Offcanvas

AI / CIO / CSO / How To

"기업 데이터, AI 서비스로 가파르게 유출 중··· 절반이 비승인 누출"

2024.06.07 Grant Gross  |  CIO
법률 문서, 인사 데이터, 소스 코드 및 기타 민감한 기업 정보가 외부 AI에 빠르게 유입되고 있다. 

최근 연구에 따르면 많은 조직의 직원들이 CIO와 CISO 몰래 허가되지 않은 AI 모델을 광범위하게 사용하고 있는 것으로 나타났다. 사이버헤븐 연구소의 조사에 따르면 직원들이 회사의 법률 문서, 소스 코드, 직원 정보를 라이선스 없는 비기업용 AI 버전(챗GPT, 구글 제미나이 등)과 공유하고 있어 문제화될 가능성을 제시하고 있다. 

사이버헤븐 2024년 2분기 AI 도입 및 위험 보고서에 따르면, 300만 명에 이르는 작업자의 실제 AI 사용 패턴을 기반으로 조사한 결과, 직장 내 챗GPT 사용의 약 74%가 기업 외 계정을 통해 이뤄지고 있었다. 이는 잠재적으로 AI가 해당 데이터를 사용하거나 학습할 수 있는 가능성으로 이어진다. 이 연구에 따르면 직장에서 구글 제미나이와 바드를 사용하는 작업자의 94% 이상이 기업 외 계정에서 사용하는 것으로 나타났다.

종합적으로 AI 도구로 공유되는 모든 법률 문서의 약 83%가 기업 외 계정을 통해 전달되며, 소스 코드, R&D 자료, 인사 및 직원 기록의 약 절반이 승인되지 않은 AI에 전달된다고 보고서는 덧붙였다.

또 보고서에 따르면 2023년 3월과 2024년 3월 사이에 각종 AI 도구에 입력되는 데이터의 양이 5배 가까이 증가했다. 보고서는 "최종 사용자가 IT 부서가 따라잡을 수 있는 속도보다 더 빠르게 새로운 AI 도구를 채택하고 있어 '그림자 AI'의 지속적 확대를 견인하고 있다”라고 덧붙였다.
 
Image Credit : Getty Images Bank


데이터는 어디로 가는가?
라이선스가 없이 외부의 AI와 회사 데이터를 공유하는 경우 데이터의 여러 측면이 불명확해지기 쉽다. 예를 들어 챗GPT의 이용 약관에 따르면 입력한 콘텐츠의 소유권은 사용자에게 있다고 명시되어 있다. 그러나 챗GPT는 해당 콘텐츠를 사용하여 서비스를 제공, 유지, 개발 및 개선할 수 있다. 이는 챗GPT가 공유된 직원 기록을 사용하여 스스로 학습할 수 있음을 의미한다. 단 사용자는 자신의 데이터에 대한 챗GPT 자체 교육을 거부할 수 있기는 하다.

지금까지 대규모 공개 AI가 기업의 주요 기밀을 유출한 사례는 아직까지 보고된 바 없다. 그러나 보안 전문가들은 AI가 기업 데이터를 수집하면 발생할 수 있는 일에 대해 우려하고 있다. 5월 28일, 오픈AI는 이러한 우려를 해결하기 위해 새로운 안전 및 보안 위원회의 신설을 발표했다.

클라우드 보안 회사 바로니스의 현장 CTO인 브라이언 베치는 기밀 또는 민감한 정보를 공개적으로 사용 가능한 AI와 공유하는 위험을 평가하기란 어렵다고 전했다. 그에 따르면, 이러한 정보 공개로 인해 발생할 수 있는 문제 발생 가능성을 고려할 때 구글이나 오픈AI와 같은 기업이 민감한 비즈니스 데이터를 대중에게 유출하는 것을 허용할 가능성은 낮다.

하지만 일부 보안 전문가들은 AI 개발자가 사용자가 제공한 데이터로 무엇을 할 수 있는지 규제하는 규칙이 많지 않다고 지적하고 있다. 앞으로 더 많은 AI 모델이 등장할 전망이기도 하다.

베치는 "오픈AI나 구글의 통제를 받지 않는 AI 도구가 등장할 것이며, 이는 아마도 데이터를 신중하게 다뤄야 한다는 목소리가 더욱 커지도록 만들 것"이라고 말했다.

가령 앞으로 등장할 후발 AI 개발사들은 해킹 그룹의 전위대가 될 수도 있고, 회사 기밀 정보를 판매하여 이익을 얻을 수도 있으며, 대형 업체들처럼 사이버 보안 보호 기능이 부족할 수도 있다고 그는 덧붙였다.

