SLA(Service Level Agreements) 위반이나 위험한 행동을 실시간으로 경고하는 알림 기능을 통해 SLA 집행 역량을 강화할 수 있다. 그러나 생성형 AI가 서드파티 계약을 근본적으로 혁신할 수 있는 가능성에는 한계도 있다.
업무 기능을 외주화하면 CIO는 비용 절감은 물론, 경우에 따라 전문성도 확보할 수 있지만, 동시에 내부 인력의 리스크를 통제 범위 밖에 있는 외부 인력으로 전가하게 된다. SLA는 이런 리스크 전가에 대한 안전장치를 제공할 수 있지만, 기존 SLA의 측정 기준과 조건만으로는 실시간 운영 리스크나 위협을 적시에 포착하지 못하고, 보고 시점이 늦어져 상황을 놓칠 수 있다.
대표 사례로 클로락스(Clorox)가 코그니전트(Cognizant)를 상대로 제기한 최근 소송이 있다. 글로벌 생활용품 기업인 클로락스는 서비스 데스크 운영을 코그니전트에 외주했는데, 코그니전트 소속 헬프데스크 인력이 필수 인증 절차를 거치지 않고 클로락스 시스템의 비밀번호를 유출했다는 이유로 소송을 제기했다. 이로 인해 2023년 스캐터드 스파이더 조직이 주도한 보안 사고가 발생했다는 것이다.
클로락스는 헬프데스크 통화 녹취록을 코그니전트의 과실 증거로 제출했지만, 만약 이 통화 내용을 실시간으로 캡처하고 분석해 클로락스 경영진에게 경고 알림을 전달했다면 어땠을까? 문제 행동을 더 일찍 발견해 보안 사고를 막을 수 있지 않았을까?
여기서 생성형 AI는 강력한 역할을 할 수 있다. 이메일이나 채팅은 물론, 영상 기반 행위까지 포함한 다양한 커뮤니케이션 채널에서 정보를 캡처하고 계약서에 명시된 서비스 범위에서 벗어나는 이상 징후를 분석할 수 있기 때문이다. SLA 운영 방식 자체를 재정의할 수 있을 만큼 실시간에 가까운 경고를 제공할 수 있다.
미국 위스콘신과 미네소타 전역에 약 13만 명의 고객을 보유하고 있는 위스콘신 크레딧 유니언의 CIO 케빈 홀은 “이건 SLA의 개념 자체를 완전히 뒤집는 것”이라고 평가했다. 또, “단순 성과 지표를 넘어서 서비스 품질 자체를 관리할 수 있게 된다”라고 설명했다.
물론, 홀은 이런 시나리오에서 SLA 위반에 대한 제재를 집행하려면 서드파티의 강한 반발에 대비해야 한다고 경고했다. 홀은 “첫 번째 걱정은 실제 집행 문제다. SLA 위반을 주장하려면 상당한 노력이 필요하다”라며 “서드파티는 자사가 예외라는 근거를 끝까지 찾을 것”이라고 말했다. 이어 “정작 보상을 받아내려는 시점이 되면 상황은 매우 고통스럽고, 가파른 언덕을 오르는 싸움이 될 것”이라고 덧붙였다.
현실적으로 홀은 CIO가 중대한 위반 사례에만 SLA를 적용하려 할 것이라고 내다봤다. “아주 큰 사안이어야만 명확하게 문제를 제기할 수 있다”고 말했다.
미국 세인트루이스에 있는 160년 역사의 UHSP(University of Health Sciences and Pharmacy) CIO 자커리 루이스도 SLA 집행 방식의 전환에 기대를 나타냈다. 루이스는 “이 접근법을 활용하면 내부 위협을 아주 잘 통제할 수 있다”라며, “내부자가 위협일 가능성이 있을 때 시스템이 즉시 탐지해 경고할 수 있다. 보안을 무시하거나 고객을 험담하는 발언이 나올 경우에도 실시간으로 알림을 받을 수 있다”라고 설명했다.
법률 사무소 그레거 윈 아니의 기술 전문 변호사 카메론 파월은 법률 및 규정 준수 리스크를 줄이는 데에도 이 방식이 효과적일 수 있다고 봤다. 파월은 “줌 회의 내용을 스캔해 위험 요소를 탐지할 수 있다”라며 “‘이건 이메일로 남기지 말자’ 같은 발언을 시스템이 찾아낼 수 있다”고 말했다. 이어 “서드파티가 소송을 제기하거나 내부 고발자가 나오기 전에 이런 문제를 실시간으로 발견하지 않을 이유가 없다”라고 강조했다.
