인공지능을 서둘러 도입하는 곳들이 있고 사람들이 있다. 이에 여러 조직들이 위협을 느끼고 있다. 하지만 섣부르게 손을 댔다가는 오히려 최악의 결과를 맞이할 수 있다. 필요한 건 인공지능에 대한 전략적인 접근이다.
[보안뉴스 문정후 기자] 생성형 인공지능이라는 기술의 발전으로 경영진들의 기대감도 높아지고 있지만 반대로 걱정도 늘어나고 있다. 사용을 전면 금지시킨 후 손 놓고 있을 수 없고, 덥썩 받아들이기만 해서도 안 된다. 이럴 때 필요한 건 전략이다. 생성형 인공지능의 장점만 가져오고 단점은 제거할 수 있는 전략 말이다. 하지만 대부분 기업들이 아예 관심을 두지 않거나, 넙죽넙죽 도입하고만 있다. 조심스럽게, 전략적으로 접근하는 노력은 찾기 힘든 게 사실이다.
[이미지 = gettyimagesbank]
여러 조사에 의하면 기업들의 절반 이상이 인공지능 기술을 전략 없이 도입하기에 바쁘다고 한다. 하지만 동시에 생성형 인공지능을 가장 크게 대두되는 위협이라고 보는 기업들도 상당히 많은 것으로 가트너(Gartner)는 지난 8월 조사 결과를 발표했었다. 기대와 염려가 공존하는 것이 바로 이 생성형 인공지능이라는 뜨거운 감자라고 할 수 있다.
IT 업체 델리니아(Delinea)의 CISO인 스탠 블랙(Stan Black)의 경우, “신기술 도입에 서두르는 기업들 중 좋은 결과를 내는 곳은 드물다”고 말한다. “오히려 큰 위기에 빠지지 않으면 다행일 때가 많습니다. 챗GPT가 유행할 때도 우리는 이런 기업들을 적잖게 봤습니다. 회사 기밀과 같은 소스코드를 챗GPT에 아무 고민 없이 업로드 하는 소프트웨어 개발자들이 있었거든요. 그 외 다른 민감 정보도 아무렇지 않게 챗GPT 프롬프트 창에 올리는 직원들이 있었고요.”
그러면서 블랙은 “인공지능 기술을 통해 빠르고 효과적으로 일을 처리하고 싶다는 열망이 지나치게 강한 것이 그 이유”라고 말한다. “회사를 곤란하게 만들겠다거나 하는 악의가 작용하는 사례는 그리 많지 않을 겁니다. 자기 업무를 빠르게 마치고 싶어서 인공지능을 접하게 되는 것이죠. 그럴 때 제어 장치가 없는 게 패착인 것입니다. 적당한 관리 전략만 있었어도 정말로 임직원들이 빠르게, 그러나 안전하게, 자기 일을 완수할 수 있도록 도울 수 있었을 겁니다.”
기술은 새 것, 위협은 옛 것
블랙은 “인공지능이 신기술인 것은 맞지만, 그 인공지능을 보호할 수단들까지도 새 것인 건 아님”을 강조한다. 즉, 안전한 인공지능 활용의 전략을 마련한다는 게 대단히 고차원적이고 난이도 높은 일만은 아니라는 뜻. “데이터를 책임감 있게 사용하고, 엄격하게 보안 규정들을 지키고, 보안 인식 제고 교육 및 훈련을 실시하고, 주기적으로 감사하고, 실시간으로 모니터링하고, 각종 윤리 규정을 어기지 않는 등의 기존 보안 수칙들이 인공지능 보안에도 다 적용됩니다.”
그러면서 그는 주요 크리덴셜의 유출 사례를 예로 들어 설명한다. “챗GPT와 같은 인공지능 플랫폼에 회사 업무 계정의 크리덴셜을 입력하는 사람들이 있습니다. 깜빡 잊었을 수도 있고, 그러면 안 된다는 걸 몰랐을 수도 있습니다. 회사도 언제 어떤 직원이 이런 실수를 할까 노심초사 하지요. 그럴 때는 다중인증 시스템을 도입하면 됩니다. 혹여 누군가 크리덴셜을 노출시켜도 그것이 쉽게 악용되지 못하도록 하는 것이죠. 곰곰이 생각해보면 인공지능으로 인한 위협들도 관리할 수 있음을 알게 될 겁니다.”
