기업 환경의 디지털 부문은 항상 효율성과 보안 사이의 전쟁터였습니다. 여러 해 동안 이는 '섀도우 IT' 형태로 나타났습니다. 즉, 직원들이 승인되지 않은 노트북이나 클라우드 서비스를 사용하여 작업을 더 빨리 완료하는 방식입니다. 보안팀에서는 이러한 불량 시스템을 추적하고 방화벽과 정책을 설정하여 혼란에 질서를 부여하는 데 능숙해졌습니다.
하지만 새로운 프런티어는 다르며, 아마도 훨씬 더 미묘하고 위험합니다.
어느 엔지니어팀에서 획기적인 신제품 개발에 몰두하고 있다고 상상해 보세요. 마감기한이 촉박한 상황에서, 워크플로우를 최적화하려는 한 후배 엔지니어가 독점 알고리즘의 일부를 인기 있는 공개 AI 챗봇에 붙여넣어 더 나은 성능을 위해 코드를 리팩토링하도록 요청합니다. 해당 도구에서 수정된 코드가 신속하게 반환되면, 그 엔지니어는 결과에 만족하며 코드를 체크인합니다. 이 팀에서 인식하지 못하는 것은 그들의 쿼리와 코드 스니펫이 이제 AI 서비스의 학습 데이터의 일부가 되었거나, 공급자에 의해 기록되고 저장되었을 수 있다는 점입니다. 아무도 눈치채지 못하는 사이에 회사의 중요한 지식 재산이 조직의 통제에서 벗어나 조용하고 모니터링되지 않은 데이터 유출이 발생합니다.
이것은 가상 시나리오가 아닙니다. 새로운 현실입니다. 놀랍도록 강력한 AI 도구의 힘을 얻은 직원들은 이제 기밀 문서 요약부터 마케팅 카피 작성, 심지어 코드 작성까지 모든 작업에 AI를 활용하고 있습니다. 이러한 상호작용에서 회사 외부로 나가는 데이터는 기존 보안 도구로는 확인할 수 없는 경우가 많습니다. 이러한 도구가 대규모 언어 모델과 상호작용하는 브라우저 탭의 미묘한 차이를 이해하도록 설계되지 않았기 때문입니다. 이 조용하고 관리되지 않는 사용은 '섀도우 AI'로, 이는 새로운 고위험 보안 사각지대를 나타냅니다.
이를 해결하기 위해, 우리는 이 새로운 유형의 애플리케이션에 대한 가시성을 제공하고 보안팀에서 필요한 제어를 할 수 있도록 하면서도 이러한 도구의 가치를 높이는 혁신을 방해하지 않는 새로운 접근 방식이 필요합니다.
바로 여기에서 Cloudflare 섀도우 IT 보고서가 필요합니다. 이는 차단해야 할 위협의 목록이 아니라, 위기가 되기 전에 문제를 이해할 수 있도록 설계된 가시성 및 분석 도구입니다. Cloudflare One 고객은 추측에 의존하거나 승인되지 않은 모든 애플리케이션을 수동으로 추적하는 대신, 트래픽에서 얻은 인사이트를 통해 조직의 애플리케이션 사용을 명확하고 데이터 기반으로 파악할 수 있습니다.
이 보고서는 애플리케이션 활동에 대한 상세하고 범주화된 보기를 제공하며, AI 활동으로 쉽게 범위를 좁힐 수 있습니다. 저희는 네트워크와 위협 인텔리전스 기능을 활용하여 AI 서비스를 식별하고 분류했으며, ChatGPT와 같은 범용 모델, GitHub Copilot과 같은 코드 생성 어시스턴트, 그리고 마케팅, 데이터 분석 또는 기타 콘텐츠 제작에 사용되는 Leonardo.ai와 같은 특수 도구를 식별했습니다. 이러한 세분화된 보기를 통해 보안팀에서는 직원이 AI 애플리케이션을 사용하고 있는지 뿐만 아니라 어떤 AI 애플리케이션인지, 그리고 어떤 사용자가 그 애플리케이션에 접근하고 있는지 확인할 수 있습니다.