마찰과 추가 리스크
생성형 AI를 SLA 집행에 활용하면 강력한 효과를 낼 수 있지만, UHSP의 루이스는 도입 과정에서 상당한 마찰이 발생할 가능성이 높다고 지적했다. 루이스는 “모든 데이터를 모니터링하는 첫 번째 AI를 다시 감시할 두 번째 AI가 필요한 상황이 올지도 모른다”라며 “그렇게 되면 생성형 AI 자체가 또 다른 서드파티 리스크가 된다”라고 경고했다. 이어 “서드파티 업체가 고객으로부터 스스로를 격리하는 방식으로 이런 모니터링을 회피하려 하지는 않을까?”라고 의문을 제기했다.
루이스는 이런 방식이 얼마나 지속 가능할지도 의문이라며, “이걸 계속 영원히 해야 한다면 어떻게 될까?”라고 반문했다.
위스콘신 크레딧 유니언의 케빈 홀은 콜센터 운영 측면에서 생성형 AI의 장점에 주목했다. 고객이 콜센터에 불만을 제기하고, 해당 내용을 정확히 기록해달라고 요청할 때가 있는데, 실제로는 제대로 반영되지 않는 경우가 많다는 것이다. 홀은 “콜센터에 있을 때 고객이 나에 대해 불만을 제기하면, 그 사실을 내가 보고할 확률은 낮다”라며, “이런 시스템이 그런 문제를 바꿔놓을 수 있다”고 설명했다.
하지만 이런 모니터링 방식은 의료 및 금융 기관에서 개인정보 보호와 규제 준수 문제를 일으킬 수 있다. 홀은 이 문제를 해결하려면 실시간 전사된 데이터에서 건강정보나 결제 정보 등 보호 대상 정보를 삭제하는 것이 첫 번째 단계라고 강조했다.
홀은 “규정 준수 측면에서는 악몽에 가깝다. 우리가 직접 데이터를 정제해야 한다”라며, “생성형 AI 시스템이 제대로 이 작업을 하고 있는지 어떻게 신뢰하고 검증할 수 있을까? 결국 끊임없이 감사를 해야 할지도 모른다”고 지적했다. 이어 “민감한 정보가 샐 수 있는 구멍이 워낙 많기 때문에, 이사회에 제안하기가 쉽지 않다”며 “이사회는 ‘이런 리스크를 감수해서 얻는 보상이 뭐냐’고 물을 것”이라고 설명했다.
하지만 홀은 이 접근법이 서드파티 규정 준수를 크게 강화할 수 있다는 점을 들어 이사회 설득이 가능하다고 봤다. 홀은 “전략과 조직 문화 측면에서 이사회에 설득할 수 있다면 가능성이 있다”라고 강조했다.
반면에 법률 전문가 카메론 파월과 다른 관계자들은 생성형 AI가 결코 완벽하지 않다는 점을 강조했다. 문제를 감지하는 것과 그것을 근거로 실제 조치를 취할 수 있을 만큼 신뢰할 수 있는 증거를 확보하는 것은 전혀 다르다는 것이다. 파월은 “생성형 AI는 공감을 이해하지 못한다”라며, “고객을 진정시키거나 유대감을 만들기 위해 반드시 필요한 말을 하는 상황도 AI는 오해할 수 있다”라고 지적했다.
또 다른 활용 사례로 파월은 운송기사가 물건을 배달하는 전 과정을 영상으로 기록해 분석하는 방식도 제안했다. “택배가 시간에 맞춰 배달됐는지, 배달 이후 운송기사가 무언가를 훔치지는 않았는지 등을 확인할 수 있다”라고 설명했다. 파월은 “이렇게 되면 SLA는 서비스 수준 협약에서 감시 수준 협약으로 변질될 수 있다”라고 경고했다.