IT 업체 그래멀리(Grammarly)의 CISO인 수하 캔(Suha Can)의 경우 “애초에 생성형 인공지능을 완전히 업무용으로 쓰기에는 정확도나 결과물의 품질이 걸림돌이 될 수 있다”고 지적한다. “물론 이 점은 인공지능 기술이 발달함에 따라 향상될 수 있습니다. 게다가 이런 단점 때문에 인공지능을 완전히 배제하기에도 아깝습니다. 대단히 설득력 있는 콘텐츠를 인간처럼 만들어낸다는 그 독특함은 어떤 기술로도 흉내 낼 수 없거든요. 그러니 누군가는 이를 반드시 이용하려 들 테고, 누군가는 그 와중에 실수를 하겠지요. 좀 더 안전한 접근법이 필요합니다.”
그러면서 캔은 “안전한 접근법에는 기본적이 원칙들이 존재한다”고 말을 잇는다. “기업의 준비도를 평가한다거나, 고유한 리스크 요인들을 집계한다거나, 보안이나 시스템 유지 관리의 목적을 명확히 한다거나 하는 것이죠. 이런 기본 사항들 위에서 좀 더 구체적인 접근법이 나올 수 있고, 그래야 합니다. 동시에 생성형 인공지능의 잠재력과 한계에 대한 이해도를 높이는 것도 중요합니다.”
어떤 조치가 필요할까
IT 업체 올리브테크놀로지스(Olive Technologies)의 제품 부문 책임자 히더 스티븐즈(Heather Stevens)는 “인공지능 만이 아니라 데이터를 수집하고 저장하는 모든 기술은 경계 대상”이라고 정리한다. “이런 종류의 도구들을 불가피하게 사용하는 기업이라면, 그 무엇보다 이런 도구들부터 현황 파악을 해야 할 것입니다. 감사를 받아도, 보안 점검을 해도, 주기적인 모니터링을 해도, 전부 이런 데이터 수집 및 저장이 가능한 장치들부터 시작해야 합니다.”
또한 회사가 승인하지 않은 애플리케이션은 그 어떤 것도 사용할 수 없다는 규정을 계속해서 강조하고 교육하는 것도 필수다. “그렇다는 건 회사가 어떤 애플리케이션들은 승인해 줄 수 있다는 뜻이 됩니다. 모든 인공지능 관련 애플리케이션의 사용을 금지할 수도 있지만, 어떤 건 안전하게 풀어주는 게 중요합니다. 어떤 데이터는 인공지능 프롬프트 창에 넣을 수 있고, 어떤 건 절대 입력하면 안 되는지를 확실하게 정해주는 것도 이런 규정 속에 포함되어야 할 겁니다.”
필요한 경우 생성형 인공지능 도구를 사용할 수 있는 사람과 그렇지 않은 사람을 나눠서 정하는 것도 괜찮다고 스티븐즈는 권장한다. “생성형 인공지능이 강력한 기술인 건 맞지만, 모든 종류의 업무에 어울리는 건 아닙니다. 생성형 인공지능을 업무에 제대로 쓰지도 못할 곳이라면 차라리 금지시키는 게 나을 수 있습니다. 불필요하게 위험 가능성을 높일 필요는 없겠지요.”
블랙은 “어떤 표준이나 규정이라도 기술의 발전만큼 빠를 수 없다”며 “신기술이 나올 때마다 덥썩 물어서 쓰기보다, 규정과 표준이 어떤 방향으로 정립되는지 살펴볼 수 있어야 한다”고, 보다 근본적인 해결법을 제시한다. “규정과 표준에 대한 이해 없이 신기술을 중요한 업무나 프로젝트에 사용하는 건 그리 현명하지 못합니다. 이런 내용을 조직 차원에서 모든 임직원들에게 강조해야 합니다. 조금 느긋하게 규정이 발맞추기를 기다려주는 정서 혹은 태도가 우리 안에 자리를 잡도록 하는 게 안전합니다.”
