Sinaptic® AI
32개 유럽 기업에 AI 도입에 대해 물었습니다. 대부분은 스스로를 속이고 있었습니다.
스크롤하여 탐색
현장 연구

유럽의 AI 도입 실태

제약에서 핀테크, 여행에서 소매까지 다양한 산업의 32개 유럽 조직을 인터뷰했습니다. 발견한 결과는 기업 AI 준비에 대한 대부분의 가정에 도전합니다.

주요 발견

32건의 인터뷰 전반에 걸쳐 네 가지 패턴이 일관되게 나타났습니다.

0 / 32

섀도우 AI는 거의 보편적

활발한 AI 사용이 있는 조직의 87%가 비인가 AI 도구 사용을 보고했습니다.

0%87%100%
0 → Lab

준비 격차가 막대함

AI 탐색 제로부터 14명의 전담 AI 연구소까지.

제로AI 연구소 (10-14명)
0 / 32

모니터링은 후순위

32개 중 2개만이 AI 모니터링을 기반으로 갖추고 있었습니다.

2개 모니터링 30개 미실시
0 – 40%

생산성 향상은 크게 다양함

가치를 결정하는 것은 맥락이지 도구 자체가 아닙니다.

0% Legacy
~15% 평균
+40% Greenfield

요약

2025년 말부터 2026년 초 사이에 제약, 의료, 암 연구, 데이터 분석, 여행, 핀테크, 소매, 물류, 전문 서비스 분야의 32개 유럽 조직을 대상으로 심층 인터뷰를 진행했습니다.

그 결과는 일반적인 설문 데이터가 시사하는 것보다 훨씬 더 미묘한 실상을 보여줍니다. 섀도우 AI는 사실상 보편적입니다 — 엄격하게 규제되는 조직조차 막을 수 없습니다. 준비 스펙트럼은 예상보다 극적으로 넓습니다. 그리고 기업이 가장 먼저 선택하는 도구들은 기반이 아닌 부차적 요소로 일관되게 배포됩니다.

현장 인사이트

32건의 인터뷰에서 선별한 6개의 대표 사례. 스크롤하여 확인하세요.

01 / 06
PharmaNordics

북유럽 제약 협회

수백 개의 회원사를 대표하는 전통적인 산업 단체입니다. 어떤 형태로든 생성형 AI 도구를 아직 탐색하지 않았습니다. AI 여정의 절대적 제로 지점에 있는 조직의 거대한 세그먼트를 대표합니다.

AI 여정의 절대적 제로 지점에 있는 침묵하는 다수.

02 / 06
연구프랑스

프랑스 암 연구소

3단계 기밀 분류 체계(C1/C2/C3)를 사용합니다. 민감한 연구 데이터에 로컬 AI 인스턴스를 운영합니다. AI 특화 DLP를 "잘못된 우려"로 간주하며 — 기술적 통제보다 사용자 책임과 교육이 더 중요하다고 봅니다.

기술적 통제보다 사용자 책임을 중시 — 그러나 인간 행동에는 사각지대가 있습니다.

03 / 06
Analytics중부 유럽

중부 유럽 데이터 분석 기업

ChatGPT, Cursor, Claude Code를 개발에 적극 활용합니다. 코드 하위 집합과 메타데이터를 LLM과 공유하지만 고객 데이터는 절대 공유하지 않습니다. 내부 AI 사용 정책이 있지만 상당한 시행 격차를 인정합니다.

규칙은 문서상에 존재합니다 — 아무도 어떤 데이터가 외부 AI에 도달하는지 모릅니다.

04 / 06
여행범유럽

대형 유럽 여행 대기업

200억 유로 이상의 매출을 가진 기업으로, 에이전트 기반 인터넷 애플리케이션을 탐구하는 10~14명의 전담 AI 연구소를 보유하고 있습니다. GRC나 AI 모니터링이 마련되어 있지 않습니다. 팀은 검증 없이 AI 생성 결과물을 맹목적으로 신뢰합니다.

AI 결과물에 대한 맹목적 신뢰. AI 검색으로 인한 SEO 하락. 고급 도입자조차 거버넌스가 부재.

05 / 06
FintechEU 규제

EU 규제 핀테크 플랫폼

엄격한 MDM 보안 정책과 Chrome용 DLP 브라우저 플러그인. 전용 LLM 보안 보호를 배포했습니다. 공식 컴플라이언스 요건을 갖춘 EU 금융 규제 하에서 운영됩니다.

