오르카, 클라우드 앱 보안 플랫폼에 GPT-4 통합

에이전트리스 클라우드 보안을 표방하는 오르카 시큐리티가 자사의 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)에 마이크로소프트 애저 오픈AI GPT-4를 통합했다고 밝혔다. 올해 초 개시한 챗GPT 적용 프로그램에 따른 성과다. 

회사의 최고 혁신 책임자이자 공동 설립자인 아비 슈아는 "GPT-4를 오르카 시큐리티의 CNAPP 플랫폼에 통합함으로써 보안 실무자는 자신이 선택한 플랫폼에 대한 고품질 수정 지침을 즉시 생성할 수 있다"라고 소개했다. 

이러한 통합의 클라우드 환경에서 작업하는 데브섹옵스 팀에게도 도움이 될 수 있다. 

쿠버네티스 보안 기업 KSOC의 공동 창립자이자 최고 기술 책임자인 지미 메스타는 "클라우드 네이티브 애플리케이션을 개발할 때에는 일반적으로 도구가 식별하는 각종 문제를 해결하는 데 어려움을 겪는다. 따라서 수명 주기 초기에 가능한 한 많은 변경을 IaC 도구 또는 테라폼(Terraform)에서 수행하는 것이 이상적이다 오르카는 고객이 솔루션의 알림에 대한 조치를 취하는 데 소요되는 시간을 줄이도록 지원함으로써 이러한 현실을 해결하고자 한다"라고 평가했다.

한편 오르카는 이번 통합과 함께 일련의 새로운 기능군을 발표했다. 통합과 신기능군은 즉시 사용할 수 있다.

수정 지침에 대한 쿼리를 가능하게 하는 GPT
오르카는 오픈AI의 생성형 사전 학습 트랜스포머(GPT) 엔진에 REST(Representational State Transfer) API 기반 통합을 구현함으로써 보안 실무자가 오르카 CNAPP 플랫폼에서 각 경보에 대한 치료 지침을 생성할 수 있도록 지원한다. 

메스타는 “"오르카 제품이 생성하는 경고에 대한 해결 지침을 생성하는 데 GPT-4가 사용된다. 이러한 수정 지침은 권장 사항의 성격에 따라 다른 곳에서 사용될 수 있다. 예를 들어, 코드형 인프라(IaC) 도구 또는 애저 쿠버네티스 서비스(AKS) 또는 구글 쿠버네티스 엔진(GKE) 등의 클라우드 서비스 계정에 적용될 수 있다"라고 말했다. 

생성된 문제 해결 지침을 복사해 테라폼, 풀루미, AWS 클라우드포메이션, AWS 클라우드 개발 키트, 애저 리소스 관리자, 구글 클라우드 배포 관리자, 오픈 정책 에이전트와 같은 플랫폼에 붙여넣는 것도 가능하다. 

또한 개발자는 오르카 플랫폼에서 곧바로 챗GPT에 문제 해결에 대한 후속 질문을 할 수 있다. 메스타는 “"오르카 플랫폼의 경우 배포 후 런타임에 클라우드 구성 오류로 인한 알림을 표시한다. 이 통합은 애플리케이션 개발 라이프사이클로 거슬러 올라가 코드에서 문제를 해결할 수 있다는 점에서 유용하다. 마치 '프로덕션 환경에서 감지하고 라이프사이클 초기에 수정하는 것'과 같다"라고 메스타는 말했다. 

코드 스니펫 생성을 자동화하는 GPT-4
오르카는 지난 1월 자사 플랫폼에 GPT-3지원을 도입한 바 있다. 이후 회사는 고객의 평균 치료 시간(MTTR)이 크게 단축되었다고 주장해왔다. GPT-4 통합은 코드 스니펫 생성 기능에 더해 정확도가 개선된 모델 업그레이드와 함께 제공되므로 이러한 모멘텀을 이어갈 수 있다.

슈아는 또 “GPT-4 통합과 함께 제공되는 다른 개선 사항들 있다. 더욱 정확한 수정 응답을 생성하기 위한 신속한 최적화, 할당된 지라 티켓에 수정 지침 포함, OPA(오픈 정책 에이전트) 수정 지원, AWS, 애저, 구글 클라우드를 포함한 클라우드 공급자별 수정 방법 등이다”라고 말했다.

참고로 OPA(오픈 정책 에이전트)는 정책을 코드로 구현할 수 있는 오픈소스 범용 정책 엔진이다. 사용자가 요청을 허용할지 거부할지 평가하는 규칙으로 정책을 지정할 수 있는 레고(Rego)라는 선언형 언어를 제공한다.

또한 GPT-4 통합은 개인 정보 보호, 규정 준수, 99.9% 가동 시간 SLA 및 지역 가용성을 비롯한 마이크로소프트의 보안 및 엔터프라이즈 지원을 추가하는 의미도 지닌다. 슈아는 “"애저 오픈AI로의 전환을 통해 고객은 마이크로소프트가 제공하는 보안, 안정성 및 엔터프라이즈급 지원의 이점을 누릴 수 있다. 오르카는 이미 요청을 익명화하고 GPT에 제출하기 전에 민감한 정보를 마스킹하여 개인 정보를 보호하고 있다. 그러나 애저 오픈AI는 개인 정보 보호를 더욱 보장하고 여러 규정(HIPAA, SOC2 등)에 대한 준수를 약속한다"라고 말했다.

GPT 통합으로 인해 제기되는 데이터 보안 문제
메스타는 그러나 각종 고객 데이터를 처리하는 데 GPT를 사용하는 것과 관련된 위험성을 언급했다. 그는 "첫 번째 문제는 AI 모델과 마찬가지로 GPT는 다른 사람의 데이터를 사용하여 학습하고, 그 정보를 바탕으로 모델을 생성한다는 사실이다. 고객의 데이터를 사용하여 모델을 학습시키지 않기 때문에 모델이 임의의 참조를 기반으로 답변을 구성하는 것으로 알려져 있다. 이런 일이 발생하면 잘못된 수정 조언이 득보다 실이 더 클 수 있다"라고 말했다.

메스타가 두 번째로 우려하는 부분은 GPT 시스템에 업로드되는 데이터의 보안이다. 단 대부분의 문제는 오르카와 마이크로소프트가 해결하고 있다고 언급했다. 그는 최근 삼성전자 직원들이 기밀 정보를 챗GPT에 입력한 사건을 예로 들며 "이러한 인적 오류는 다른 시스템에서도 항상 발생할 수 있는 일이지만, 특히 GPT의 대화형 매력 때문에 더욱 문제가 된다"라고 지적했다.

그는 이어 "수정 지침에 비밀 저장소 및 소스 코드의 위치를 설명해야 하는데 누군가 실수로 기밀 정보를 입력하면 어떻게 될까? 의도는 악의적이지 않았을지 모르지만 그 행동은 상당한 피해를 줄 수 있다"라고 덧붙였다. 

실제로 여러 기업과 국가에서 개인정보 보호를 위해 GPT 기반 모델 사용에 대해 어떤 형태로든 제한을 도입하고 있다. 메스타는 "실제 위험하기에 이러한 움직임이 나타나고 있는 것이다"라고 말했다. ciokr@idg.co.kr