Offcanvas

AI / CSO / 머신러닝|딥러닝 / 클라우드

칼럼 | 챗GPT 출시 1년… 생성형 AI는 CISO의 발전에 도움이 될까, 해가 될까?

2023.11.28 Christopher Burgess  |  CSO
생성형 AI 홍수를 막을 수는 있다. 다만 적절한 경각심을 가지고 수용하는 것이 섀도우 AI의 피해를 막고 통제력을 유지할 수 있는 방법이다.
 
ⓒ Getty Images Bank

오픈AI의 챗GPT가 일상의 언어로 자리잡은 지 1년이 지났다. 구글의 바드(Bard)와 같은 기타 생성형 AI 제품도 뒤를 이어 출시됐다. 직원, 계약 업체, 고객, 파트너 모두가 여기에 열광했지만, AI 엔진이 활용하는 대규모 언어 모델(LLM)에 대해서도 잘 아는 사람은 많지 않다. 

사람들은 생성형 AI 도구가 지식과 정확성을 향상시키는 데 놀라움을 금치 못했다. 이를 통해 창출할 수 있는 시간 경제에 대해서도 감탄했다. 엔진이 단서를 찾지 못해 말도 안 되는 답을 제공하거나 환각을 일으켜 시간을 낭비하는 것으로 판명됐을 때도 마찬가지로 놀라움을 줬지만, 불신은 오래 지속되지 않았다.

2023년 4월 삼성에서 영업 기밀이 챗GPT에 무심코 업로드된 사건에서 알 수 있듯, AI 엔진 쿼리의 의도치 않은 결과는 심각한 문제로 이어진 경우도 있었다. 이 정보는 분명히 유익한 내용이었지만, 영업 기밀은 챗GPT의 모기업인 오픈AI와 공유됐기 때문에 더는 비밀이 아니었다. 유사한 쿼리를 하는 모든 사람이 (가상적으로) 엔지니어의 입력 정보를 활용할 수 있었다.

섀도우 AI의 급부상은 놀라운 일이 아니다
필자가 보기에 삼성은 이러한 문제를 발견한 뒤 정확하고 올바른 방식으로 처리했다. 큰 실수였으며, 다시는 이런 사건이 발생하지 않도록 영업 기밀을 유지하는 사내 역량을 개발해야 할 것이다.

AI 엔진이 정보 기술 제공 및 지원에 대한 경험이 거의 없는 사람뿐만 아니라 모든 사람들에게 대중화됐을 때, ‘위험의 강’ 상류에 새로운 모태인 AI 쿼리 엔진이 자리잡고 있다는 사실은 분명했다. 섀도우 IT의 옆에는 갓 태어난 ‘섀도우 AI’가 있었다.

위즈(Wiz)의 데이터 및 위협 연구 책임자인 얼론 쉰델은 섀도우 AI의 등장이 “5~10년 전 클라우드의 상황과 비슷하다”라고 말했다. 그는 “모든 사람이 어느 정도 클라우드를 사용했지만, 이를 관리할 프로세스를 아는 사람은 거의 없었다”라고 설명했다.

그는 “개발자와 데이터 과학자는 혁신을 위한 경쟁에서 보안팀의 감독 없이 새로운 AI 서비스를 환경에 도입해 의도치 않게 섀도우 AI를 생성하는 경우가 많다. 가시성이 부족하면 AI 파이프라인의 보안을 보장하고 AI의 잘못된 구성과 취약점으로부터 보호하기가 어렵다. 부적절한 AI 보안 제어는 심각한 위험으로 이어질 수 있기에 AI 파이프라인의 모든 부분에 보안을 내장하는 것이 가장 중요하다”라고 진단했다.

기업이 생성형 AI에 대해 고려해야 할 3가지 사항
해결책은 간단하다. 당시 삼성과 관련한 사건에 대해 구체적으로 설명한 코드42(Code42)의 CISO 제이디 핸슨이 공유한 내용을 다시 살펴볼 필요가 있다. 그는 “챗GPT와 AI 도구는 매우 유용하고 강력할 수 있지만, 직원들은 챗GPT에 넣어도 되는 데이터와 그렇지 않은 데이터를 이해해야 하며, 보안팀은 조직이 챗GPT로 전송해야 하는 데이터에 대한 적절한 가시성을 확보해야 한다”라고 말했다.

