뤄지며 보안과 환자 안전 위협을 내포하고 있다고 전문가들은 경고한다. AI 도구의 도입 속도가 의료 기관들이 정책을 수립하는 속도를 훨씬 앞질러 가고 있다는 것이 전문가들의 공통된 진단이다.

'섀도우 AI'란 무엇인가

'섀도우 AI(Shadow AI)'란 조직의 IT 부서나 보안 담당자의 공식 검토·승인 없이 직원들이 개인적으로 도입해 사용하는 AI 도구나 서비스를 통칭하는 개념이다. ChatGPT, 클로드(Claude), 제미나이(Gemini) 같은 생성형 AI 챗봇을 이용해 진료 기록을 작성하거나 임상 요약문을 만드는 행위, AI 기반 코드 어시스턴트를 감독 없이 사용하거나 환자 데이터를 공개 AI 플랫폼에 업로드하는 것 등이 대표적인 사례다.

이는 AI 이전 시대부터 존재해 온 '섀도우 IT(Shadow IT)' 현상의 진화된 형태다. 개인 클라우드 스토리지 사용, 비승인 메신저 앱, 조직의 승인된 생태계 밖에서 민감한 데이터나 커뮤니케이션을 처리하는 검증되지 않은 프로젝트 관리 플랫폼 사용 등이 기존 섀도우 IT의 전형적 형태였다면, 섀도우 AI는 여기서 한층 더 깊은 위험 층위를 추가한다.

2026년 현재 이 문제가 특히 심각해진 이유는 복합적이다. 고급 AI 기능이 웹 브라우저나 스마트폰만 있으면 누구나 접근할 수 있게 됐고, 의사들은 직접 환자 진료 1시간당 1~2시간을 전자건강기록(EHR) 문서 작업에 소비하는 번아웃 상황에 처해 있다. 대형 의료 시스템은 기업용 AI 스크라이브를 도입하고 있지만, 중소형 의원, 농촌 클리닉, 개인 의료 제공자들은 규정을 준수하는 대안적 도구에 접근할 수 없는 경우가 많다.  이른바 'AI 격차(AI divide)'가 섀도우 사용을 부추기고 있는 것이다.

5명 중 1명이 미승인 AI 사용

Wolters Kluwer Health가 2025년 12월 500명 이상의 의료 종사자(행정직 절반, 의료 제공자 절반)를 대상으로 실시한 설문조사에서, 전체 응답자의 17%가 직장 내에서 미승인 AI 도구를 사용했다고 인정했다. 또한 의료 종사자 및 행정직의 40% 이상이 동료들이 섀도우 AI 제품을 사용하는 것을 목격했다고 응답했다.

미승인 AI 도구를 사용한 응답자 중 45%는 그 주된 이유로 '더 빠른 업무 처리'를 꼽았으며, 24%는 '현재 승인된 도구보다 더 나은 기능' 때문이라고 답했다.  규정 위반이 목적이 아니라 업무 효율과 번아웃 해소가 동기라는 점에서, 이 문제는 단순한 보안 위반 차원을 넘어 조직 문화와 구조적 문제로 봐야 한다는 시각이 많다.

Wolters Kluwer 헬스 부문 SVP 겸 CTO인 알렉스 티렐(Alex Tyrrell)은  헬스케어블루(Healthcare Brew)와의 인터뷰에서 의료 종사자들이 반드시 의도적으로 규정을 위반하는 것은 아니라고 설명했다. 어떤 도구가 허가된 것인지, AI 시스템에 입력된 데이터를 테크 기업이 학습에 활용하는지 여부를 명확히 알지 못하는 경우가 많다는 것이다.

"이 도구들이 일상 속에 점점 더 깊이 자리 잡으면서, 특히 고도로 규제된 의료 현장에서도 직장과 개인 생활의 경계가 흐려지고 있습니다"라고 Tyrrell은 말했다.

문제를 더욱 복잡하게 만드는 것은 플랫폼 자체의 변화다. 거의 모든 업무용 소프트웨어가 새로운 AI 기능을 앞다퉈 탑재하고 있는데, 이것이 AI 기반인지조차 명확히 표시되지 않는 경우가 많다. "갑자기 새로운 버튼이 생기는데, 그 버튼이 AI 기반일 수 있고, 동일한 검증 절차를 거치지 않았을 수도 있습니다. 이것이 섀도우 AI의 또 다른 새로운 경로가 되고 있습니다"라고 그는 경고했다.