눈썰미가 좋은 사용자라면 한동안 저희가 섀도우 IT 기능을 이용했다는 것을 눈치챘을 텐데요, 무엇이 달라졌을까요? Cloudflare의 안전한 웹 게이트웨이(SWG)인 Cloudflare Gateway가 이러한 데이터 중 일부를 한동안 기록해 왔지만, 사용자들은 조직의 애플리케이션 사용에 대한 심층적인 인사이트와 보고를 원했습니다. Cloudflare Gateway는 가장 대규모인 사용자의 앱 사용 데이터를 매일 수억 행 처리하며, 이 규모로 인해 더 긴 기간에 대한 쿼리에 문제가 발생했습니다. 또한 원래 구현에는 AI 애플리케이션 사용을 적절히 조사할 수 있는 필터링 및 맞춤화 기능이 부족했습니다. 저희는 이 정보를 고객들이 좋아한다는 것을 알고 있었지만, 그 정보를 그들에게 충분히 잘 보여주지 못하고 있었습니다.
이 문제를 해결하기 위해 여러 팀의 협력이 필요했고, 분석 및 보고 엔지니어들이 전면적인 개편을 수행해야 했습니다. 최근 2025년 7월 블로그 게시물에서 당사의 작업을 자세히 설명한 것을 보셨을 것입니다. 이 게시물에서는 분석 플랫폼을 지원하기 위해 TimescaleDB를 도입하여 분석의 잠재력을 최대한 활용하고 장기 데이터를 집계 및 압축하여 쿼리 성능을 크게 개선하는 방법을 설명합니다. 이를 통해 규모가 큰 고객이 장기간 데이터를 쿼리할 수 있도록 함으로써 초기에 직면했던 문제가 해결되었습니다. 저희 크롤러는 Gateway에서 원본 HTTP 트래픽 데이터를 수집하여 Timescale 데이터베이스에 저장합니다.
데이터가 데이터베이스에 저장되면, 저희는 이 기능의 분석을 지원하기 위해 섀도우 IT 및 AI 사용 사례에 맞춰 데이터베이스에 특정한 물리적 보기를 구축했습니다. 저희가 구축한 기존 HTTP 분석은 계정의 HTTP 요청을 중심으로 하지만, 이러한 특정 보기는 애플리케이션과 관련된 정보를 중심으로 합니다. 예를 들어, '내 사용자 중 누가 승인되지 않은 애플리케이션에 접근하고 있나요? 그들은 대역폭을 얼마나 소모하고 있나요? 예상치 못한 지리적 위치에 있는 최종 사용자가 검토되지 않은 애플리케이션과 상호 작용하고 있나요? 어떤 장치에서 가장 많은 대역폭이 사용되고 있나요?'
지난 1년 동안, 팀에서는 저희가 제공하는 분석을 위한 설정된 프레임워크를 정의했습니다. 저희 시계열 그래프와 상위 N개 그래프는 모두 기간별로 필터링이 가능하며, 관련 데이터 포인트별로 표시되므로 사용자는 특정 데이터 포인트까지 자세히 살펴보고 기업 트래픽에 대한 세부 정보를 확인할 수 있습니다. 저희는 보유한 데이터를 검토하고 AI 애플리케이션이 고객에게 가시성 문제를 어떻게 야기하는지 조사하여 섀도우 IT를 점검했습니다. 그런 다음 기존 프레임워크를 활용하여 섀도우 IT 대시보드를 구축했습니다. 그로 인해 고객이 필요로 하는 애플리케이션 수준의 가시성을 제공할 수 있었습니다.
시스템의 핵심은 Cloudflare Gateway로, 사용자의 위치와 관계없이 조직의 모든 인터넷 트래픽을 위한 인라인 필터이자 프록시입니다. 직원이 AI 애플리케이션에 접근하려고 시도할 때, 그 직원의 트래픽은 Cloudflare의 전역 네트워크를 통해 흐릅니다. Cloudflare에서는 호스트 이름을 포함한 트래픽을 검사하고 트래픽을 애플리케이션 정의에 매핑할 수 있습니다. TLS 검사는 Gateway 고객에게는 선택 사항이지만, ShadowIT 분석에는 필수입니다.
상호 작용은 기록되어 사용자 ID, 장치 상태, 소비된 대역폭, 지리적 위치와 연결됩니다. 이러한 풍부한 컨텍스트는 누가, 언제, 어디서, 어떤 AI 도구를 사용하는지 이해하는 데 매우 중요합니다.