그는 "챗GPT와 유사하며 무료이고 빠르며 누가 누구인지 알 수 없는 LLM 도구 버전이 등장하고 있다. 직원들이 이 도구를 사용하면서 소스 코드와 재무제표를 입력하고 있다. 이는 훨씬 더 큰 위험이 될 수 있다"라고 말했다.

위험한 행동
회사 또는 고객 데이터를 승인되지 않은 AI 서비스와 공유하면 해당 정보는 회사 외부에 존재하게 되며, 이는 그 자체로 위험성을 의미한다고 베드록 시큐리티의 CEO인 프라나바 아두리는 지적했다. 

그는 조직이 직원들이 AI를 실험할 수 있도록 AI 공급업체와 데이터 사용 제한이 포함된 라이선스 계약을 체결할 것을 권장했다. 

아두리는 "데이터가 직접 통제할 수 없는 시스템으로 전송되는 경우 위험을 관리하는 방법은 일반적으로 법적 계약이다”라고 말했다. 

클라우드 데이터 관리 회사인 애비포인트는 그림자 AI 사용을 막기 위해 AI 계약을 체결했다고 이 회사의 최고 위험, 개인정보 보호 및 정보 보안 책임자인 다나 심버코프는 전했다. 회사는 계약 전에 데이터 사용 제한을 포함한 라이선스 조건을 면밀히 검토했다.

그림자 AI의 가장 큰 문제는 사용자가 승인되지 않은 도구에 회사 데이터를 밀어 넣기 전에 개인정보 보호정책이나 사용 약관을 읽지 않는다는 점이라고 그녀는 말했다. 

"데이터가 어디로 이동하는지, 어떻게 저장되는지, 향후에 어떤 용도로 사용될 수 있는지 여전히 투명하지 않다. 대부분의 일반 비즈니스 사용자는 브라우저에서 사용할 수 있는 다양한 회사의 개방형 AI 기술이 실제로는 수집한 데이터를 기반으로 작동한다는 사실을 잘 이해하지 못한다"라고 그녀는 말했다.

교육 및 보안
애비포인트는 포괄적인 교육 프로그램, 민감한 데이터에 대한 엄격한 액세스 제어, 데이터 공유 방지를 위한 여타 사이버 보안을 통해 직원들이 승인되지 않은 AI 도구를 사용하지 못하도록 노력해 왔다. 애비포인트는 또한 AI 사용 허용 정책을 만들었다고 심버코프는 전했다.

회사의 직원 교육은 민감한 문서에 대한 광범위한 액세스 권한 부여와 같은 일반적인 직원 관행에 중점을 둔다. 가령 데이터에 일반 액세스를 허용하면 AI가 데이터를 쉽게 수집할 수 있다. 그녀는 "AI 솔루션은 마치 굶주린 맹수처럼 무엇이든 닥치는 대로 먹어치운다"라고 표현했다. 

심버코프는 공식적으로 라이선스가 부여된 AI를 사용하려면 조직이 올바른 데이터 관리 관행을 갖추고 있어야 한다고 덧붙였다. 조직의 액세스 제어는 직원들이 업무 수행에 필요하지 않은 민감한 정보를 보지 못하도록 제한해야 하며, 기존의 보안 및 개인정보 보호 모범 사례는 AI 시대에도 여전히 적용된다고 그녀는 말했다.

한편 데이터를 지속적으로 수집하는 AI를 도입하는 것은 기업의 보안 및 개인정보 보호 계획에 대한 스트레스 테스트와도 같다고 심버코프는 전했다. 

"AI는 보안 또는 개인정보 보호 책임자의 가장 좋은 친구이자 최악의 적이 될 수 있다. 지난 20년간 모범 사례로 여겨져 온 모든 것을 다시 한 번 되새길 필요가 있다"라고 그녀는 말했다.

심버코프는 사용 허용 정책과 같은 기본적인 통제 장치를 마련하지 않아 AI 프로젝트를 철회한 여러 고객 사례가 있다고 전했다. "그들은 실제로 나쁜 일이 일어나기 전까지는 자신이 하는 일이 어떤 결과를 초래하는지 이해하지 못했다. 정말 중요한 조언 한 가지를 공유하자면 잠시 멈춰도 괜찮다는 것이다. AI를 빠르게 배포해야 한다는 압박을 극복할 필요가 있다"라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.