글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 생성형 인공지능이라는 기술의 발전으로 경영진들의 기대감도 높아지고 있지만 반대로 걱정도 늘어나고 있다. 사용을 전면 금지시킨 후 손 놓고 있을 수 없고, 덥썩 받아들이기만 해서도 안 된다. 이럴 때 필요한 건 전략이다. 생성형 인공지능의 장점만 가져오고 단점은 제거할 수 있는 전략 말이다. 하지만 대부분 기업들이 아예 관심을 두지 않거나, 넙죽넙죽 도입하고만 있다. 조심스럽게, 전략적으로 접근하는 노력은 찾기 힘든 게 사실이다.
[이미지 = gettyimagesbank]
여러 조사에 의하면 기업들의 절반 이상이 인공지능 기술을 전략 없이 도입하기에 바쁘다고 한다. 하지만 동시에 생성형 인공지능을 가장 크게 대두되는 위협이라고 보는 기업들도 상당히 많은 것으로 가트너(Gartner)는 지난 8월 조사 결과를 발표했었다. 기대와 염려가 공존하는 것이 바로 이 생성형 인공지능이라는 뜨거운 감자라고 할 수 있다.
IT 업체 델리니아(Delinea)의 CISO인 스탠 블랙(Stan Black)의 경우, “신기술 도입에 서두르는 기업들 중 좋은 결과를 내는 곳은 드물다”고 말한다. “오히려 큰 위기에 빠지지 않으면 다행일 때가 많습니다. 챗GPT가 유행할 때도 우리는 이런 기업들을 적잖게 봤습니다. 회사 기밀과 같은 소스코드를 챗GPT에 아무 고민 없이 업로드 하는 소프트웨어 개발자들이 있었거든요. 그 외 다른 민감 정보도 아무렇지 않게 챗GPT 프롬프트 창에 올리는 직원들이 있었고요.”
그러면서 블랙은 “인공지능 기술을 통해 빠르고 효과적으로 일을 처리하고 싶다는 열망이 지나치게 강한 것이 그 이유”라고 말한다. “회사를 곤란하게 만들겠다거나 하는 악의가 작용하는 사례는 그리 많지 않을 겁니다. 자기 업무를 빠르게 마치고 싶어서 인공지능을 접하게 되는 것이죠. 그럴 때 제어 장치가 없는 게 패착인 것입니다. 적당한 관리 전략만 있었어도 정말로 임직원들이 빠르게, 그러나 안전하게, 자기 일을 완수할 수 있도록 도울 수 있었을 겁니다.”
기술은 새 것, 위협은 옛 것
블랙은 “인공지능이 신기술인 것은 맞지만, 그 인공지능을 보호할 수단들까지도 새 것인 건 아님”을 강조한다. 즉, 안전한 인공지능 활용의 전략을 마련한다는 게 대단히 고차원적이고 난이도 높은 일만은 아니라는 뜻. “데이터를 책임감 있게 사용하고, 엄격하게 보안 규정들을 지키고, 보안 인식 제고 교육 및 훈련을 실시하고, 주기적으로 감사하고, 실시간으로 모니터링하고, 각종 윤리 규정을 어기지 않는 등의 기존 보안 수칙들이 인공지능 보안에도 다 적용됩니다.”
그러면서 그는 주요 크리덴셜의 유출 사례를 예로 들어 설명한다. “챗GPT와 같은 인공지능 플랫폼에 회사 업무 계정의 크리덴셜을 입력하는 사람들이 있습니다. 깜빡 잊었을 수도 있고, 그러면 안 된다는 걸 몰랐을 수도 있습니다. 회사도 언제 어떤 직원이 이런 실수를 할까 노심초사 하지요. 그럴 때는 다중인증 시스템을 도입하면 됩니다. 혹여 누군가 크리덴셜을 노출시켜도 그것이 쉽게 악용되지 못하도록 하는 것이죠. 곰곰이 생각해보면 인공지능으로 인한 위협들도 관리할 수 있음을 알게 될 겁니다.”