이렇게 세분화된 모든 데이터는 Cloudflare One 대시보드 내 섀도우 IT 보고서에 제시됩니다. AI 애플리케이션을 간단히 필터링하여 다음을 수행할 수 있습니다.
개괄적인 개요: 조직의 AI 도입 현황을 즉시 파악합니다. 사용 중인 주요 AI 애플리케이션, 전반적인 사용 동향, 처리되는 데이터 양을 확인합니다. 이는 보안 및 거버넌스 노력을 식별하고 목표로 삼는 데 도움이 됩니다.
세분화된 드릴다운: 더 자세한 정보가 필요하신가요? AI 애플리케이션을 클릭하면 해당 애플리케이션에 액세스하는 특정 사용자 또는 그룹, 사용 빈도, 위치, 전송되는 데이터 양을 확인할 수 있습니다. 이 세부 정보는 회사 내에서 AI를 사용하는 팀을 정확히 파악하는 데 도움이 되며, 해당 애플리케이션으로 얼마나 많은 데이터가 유입되는지 파악하는 데에도 도움이 됩니다.
ShadowIT 분석 대시보드
저희는 모든 AI 도구가 동일하게 만들어지지 않았으며, 귀 조직에서 느끼는 편안함의 수준은 다양할 수 있음을 이해합니다. 섀도우 AI 보고서에는 애플리케이션 승인 상태에 대한 유연한 프레임워크가 도입되어 감지된 각 AI 애플리케이션을 공식적으로 범주화할 수 있습니다.
승인됨: 이들은 내부 보안 검사를 통과하고 정책을 준수하며, 사용이 공식적으로 승인된 AI 애플리케이션입니다.
미승인: 이들은 적신호 애플리케이션입니다. 아마도 이들 애플리케이션은 데이터 개인정보 처리방침에 문제가 있거나, 취약점의 이력이 있거나, 단순히 귀사의 비즈니스 목표와 맞지 않을 수 있습니다.
검토 중: 검토 중: 불분명한 영역 애플리케이션이나 새로 발견된 도구의 경우, 이 상태를 통해 팀에서 철저한 실사를 진행하는 동시에 사용 현황을 확인할 수 있습니다. 이 상태에서는 즉각적인 혼란 없이 정보에 입각한 결정을 내릴 시간을 벌 수 있습니다.
대시보드에서 애플리케이션 상태를 검토하고 표시합니다
이러한 승인 상태는 Cloudflare Gateway 정책과 통합될 때 실현됩니다. 이를 통해 Cloudflare 네트워크의 에지에서 AI 결정이 자동으로 시행되므로 모든 직원이 어디서든 일관된 보안을 보장할 수 있습니다.
결정을 인라인 보호로 변환하는 방법은 다음과 같습니다.
미승인 AI 차단: 가장 간단하고 직접적인 조치. '미승인'으로 표시된 모든 AI 애플리케이션에 대해 모든 트래픽을 차단하는 Gateway HTTP 정책을 생성합니다. 따라서 위험한 데이터 유출이 즉시 차단됩니다.
'검토 중' 노출 제한: 아직 평가 중인 애플리케이션에 대해 잠재적 위험에 대해 하드 차단이 아닌 소프트 제한을 원할 수 있습니다.
데이터 손실 방지(DLP): Cloudflare DLP는 트래픽에서 중요한 데이터의 지표(예: 신용 카드 번호, PII, 내부 프로젝트 이름, 소스 코드)를 검사 및 분석한 다음 해당 전송을 차단할 수 있습니다. '검토 중' AI 애플리케이션에 DLP를 적용하면 이 독점 데이터가 포함된 AI 프롬프트가 차단될 수 있으며, 사용자에게 해당 프롬프트가 차단된 이유를 알릴 수 있습니다. 이렇게 했다면 앞서 언급한 그 불쌍한 후배 엔지니어가 선의의 실수를 피할 수 있었을 것입니다.
특정 작업 제한: 파일 업로드만 차단하여 기본적인 상호 작용은 허용하고 대량 데이터 송신은 방지합니다.
위험한 세션 격리: Cloudflare의 브라우저 격리를 통해 '검토 중' 애플리케이션의 트래픽을 라우팅합니다. 브라우저 격리를 통해 안전한 원격 컨테이너에서 브라우저 세션을 실행하여 모든 데이터 상호작용을 기업 네트워크에서 격리합니다. 이를 통해 파일 업로드, 클립보드 작업을 제어하고 키보드 입력을 줄이는 등의 작업을 수행할 수 있어, 애플리케이션을 검토하는 동안 상호 작용을 줄일 수 있습니다.