직원들이 Chrome이 아닌 브라우저를 통해 DLP를 우회합니다. 가장 엄격한 시행 하에서도 섀도우 AI가 지속됩니다.

06 / 06
소매동유럽

동유럽 소매 홀딩

자체 AI 모델에서 외부 LLM API로 전환했습니다. 보안보다 개발 속도를 우선시했습니다. 엔지니어링에서 모니터링이나 가시성 없이 대규모 섀도우 AI를 사용합니다.

레거시 팀: 0% 향상. Greenfield: +40%. 맥락이 ROI를 결정합니다.

관찰된 패턴

산업, 규모, 지역을 관통하는 주제.

차단은 실패합니다. 모니터링은 부재합니다. 중간 지대는 비어 있습니다.

조직은 AI를 완전히 차단하려고 시도하거나(그리고 실패하거나) 가시성 없이 자유롭게 허용합니다. 합리적인 중간 지점 — AI를 허용하되 어떤 데이터가 어디로 흘러가는지 모니터링하는 것 — 을 차지하는 조직은 거의 없습니다.

시행 없는 정책은 거짓된 안전감을 만듭니다.

여러 조직이 AI 사용 정책을 작성했습니다. 그 정책이 일관되게 준수되고 있음을 확인할 수 있는 조직은 없었습니다. 모니터링 없는 서면 정책은 연극입니다.

정책 보유
~60%
검증 가능
0%

AI 성숙도는 AI 거버넌스와 상관관계가 없습니다.

여행 대기업은 전담 AI 연구소를 보유하고 있지만 — GRC 프레임워크도 모니터링도 없습니다. 기술적 정교함과 거버넌스 성숙도는 완전히 별개의 트랙에 있습니다.

"도구보다 교육" 논거에는 한계가 있습니다.

사용자 책임은 중요하지만 — 완벽한 인간 행동을 전제합니다. 명확한 정책을 가진 훈련된 직원도 도구가 마찰을 만들 때 통제를 우회합니다.

AI는 이미 운영이 아닌 매출을 파괴하고 있습니다.

AI 기반 검색 엔진이 외부 비즈니스 모델을 적극적으로 재편하고 있습니다. 내부 거버넌스에만 집중하는 조직은 더 큰 전략적 그림을 놓치고 있습니다.

섀도우 AI는 워크슬롭을 만듭니다 — 그리고 아무도 그 피해를 추적하지 않습니다.

활발한 AI 사용이 있는 모든 조직에서, 섀도우 AI는 일관되게 워크슬롭으로 이어집니다 — 작업을 직접 수행하는 대신 AI에 외주하고 검증 없이 그 결과물을 사용하는 관행입니다. 대부분의 경우 이는 환각으로 인한 잘못된 결과 또는 원래 작업보다 더 많은 자원을 낭비하는 재작업으로 이어집니다. 여러 사례에서 환각된 AI 보고서가 아무도 데이터를 의문시하지 않은 채 C-레벨 이사회 프레젠테이션에 도달했습니다. 피해는 실재하지만 보이지 않습니다: 인터뷰한 어떤 조직도 검증되지 않은 AI 결과물로 인한 손실이나 피해를 추적하지 않습니다. 사고 보고 없음, 품질 감사 추적 없음, 피드백 루프 없음. 위험은 조용히 축적됩니다.

아무도 AI의 환경 발자국을 생각하지 않습니다 — 하지만 모두가 원합니다.

인터뷰한 어떤 조직도 AI 사용의 탄소, 물 또는 에너지 발자국을 적극적으로 추적하지 않았습니다. 그러나 물어보면 응답자의 100%가 그러한 기능이 유용할 것이라고 답했습니다. 우선순위가 아니며 예산도 없지만 — 관심은 보편적입니다. 기존 도구가 그것을 쉽게 만들지 않기 때문에 격차가 존재합니다. 이 인사이트는 환경 영향 추적을 Sinaptic® DROID+에 내장하기로 한 결정에 직접적으로 영향을 미쳤습니다 — 프리미엄 추가 기능이 아닌 기본 내장 기능으로.

격차 해소

우리가 대화한 모든 조직이 같은 구조적 격차를 확인했습니다: AI 사용은 있지만 AI 가시성은 없습니다. 정책은 존재하지만 컴플라이언스를 검증할 수 있는 사람은 없습니다. 섀도우 AI는 환각된 결과물을 생산하며 이것이 확인 없이 의사결정권자에게 도달합니다. 환경 비용은 보이지 않게 축적됩니다. 그리고 AI 역량에서 가장 앞선 조직이 종종 거버넌스에서는 가장 뒤처져 있습니다.

