데이터 프라이버시 기업 DataGrail이 6월 1일 발표한 '2026 Privacy and AI Trends Report'에 따르면, AI 기능을 내세운 비즈니스 소프트웨어 벤더의 약 3분의 2가 사용자 데이터를 처리하는 제3자 AI 서브프로세서를 공개하지 않는 것으로 나타났다.
이 보고서는 2,400개 벤더를 분석한 결과, 63.6%가 법적 문서에서 서브프로세서를 전혀 명시하지 않았다고 밝혔다.
'섀도 AI': 데이터가 보이지 않는 사슬을 따라 흐른다
서브프로세서는 벤더의 도구가 의존하는 제3자 AI 모델이다. 기업이 A사의 소프트웨어를 구매해도 데이터는 B사의 대규모 언어 모델로 전달되고, 다시 C사로 이어질 수 있다. 계약은 A사와만 체결했을 뿐, 이후의 흐름은 전혀 알 수 없다.
DataGrail은 이 현상을 '섀도 AI'라고 부른다. 문제가 발생해도 기업은 누구에게 책임을 물어야 할지 알 수 없다.
또 다른 발견: AI 시스템의 32.8%가 최소 하나의 고위험 작업을 수행한다. 서브프로세서의 불투명성과 결합해 기업은 맹목적인 상태에 놓여 있다.
규제는 급증하는데 컴플라이언스 팀은 축소
보고서는 모순된 상황을 그린다. 2025년 미국 주(州)에서 145개의 AI 관련 법안이 통과되었고, 1,000개 이상의 법안이 계류 중이다. 트래킹 픽셀을 둘러싼 집단 소송은 연간 1,400건을 넘었다.
그러나 프라이버시 컴플라이언스 팀은 오히려 삭감되고 있다. 일부 팀은 최대 33%까지 인력이 줄었다. 규칙은 늘고, 벌금은 강화되고, 처리할 인력은 줄어드는 상황이다.
DataGrail의 CEO 다니엘 바버는 2026년의 프라이버시 현황을 이렇게 요약했다:
"2026년 데이터 프라이버시를 한마디로 표현하자면 'more'입니다. 더 많은 규제, 더 많은 위험, 더 많은 압박입니다."
기업의 42%, 프라이버시 우려로 AI 프로젝트 중단
보고서는 또한 2025년 기업의 42%가 프라이버시 우려를 직접적인 이유로 AI 프로젝트를 중단했다고 밝혔다.
2년 동안 AI를 모든 업무에 밀어 넣었지만, 많은 기업이 데이터 흐름을 추적할 수 없고, 서브프로세서를 식별할 수 없으며, 점점 엄격해지는 규제를 따라잡을 수 없다는 사실을 깨달았다. 거의 절반이 프로젝트를 포기했다.
| 주요 수치 | 값 |
|---|---|
| AI 서브프로세서 미공개 벤더 | 63.6% |
| 고위험 작업을 수행하는 AI 시스템 | 32.8% |
| 2025년 프라이버시 우려로 중단된 AI 프로젝트 | 42% |
| 2025년 통과된 주 AI 법안 | 145개 |
| 프라이버시 팀 인력 감축 비율 | 최대 33% |
보고서의 핵심 메시지는 AI를 피해야 한다는 것이 아니라, AI를 도입하기 전에 데이터가 어디로 가는지 파악해야 한다는 것이다. 그 사소해 보이는 부분이 큰 잠재적 부채가 되고 있다.
출처: CocoLoop; 145 AI laws passed in 2025 and privacy teams aren't catching a break (Help Net Security); DataGrail Privacy and AI Trends Report 2026 (DataGrail)