'승인된' 사용 감사: 신뢰할 수 있는 AI 도구의 경우에도 규정 준수 감사를 위해 모든 상호 작용을 기록하거나 특정 데이터 처리 규칙을 적용하여 내부 정책을 지속적으로 준수할 수 있도록 할 수 있습니다.
이 워크플로우 덕분에 팀에서는 조직의 AI 사용을 지속해서 감사하고, 정책을 쉽게 업데이트하여 보안 위험을 빠르고 쉽게 줄일 수 있습니다.
Cloudflare Log Explorer를 사용한 포렌식
섀도우 AI 보고서는 훌륭한 인사이트를 제공하지만, 보안팀에서는 더 심층적인 포렌식 조사를 수행해야 하는 경우가 많습니다. 이러한 고급 시나리오를 위해 Cloudflare Log Explorer가 제공됩니다.
Log Explorer를 사용하면 Cloudflare 대시보드 또는 API를 통해 Cloudflare 로그를 직접 저장하고 쿼리할 수 있으므로 조사할 때마다 대량의 로그를 타사 SIEM에 보낼 필요가 없습니다. Log Explorer를 통해 전체 컨텍스트를 포함한 샘플링되지 않은 원시 로그 데이터가 제공되므로 신속하고 세부적인 분석을 할 수 있습니다.
Log Explorer 고객은 Cloudflare Analytics에서 미리 입력된 SQL 쿼리를 사용하여 섀도우 AI 로그를 자세히 살펴볼 수 있으므로 AI 사용을 더 심층적으로 조사할 수 있습니다.
Log Search의 SQL 쿼리 인터페이스
Log Explorer를 사용하여 Shadow AI를 조사하는 방법:
특정 사용자 활동 추적: 섀도우 AI 보고서에서 사용자가 '검토 중' 또는 '미승인' AI 앱에서 높은 활동을 보이면, Log Explorer로 이동하여 사용자, 애플리케이션 카테고리, 특정 AI 서비스별로 쿼리할 수 있습니다.
데이터 유출 시도 분석: DLP 정책을 구성한 경우 AI 애플리케이션 범주와 함께 DLP와 일치하는 항목을 검색할 수 있습니다. 이 기능은 중요한 데이터를 AI 애플리케이션에 업로드하려는 시도를 식별하고, 어떤 데이터가 전송되고 있었는지를 정확히 파악하는 데 도움이 됩니다.
비정상적인 AI 사용량 식별: 섀도우 AI 보고서에서 특정 AI 애플리케이션의 사용량이 급증한 것이 표시될 수 있습니다. Log Explorer에서 특정 시간 범위에 대해 애플리케이션 상태(검토 중 또는 미승인)별로 필터링할 수 있습니다. 그런 다음 단일 소스 IP 주소에서 오는 많은 요청 수나 예기치 않은 지리적 출처와 같은 비정상적인 패턴을 찾아보세요. 이는 손상된 계정이나 정책 회피 시도를 나타낼 수 있습니다.
조직의 AI 가시성이 문제라면 Cloudflare One 고객을 대상으로 보다 광범위한 섀도우 IT 검색 기능의 일부로 섀도우 AI 보고서를 지금 바로 제공해 드립니다. 대시보드에 로그인하여 지금 바로 가시성을 회복하고 AI 거버넌스 전략 수립을 시작하세요.
AI 애플리케이션에 대한 액세스를 보호하는 방법을 최신화할 준비가 되셨나요? Cloudflare One 보안 전문가에게 가시성과 제어 능력을 회복하는 방법에 대해 상담을 요청하세요.
또는 아직 누군가와 대화할 준비가 되지 않은 경우, 최대 50명의 사용자에게 Cloudflare One의 거의 모든 기능이 무료로 제공됩니다. 대부분의 대규모 Enterprise 고객은 Free 요금제에서 제품 자체를 먼저 체험합니다. 여기에서 시작할 수 있습니다.
Cloudflare에서 섀도우 AI 전반에 걸쳐 가시성을 개선하는 방법을 구체화하는 데 피드백이 있거나, 도움을 주고 싶으시면 사용자 조사 프로그램에 참여해 주세요.