프라이버시 문제의 향방
기술 분야 법률 문제를 전문으로 다뤄온 전 연방 검사 마크 래시는 기업이 이런 만연한 데이터 소스의 이점을 어떻게 활용할지 고민해야 한다고 말했다. 래시는 현재 미국 조지워싱턴대학교 로스쿨에서 법학 강사로, 데이터 프라이버시 및 보안 규제 자문회사 유닛 221B에서 법률 고문으로 활동 중이다. 래시는 “불과 몇 년 전만 해도 불가능했던 일이 지금은 가능해졌다. 예전에는 몇몇 샘플만 점검하는 수준에 그쳤다”라고 설명했다. 이어 “하지만 가능하다고 해서 합리적인 건 아니다. 할 수 있는 일과 실제로 해도 되는 일은 전혀 다르다”라고 강조했다.
법률 전문가들은 법체계 역시 생성형 AI에 맞춰 천천히 진화하고 있다고 분석했다. 따라서 법원이 이런 분석을 어느 수준까지 허용할지는 아직 불분명하다는 것이다. 래시는 2011년 미국 연방대법원의 ‘소렐(Sorrell)’ 판결을 예로 들었다. 당시 재판부는 의사가 어느 정도의 프라이버시를 기대할 수 있는지를 검토했고, 그 범위는 매우 좁다고 판결했다.
렉시스넥시스 리스크 솔루션 그룹의 CISO 플라비오 빌라누스트레는 또 다른 리스크를 지적했다. 빌라누스트레는 “임원은 전사본을 점검하되, 녹음된 실제 음성 데이터에 훨씬 더 신뢰를 둬야 한다”고 조언했다. 생성형 AI가 전사 과정에서 허구를 만들어내는 환각 현상이 자주 발생하기 때문이다.
물론 생성형 AI는 실제로 존재하지 않는 음성 파일도 만들 수 있다. 빌라누스트레는 아직까지 영상이나 음성을 생성형 AI가 처리했을 경우 그 신뢰성을 확보할 방법이 없다고 지적했다. 이에 따라 CIO는 AI가 조작할 수 없는 변조 불가능한 원본 음성 백업을 반드시 별도로 확보해야 한다고 강조했다. 빌라누스트레는 “복잡한 사건일수록 생성형 AI는 오히려 잘못된 판단을 유도할 수 있다”고 덧붙였다.
보건의료 분야에 대해서는 법률 전문가 파월이 우려를 제기했다. 파월은 “모든 녹음은 새로운 PHI(보호 건강 정보)를 생성한다”며 “그 녹음을 누가 접근할 수 있는가? HIPAA 규정에 따라 완전히 새로운 기록 관리 체계를 만들어야 할 수도 있다”고 설명했다.
이와 유사한 문제는 금융, 에너지, 운송, 제약 등 고도로 규제되는 모든 산업에 공통적으로 발생할 수 있다.
실시간 경고를 위한 음성이나 영상 데이터가 분석 대상이 될 경우, 정부 기관이나 수사 당국이 이 데이터에 접근을 요구할 수 있을까? 특정 인물의 음성을 탐지해 이를 당국에 자동으로 알리는 시스템 요청이 들어올 수도 있을까?
SLA를 넘어
일루미넥스의 CEO 게리 롱사인은 프라이버시 우려가 과도하다고 지적하며, “고객도 전화를 녹음하고 있기 때문에 이미 배는 떠난 셈”이라고 평가했다.
더 나아가 생성형 AI의 서드파티 SLA 관리 역량은 기업 내부 인력 관리에도 활용될 수 있다. 실제로 메이시스의 한 회계담당자가 3년 동안 1억 5,400만 달러를 숨긴 사건으로 인해 기업은 실적 발표를 연기하고 재무제표를 정정해야 했다.
IDC의 사장 크로포트 델 프레테는 “기존 회계 감사 시스템을 회피했던 이 사례도 생성형 AI 기반 시스템이라면 전혀 다른 방식으로 감사를 수행했을 것이고, 사건을 즉시 포착했을 것”이라고 설명했다.
인사부서(HR) 역시 이런 시스템을 통해 퇴사 징후가 있는 직원을 조기에 파악할 수도 있다. 파월은 “내부 채팅 데이터를 활용하면 누가 퇴사할 가능성이 있는지 파악할 수 있다”라며, “사람은 실제로 퇴사하기 한참 전부터 이미 심리적으로 이탈을 시작하고, 언어와 어투에서 미묘한 변화가 나타난다”고 말했다. 이어 “이런 변화를 충분히 빠르게 감지해 대응할 수 있는 첫 번째 시스템이 생성형 AI”라고 강조했다.
dl-ciokorea@foundryco.com
