이용 목적 제한 방침(acceptable use policy, AUP)에 AI 보안을 추가하지 않은 기업은 직원들이 잠재적으로 위험한 AI 기술을 마음대로 탐색하고 사용하도록 내버려두고 있는 것이다.
AI 이용 목적 제한 방침(AI AUP)은 조직 보안 프레임워크의 기본 구성 요소로, 위험을 완화하고 AI 기술을 책임감 있게 사용하는 데 유용하다.
일반적으로 AI AUP는 인공지능 기술의 책임감 있고 윤리적이며 효과적인 사용을 관리하는 일련의 규칙과 가이드라인을 의미한다. 여기에는 AI 시스템의 개발, 구현 및 사용에 있어 허용 가능한 행동, 관행, 절차 등이 명시돼야 한다.
AI AUP의 주 목적은 AI 기술이 조직의 목표, 가치, 법적 요구 사항에 맞게 사용되도록 보장하는 동시에 이점을 극대화하고 위험을 최소화하는 데 있다.
AI AUP가 기업의 보안에 중요한 이유
AI AUP는 허용 가능한 행동, 데이터 처리 관행과 보안 프로토콜을 정의해 데이터 유출, AI 알고리즘의 악의적 사용, 무단 액세스 등의 위험을 완화하도록 돕는다.
또한 이는 직원의 책임감을 고취하고 AI 기술이 윤리적으로 사용되도록 보장해 민감한 정보를 보호하고 이해관계자 간의 신뢰를 유지할 수 있게 한다. 잘 짜여진 AI 이용 목적 제한 방침은 잠재적 위협으로부터 기업을 보호하고 AI 보안 조치에 대한 인식과 규정 준수 문화를 조성할 수 있다.
넷스코프(Netskope)의 CISO인 제임스 로빈슨은 조직에서 정보 취급, 기밀성, 프라이버시 보호, 위협 관리를 포함해 조직 내 모든 구성원에게 적용되는 AI AUP를 마련하는 것이 중요하다고 설명했다. 그는 "보안을 위한 AI AUP의 주요 의미는 기업의 정보와 서비스를 보호하는 것으로 요약될 수 있다"라고 말했다.
한편 포레스터의 수석 애널리스트인 제프 폴라드는 보안과 관련해 AI AUP가 마련되지 않은 조직의 경우, 직원들이 여러 AI 기술과 회사 데이터를 마음대로 탐색하고 사용할 수 있도록 방치하고 있는 셈이라고 지적했다.
AI AUP는 정보 유출 또는 오용의 위험을 줄이는 데 유용
폴라드는 "AI AUP는 가드레일, 허용되는 상황, 허용되지 않은 AI 기술 사용을 명확하게 규정하기 위해 고안됐다. 하지만 일단 방침이 마련되면 직원들에게 할 수 있는 일과 할 수 없는 일을 구체적으로 알려줘야 한다. 또한 환경을 통제할 수 있는 적절한 수준의 가시성을 제공하기 위해 구현할 전략과 제어 수준도 안내해야 한다"라고 말했다.
스케일플럭스(ScaleFlux)의 제품 담당 부사장인 JB 베이커는 AI 사용에 대한 명확한 가이드라인이 없으면 기업은 의도치 않은 기밀 정보 유출 및 악의적인 오용의 위험에 노출될 수 있다고 지적했다.
그는 "서버와 스토리지용 반도체 부품과 펌웨어를 개발하는 스케일플럭스에서는 지적 재산 보호가 회사의 성공에 매우 중요하다. 따라서 AI 학습에 사용할 수 있는 데이터와 문서를 통제하는 엄격한 방침이 매우 중요하며, 특히 AI 학습 하드웨어가 다른 곳에서 호스팅될 수 있다는 점을 고려해야 한다"라고 말했다.
한편 아이덴티티 제다이의 설립자이자 CEO인 데이비드 리는 AI가 어디에나 존재하고 매우 빠르게 움직이기 때문에 어떤 데이터가 어디에서 사용되고 있는지 파악하기 어렵다며, 이를 위해서라도 AI AUP가 중요하다고 설명했다.
모든 AI AUP에 포함돼야 할 6가지 보안 항목
AI AUP의 보안 항목 수는 AI 시스템의 특성, 운영되는 산업, 규제 요건, 조직 정책, AI 사용과 관련된 특정 위험 등 요인에 따라 달라질 수 있다. 하지만 AI AUP에 일반적으로 포함돼야 하는 주요 보안 항목이 있는데, 이는 다음과 같다.
1. 민감한 데이터 보호
기업 정책에는 AI 시스템이 사용하는 민감한 데이터를 보호할 보안 항목이 포함돼야 한다. 그래야 조직은 개인의 프라이버시와 권리를 보호하는 동시에 AI 관행의 투명성, 책임성, 신뢰를 증진할 수 있다.
가트너의 프라이버시 및 데이터 보호 연구 부사장인 네이더 헤네인은 "누군가가 보험이나 의료 서비스 또는 일자리를 얻을 수 있는지 여부를 평가하는 데 AI 시스템을 사용한다면 해당 정보를 신중하게 사용해야 한다"라고 말했다.
또한 헤네인은 기업들이 이러한 AI 시스템에 어떤 정보를 제공할 것인지, 그리고 해당 데이터를 사용해 민감한 결정을 내릴 때 어떤 주의를 기울일 것인지 질문해야 한다고 설명했다.