임퍼바(Imperva)의 데이터 보안 수석 부사장 겸 현장 CTO인 테리 레이는 섀도우 AI에 대한 자신의 생각을 공유하면서 모든 기업이 서둘러 수행해야 하는 3가지 핵심 사항을 제시했다.

- ‘만일을 대비해’ 숨겨둔 ‘섀도우’ 데이터베이스를 포함해 모든 데이터 리포지토리에 대한 가시성을 확보한다.
- 모든 데이터 자산을 분류해 자산의 가치를 파악한다. (더는 사용되지 않거나 가치가 훨씬 낮은 자산을 보호하기 위해 100만 달러를 지출하는 것이 합리적일까?)
- 모니터링 및 분석. 데이터가 의도치 않은 곳으로 이동하는 것을 감시한다.

생성형 AI 위험 허용 범위 파악
마찬가지로 스카이하이 시큐리티(Skyhigh Security)의 글로벌 클라우드 위협 책임자인 로드먼 라메자니안도 위험 허용 범위를 아는 것이 중요하다고 언급했다. 그는 매우 빠른 속도로 확산되고 있는 대규모 언어 모델을 주시하지 않는다면 큰 문제가 일어날 것이라고 경고했다.

라메자니안의 주장에 따르면 데이터는 가드레일만으로 충분하지 않으며, 사용자에게 승인된 AI 인스턴스만을 사용하도록 교육과 코칭이 필요하며, 이러한 교육 및 코칭은 동적으로, 점진적으로 제공돼야 한다. 이렇게 하면 단계를 발전시킬 때마다 전반적인 보안 태세가 개선될 수 있다.

CISO는 지적 재산, 고객 정보, 재무 예측, 시장 진출 계획 등 회사의 데이터를 보호해야 한다. 이들은 문제를 수용할 수도 있고 추격할 수도 있다. 후자를 선택해 대응에 초점을 맞출 경우 발생하는 사고에 대한 대응이 늘어날 것을 미리 대비해야 한다. 전자를 선택한다면 삼성처럼 기업 전체에 걸쳐 작업을 진행해야 하며, 사내에 도입할 수 있는 방안을 결정하는 등의 과제를 떠안아야 한다.

생성형 AI는 피할 수 없기에 흐름을 관리할 준비를 해야
AI 도구 사용으로 인한 잠재적 위험을 식별하고 완화하는 방법은 비즈니스 내의 다양한 주체와 완전히 소통하고 운영의 모든 측면에 대한 정책과 절차, AI 사용 경로를 만드는 것이다. 그 다음에는 직원/계약 업체 교육 및 실습을 마련해야 한다. CISO와 조직은 뒤에서 지원하고, 보안 델타를 파악하고, 보안 델타를 완화할 수 있는 경로를 제안하고, 보안 델타가 없는 경우에는 안전장치를 걸 수 있다.

레이는 ‘사이버 채용’과 같은 경쟁적 채용 및 유지 환경의 시대에 CISO가 특히 중요하다고 언급하며 매우 시의적절한 시사점을 제기했다. 그에 따르면 이 분야의 신입 직원은 사용 가능한 도구를 사용할 수 있어야 하며, AI를 사용해 자신만의 도구를 완벽히 구축할 수 있어야 한다.

결국 AI는 힘의 배율을 통해 좋은 방향으로 활용돼야 한다. 하지만 이를 이해하는 동시에 AI 인증, 정책 및 절차도 수용해야 하며 무엇보다도 AI가 어디에서 어떻게 사용되는지에 대한 경계를 늦추지 않아야 한다. 특히 기업은 ‘귀중한 자산’이 어디에 있는지 파악하고 보호해야 한다.

CISO는 마치 섀도우 AI를 방지하기 위해 올바른 조치를 취하는 듯 보이도록 챗봇을 완전히 금지할 수도 있다. 하지만 암반을 뚫고 스며드는 물처럼 직원들은 챗봇을 활용할 방법을 찾게 될 것이다. 현명한 CISO라면 물이 안전하게 흐를 수 있도록 필요한 채널을 확보하는 것이 중요하다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.