데이터 침해와 환자 안전, 이중 위협

섀도우 AI가 초래하는 위험은 크게 두 가지로 나뉜다. 데이터 프라이버시 침해와 환자 안전 위협이다.

데이터 측면에서 수치는 이미 심각한 경고음을 내고 있다. 2025년 IBM 보고서에 따르면 헬스케어 산업의 평균 보안 침해 비용은 740만 달러를 넘어섰으며, AI 관련 보안 사고를 경험한 조직의 97%가 적절한 AI 접근 통제 장치를 갖추고 있지 않았다. 더 나아가 섀도우 AI와 관련된 보안 사고로 데이터 침해를 겪은 조직이 전체의 20%에 달했으며, 이는 공식 승인된 AI 사용으로 인한 침해보다 7%포인트 높은 수치다. 섀도우 AI 수준이 높은 조직은 침해 비용이 20만 달러 더 높은 것으로 나타났다.

헬스케어 부문은 2025년 2024년 대비 두 배에 달하는 침해 사고를 경험했으며, 랜섬웨어 공격과 제3자 위험이 급증을 주도했다. 섀도우 AI가 이 취약한 환경에 또 하나의 공격 경로를 추가하고 있는 셈이다.

환자 안전 측면에서도 위험은 현실적이다. 대형언어모델이 '환각(hallucination)' 현상을 일으킬 경우, 부정확하지만 매우 설득력 있는 정보가 환자 기록, 진단 코딩, 치료 결정에 반영될 수 있다.  응답자의 약 4분의 1이 헬스케어 AI에서 환자 안전을 최우선 우려 사항으로 꼽았다. 헬스케어 기업 Optura의 공동창업자 겸 CEO인 Andy Fanning은 "일반 ChatGPT에 청구 파일 100개를 업로드하면, 그 데이터로 학습이 이뤄지는 겁니다"라고 잘라 말했다.

대규모 의료 시스템(직원 2만 5천명 이상) 관리자들의 경우 데이터 침해를 1~2순위 우려사항으로 꼽은 비율이 57%에 달해, 전체 평균(30%)을 훨씬 웃돌았다. 조직의 규모가 클수록 섀도우 AI의 위험을 더욱 심각하게 인식하고 있는 것이다.

2026년, '거버넌스의 해'

Wolters Kluwer의 전문가들은 2026년을 '거버넌스의 해'로 규정했다. 의료 시스템의 C레벨 임원들이 GenAI 앱을 빠르게 채택한 임상의들을 따라잡기 위해 분주히 움직이고 있다는 것이다.

McKinsey의 헬스케어 전문 파트너 Jessica Lamb은 공식 승인 도입이 확대되면서 섀도우 AI 문제가 점차 완화되고 있다고 평가했다. "현재는 대부분의 기관이 신뢰할 수 있는 기업용 대형언어모델(LLM)을 보유하고 있고, 무엇을 할 수 있고 없는지에 대한 가이드라인도 더 명확해졌습니다"라고 그는 말했다.

가장 선진적인 조직들은 'AI 안전 구역(AI safe zones)', 즉 의료진과 행정 직원이 승인된 AI 도구와 데이터셋으로 안전하게 실험할 수 있는 통제된 환경을 탐색하기 시작하고 있다.

전문가들은 AI를 차단하는 대신 가시성 프레임워크를 구축해 직원들의 AI 도구 사용 시점과 장소를 파악하고, 비정상적인 대용량 데이터 업로드를 감지하며, 노출을 최소화하는 안전한 프롬프트 기법에 대해 직원을 교육해야 한다고 권고한다.  Tyrrell은 IT 부서가 브라우저 확장 프로그램, 연동 기능, 애플리케이션 등을 정기적으로 감사하되, 특히 개인건강정보(PHI)가 노출될 수 있는 데이터 처리 도구에 집중할 것을 권고했다.

한편, Anthropic, OpenAI 등이 의료 제공자와 환자 모두를 대상으로 한 전용 헬스케어 도구를 잇달아 출시하면서 판도는 더욱 복잡해지고 있다. Tyrrell은 이것이 오히려 "현장에 엄청난 혼란을 야기할 가능성"이 있다고 경고하며, "추적해야 할 것들이 너무나 많아진다"고 말했다.

"섀도우 AI는 공격처럼 보이지 않고 생산성처럼 보이기 때문에 우리가 지금껏 직면한 가장 큰 데이터 유출 위험일 수 있습니다. 조직의 데이터가 외부 AI 플랫폼에 들어가는 순간, 그 데이터는 더 이상 여러분의 통제 아래 있지 않습니다."