IT 업체 그래멀리(Grammarly)의 CISO인 수하 캔(Suha Can)의 경우 “애초에 생성형 인공지능을 완전히 업무용으로 쓰기에는 정확도나 결과물의 품질이 걸림돌이 될 수 있다”고 지적한다. “물론 이 점은 인공지능 기술이 발달함에 따라 향상될 수 있습니다. 게다가 이런 단점 때문에 인공지능을 완전히 배제하기에도 아깝습니다. 대단히 설득력 있는 콘텐츠를 인간처럼 만들어낸다는 그 독특함은 어떤 기술로도 흉내 낼 수 없거든요. 그러니 누군가는 이를 반드시 이용하려 들 테고, 누군가는 그 와중에 실수를 하겠지요. 좀 더 안전한 접근법이 필요합니다.”
그러면서 캔은 “안전한 접근법에는 기본적이 원칙들이 존재한다”고 말을 잇는다. “기업의 준비도를 평가한다거나, 고유한 리스크 요인들을 집계한다거나, 보안이나 시스템 유지 관리의 목적을 명확히 한다거나 하는 것이죠. 이런 기본 사항들 위에서 좀 더 구체적인 접근법이 나올 수 있고, 그래야 합니다. 동시에 생성형 인공지능의 잠재력과 한계에 대한 이해도를 높이는 것도 중요합니다.”
어떤 조치가 필요할까
IT 업체 올리브테크놀로지스(Olive Technologies)의 제품 부문 책임자 히더 스티븐즈(Heather Stevens)는 “인공지능 만이 아니라 데이터를 수집하고 저장하는 모든 기술은 경계 대상”이라고 정리한다. “이런 종류의 도구들을 불가피하게 사용하는 기업이라면, 그 무엇보다 이런 도구들부터 현황 파악을 해야 할 것입니다. 감사를 받아도, 보안 점검을 해도, 주기적인 모니터링을 해도, 전부 이런 데이터 수집 및 저장이 가능한 장치들부터 시작해야 합니다.”
또한 회사가 승인하지 않은 애플리케이션은 그 어떤 것도 사용할 수 없다는 규정을 계속해서 강조하고 교육하는 것도 필수다. “그렇다는 건 회사가 어떤 애플리케이션들은 승인해 줄 수 있다는 뜻이 됩니다. 모든 인공지능 관련 애플리케이션의 사용을 금지할 수도 있지만, 어떤 건 안전하게 풀어주는 게 중요합니다. 어떤 데이터는 인공지능 프롬프트 창에 넣을 수 있고, 어떤 건 절대 입력하면 안 되는지를 확실하게 정해주는 것도 이런 규정 속에 포함되어야 할 겁니다.”
필요한 경우 생성형 인공지능 도구를 사용할 수 있는 사람과 그렇지 않은 사람을 나눠서 정하는 것도 괜찮다고 스티븐즈는 권장한다. “생성형 인공지능이 강력한 기술인 건 맞지만, 모든 종류의 업무에 어울리는 건 아닙니다. 생성형 인공지능을 업무에 제대로 쓰지도 못할 곳이라면 차라리 금지시키는 게 나을 수 있습니다. 불필요하게 위험 가능성을 높일 필요는 없겠지요.”
블랙은 “어떤 표준이나 규정이라도 기술의 발전만큼 빠를 수 없다”며 “신기술이 나올 때마다 덥썩 물어서 쓰기보다, 규정과 표준이 어떤 방향으로 정립되는지 살펴볼 수 있어야 한다”고, 보다 근본적인 해결법을 제시한다. “규정과 표준에 대한 이해 없이 신기술을 중요한 업무나 프로젝트에 사용하는 건 그리 현명하지 못합니다. 이런 내용을 조직 차원에서 모든 임직원들에게 강조해야 합니다. 조금 느긋하게 규정이 발맞추기를 기다려주는 정서 혹은 태도가 우리 안에 자리를 잡도록 하는 게 안전합니다.”
글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