AI AUP에는 프라이버시 보호, 규정 준수, 위험 관리, 사용자 및 타인과의 신뢰 유지를 위해 민감한 데이터를 처리하는 프로토콜이 수립돼야 한다. 이런 프로토콜이 개인 정보나 독점 비즈니스 데이터 같은 민감한 데이터를 무단 액세스하거나 오용할 수 없도록 보호할 수 있다.
IDC의 프라이버시 및 법률 기술 연구 책임자인 라이언 오리어리는 "공급되는 데이터의 씨앗을 바탕으로 AI를 사용하는 동안 민감한 콘텐츠를 생성할 수 있기 때문에 심각한 보안 위험이 존재하는 셈이다. 잠재적으로 개인 정보가 유출될 수 있다. 예를 들어 인사이트를 얻기 위해 고객 목록을 가져와 AI 도구에 입력하면 모든 사람의 개인 정보가 빠져나갈 수 있다"라고 말했다.
2. 액세스 제어
액세스 제어는 사용자 인증 메커니즘, 권한 부여 수준, 액세스 권한 부여 및 취소 절차 등 AI 시스템에 액세스할 수 있는 사용자를 제어하기 위한 지침이다.
보안산업협회(Security Industry Association)의 관계 담당 이사인 론 호킨스는 "데이터 유출과 시스템 오용을 방지하기 위해 기업은 민감한 정보 및 시스템 구성 요소에 대한 액세스를 필요한 사람으로 제한해야 한다"라고 말했다.
3. 규제 요건 준수
또한 조직은 AI 사용이 미국의 의료 정보 이동 및 책임에 관한 법률(Health Insurance Portability and Accountability Act)처럼 보안 및 프라이버시 보호에 관련된 산업별 규정과 표준은 물론 유럽연합의 일반 데이터 보호 규정(GDPR) 같은 관련 법률을 준수하는지 확인해야 한다.
호킨스는 "유럽연합의 GDPR과 같은 프라이버시 보호법에서는 AI 사용을 특별한 예방 조치가 필요한 '고위험' 활동으로 간주하는 경우가 많다. 이를 포함하는 AI 방침을 마련하면 오용을 방지하고 관련 법률 및 업계 규정을 준수할 수 있다"라고 말했다.
4. 사용자 교육 및 인식
조직은 보안 모범 사례, 잠재적 위험, 안전한 AI 환경에 대한 사용자의 역할을 교육하는 교육 프로그램 및 리소스 정보를 AI AUP의 보안 항목에 포함시켜야 한다. 이를 통해 조직 전체에 보안 인식과 책임감을 고취하는 문화를 조성할 수 있다.
오리어리는 "직원들이 위험을 인식하도록 교육하고 알리는 노력이 필요하다. 직원들은 조직에서 사용하는 AI와 그 기반이 되는 모델까지 이해해야 하는데, 각각의 모델이 동일하게 만들어지지 않았기 때문이다"라고 설명했다.
폴라드는 어떤 시나리오가 허용되고 허용되지 않는지에 대해 직원들을 교육해야 한다고 말했다. 따라서 이 보안 항목에는 무엇이 허용되는지에 대한 정보와 직원이 사용할 수 있는 기술이 적용된 제품 및 서비스에 대한 정보, 허용되는 사용 사례에 대한 정보가 포함될 수 있다고 그는 설명했다.
그는 "가령 회사는 직원들이 오픈AI나 챗GPT 같은 퍼블릭 AI 소스를 사용할 수 없다는 정책을 갖고 있을 수 있다. 직원들이 회사 데이터를 챗GPT의 공개 인스턴스에 넣을 수 없다고 알릴 수 있다. 비공개 인스턴스가 있다면 직원들이 회사 데이터를 공유해도 된다고 허용할 수도 있다"라고 말했다.
5. 위반 사항 보고 절차
AI AUP에는 위반 사항 보고에 대한 명확한 가이드라인도 포함돼야 한다. 이 항목에는 AI 시스템과 관련된 위반, 오용 또는 의심스러운 활동을 보고하는 절차가 요약돼 있어야 한다.
폴라드는 "누군가 방침을 따르지 않는 것을 발견하거나 경험한 경우 이를 알리는 적절한 절차는 무엇일까? 정책 위반이 발생할 경우 직원에게 문제 제기 경로를 안내해야 한다"라고 설명했다.
6. AI 기능을 갖춘 신기술 요청 방법
이 항목에는 부서가 신기술을 요청하는 방법에 대한 정보가 포함된다. 이 정책이 있어야 사업부는 신기술 요청을 담당자에게 제출하고, 담당자가 회사의 보안 표준에 부합하는지 철저한 보안 검토 과정을 거칠 수 있다.
보안 검토 과정에는 잠재적인 보안 취약점과 이를 완화하기 위한 전략을 자세히 설명하는 포괄적인 위험 평가가 담겨야 한다. 예를 들어 마케팅 부서에서 AI 기능이 있는 새로운 기술을 도입하려는 경우 'AI AUP'에 승인을 구할 수 있는 메커니즘이 있는지 확인해야 한다.
* Linda Rosencrance는 1999년부터 IT 분야 프리랜서 작가이자 기고자로 활동해 왔다. ciokr@idg.co.kr