해결책은 더 많은 정책, 더 엄격한 차단, 또는 더 나은 교육 단독이 아닙니다. 각각은 증상에 대응할 뿐입니다. 근본 원인은 관찰 레이어의 부재 — AI 활동을 거버넌스하기 전에 먼저 가시화하는 인프라입니다.

오늘날 시장이 제공하는 것

여러 접근 방식이 존재하며, 각각 트레이드오프가 있습니다:

엔터프라이즈 DLP 벤더 (Netskope, Zscaler, Forcepoint)

강력한 네트워크 수준 제어이지만 AI를 단순한 또 다른 SaaS 앱으로 취급합니다. 프롬프트 내용 이해 없음, 인텐트 분석 없음, AI 특화 거버넌스 없음. 데이터 손실 방지용으로 설계되었으며 AI 거버넌스용이 아닙니다.

AI 네이티브 보안 스타트업 (Prompt Security, Lakera, Robust Intelligence)

프롬프트 인젝션과 출력 안전에 초점을 맞추지만 일반적으로 API 레이어만 커버합니다. 브라우저의 섀도우 AI를 다루지 않으며, 조직적 가시성을 제공하지 않고, GRC 통합이 제한적입니다.

내부 거버넌스 프레임워크 (수동 정책, 교육 프로그램)

필요하지만 불충분합니다. 우리 연구는 서면 정책을 가진 모든 조직에서 검증된 컴플라이언스가 0%임을 보여줍니다. 교육은 도움이 되지만 섀도우 AI를 유지하는 마찰 기반 우회를 방지할 수 없습니다.

규제 전에 관찰을

우리가 관찰한 격차는 제품 격차가 아닙니다 — 방법론 격차입니다. 조직이 AI 거버넌스에 실패하는 것은 도구가 부족해서가 아닙니다. 잘못된 단계에서 시작하기 때문입니다: 실제로 무슨 일이 일어나고 있는지 이해하기 전에 정책을 작성하는 것입니다.

M3 프레임워크는 이 순서 문제를 해결하기 위해 특별히 설계되었습니다. 이것은 개방형 표준이며 독점 제품이 아닙니다 — 누구나 어떤 도구로든 구현할 수 있습니다. 방법론은 간단합니다: 먼저 관찰 인프라를 마운트(Mount)하고, 실제 AI 행동을 모니터(Monitor)하여 사실에 기반한 기준선을 수립한 다음, 가정이 아닌 현실을 반영하는 증거 기반 정책으로 매니지(Manage)합니다.

조직이 어떤 도구를 선택하든 — 방법론은 적용됩니다. 이 연구에서 얻은 핵심 인사이트는 관찰이 규제에 선행해야 한다는 것입니다. 볼 수 없는 것은 거버넌스할 수 없습니다.

이러한 발견에 따라 행동할 준비가 된 조직을 위해, 관찰 레이어는 다양한 형태를 취할 수 있습니다. Browser DLP는 브라우저 수준에서 섀도우 AI를 다룹니다 — 대부분의 비인가 AI 사용이 실제로 발생하는 곳입니다. Sinaptic AI Intent Firewall®는 이미 승인된 AI 에이전트에 대한 런타임 검증을 제공합니다 — 에이전트가 수행하는 모든 행동이 실행 전에 조직 정책에 대해 검증되도록 보장합니다. M3 방법론과 함께 완전한 거버넌스 스택을 형성합니다: AI가 무엇을 하는지 보고, AI가 무엇을 의도하는지 검증하고, 증거에 기반하여 관리합니다.

관련 연구 & 참고문헌

Investigation of Artificial Intelligence in SMEs: A Systematic Review of the State of the Art and the Main Implementation Challenges
Oldemeyer, Jede & Teuteberg, 2024 · Management Review Quarterly
EU 인공지능법 — 공식 텍스트 및 시행 일정
유럽위원회, 2024
The State of AI in 2024: Gen AI Adoption Spikes and Starts to Generate Value
McKinsey & Company, 2024
Stanford HAI AI 인덱스 보고서 2024 — AI 도입 및 영향 측정
Stanford University HAI, 2024

자사의 AI 현황을 직접 확인하고 싶으신가요?

이 연구의 조직들은 모두 같은 사각지대를 가지고 있었습니다: 가시성 부재. M3 프레임워크는 수개월이 아닌 수일 만에 이를 해결합니다.

← 모든 연구 M3 프레임워크 살펴보기