사람처럼 채팅해주는 봇, 고객 경험 및 응대에 활용가치 높아
인공지능 발달로 시간 지날수록 더 사람 닮을 것... 범죄자가 활용한다면?
[보안뉴스 문가용] 인공지능에 대한 관심이 높아지면서 챗봇(chatbot)도 덩달아 떠오르고 있다. 챗봇은 애플의 시리처럼 사람과 자동으로 대화를 해주는 기계로 인공지능 및 머신러닝 기술발전과 밀접한 관계를 가지고 있다.
.jpg)
▲ 나 지금 누구랑 대화하는 거지?
페이스북도 올해 초 메신저 플랫폼을 봇 개발자들에게 공개했고, 텔레그램은 자사 플랫폼에서 작동이 가능하며 성능이 뛰어난 챗봇을 개발한 사람에게 1백만 달러를 준다고 공표하기도 했다. 중국의 웨이보 사용자들 중 2천만이 넘는 인구가 샤오이스(Xiaoice)라는 챗봇과 이야기를 나누고 있으며 백악관도 오바마 페이스북을 챗봇으로 일부 운영한다.
그렇다 해도 챗봇 기술은 아직도 초기 상태다. 다만 영업, 마케팅, 고객 응대 등에 대한 잠재력이 무척 높다고 평가되고 있어 많은 기업들이 챗봇 연구를 진지하게 진행하고 있다. 챗봇의 효과로는 고객들과의 관계 개선, 서비스 질 향상, 인건비 및 행정비 절감 등으로 꼽히고 있다. 물론 ‘잘’ 도입되었을 때의 얘기다.
그러나 신기술이 떠오른다는 소식에 늘 그렇듯 챗봇에도 불길한 전망이 따라붙는다. 인공지능으로 외부 인원과 접속한다는 건, 얼른 들어도 어쩐지 보안이 취약할 것 같기 때문이다. 앞으로 인터넷 서비스의 당연한 일부가 될 가능성이 높은 챗봇의 보안에 대해서 생각해보자.
챗봇의 채널 암호화
어떤 통신이라도 보안을 위해서 암호화 하는 게 맞다. 챗봇 통신 역시 암호화되어야 한다. 여기에 더해 채팅이 이루어지는 채널 역시 암호화로 되어야 한다. 당연한 소리 같지만, 이게 말처럼 쉽지가 않다고 한다. 기업 내의 시스템에서 구동되는 챗봇이라면 암호화된 비밀 채널을 설정할 수 있다. 하지만 페이스북 메신저 같이 공개된 플랫폼을 사용하고자 한다면, 챗봇의 보안은 철저히 해당 플랫폼에 의존할 수밖에 없게 되어 있다.
그렇다면 페이스북 등 공개된 플랫폼이 안전하면 해결될 문제 아닌가, 라고 물을 수 있다. 그러나 페이스북과 같은 경우 종단간 암호화를 오랫동안 시험해오고 있는데 아직도 이렇다 할 소득이 없는 상태다. 완벽한 종단간 암호화를 적용했다고 평가받는 유명 메신저 플랫폼은 하나도 없다고 봐도 무방하다. 공개된 플랫폼이 종단간 암호화를 완전히 도입하는 데에 어려움이 있다는 소리다.
이는 공개 플랫폼을 사용하려 하는 조직 및 기업들에게 있어 챗봇은 리스크가 높은 옵션이라는 뜻이다. 그렇다고 사용하지 말라는 건 아니다. ‘그날’이 올 때까지 민감한 정보만 주고받지 않으면 된다. 더 나아가 챗봇이 기업의 중요한 시스템에 접근할 수 있어서도 안 된다.
챗봇의 데이터 처리 및 저장에 관한 규칙
챗봇의 고유한 특징 중 하나는 사용자로부터 정보를 수집한다는 것이다. 그렇지 않으면 사용자의 질문에 아무런 답을 할 수가 없다. 더군다나 머신러닝은 스스로 학습한다는 개념을 바탕으로 ‘향상’되는 것이니 더더욱 사용자의 정보를 필요로 한다. 그렇다면 이 정보는 어디에, 얼마나 저장되는가? 어떻게 사용되는가? 챗봇 뒤에 있는 어떤 인물이 이 정보에 접속할 수 있는가?
이런 질문들에 대하여 명확하고 납득할 만한 대답을 할 수 있지 않다면, 수년 간 쌓아둔 명성이 하루아침에 날아갈 수 있다. 명성과 신뢰가 매우 중요한 금융산업과 의료산업에서는 이게 치명적인 피해로 이어질 수 있다. 그러므로 챗봇을 도입한다면 정보의 저장 및 활용, 접근 문제를 명확하게 세우고 지켜야 한다.
애초에 고객 정보를 저장하고 활용하는 기업들이라면 민감한 정보가 어디에 저장되는지, 어떤 식으로 어떤 경우에 어떤 인물에 의하여 활용, 폐기 될 수 있는지 정해둔 상태여야 한다. 이게 되어 있지 않은 기업이라면 챗봇을 도입하는 김에 데이터에 관한 모든 규칙과 정책을 정해두는 것도 좋을 것이다.
범죄자들도 챗봇 사용할 줄 안다
이번에는 시야를 조금 확장해보자. 챗봇은 사람처럼 사람과 채팅을 하는 기계, 로봇이라고 했다. 그리고 기술이 발전함에 따라 점점 더 사람다워질 것으로 보인다. 사람처럼 대화하는 로봇이 범죄자들 손에 들어가면 어떻게 될까? 가뜩이나 진짜 거래처인 것처럼, 진짜 지인인 것처럼 사이버 상에서 모습을 위장하는 피싱 공격이나 소셜 엔지니어링 공격이 유행하고 있는데 말이다.
예를 들면 이런 상황을 상상해볼 수 있다. 범죄자들이 챗봇을 활용해 고객이나 거래처인 것처럼 대화를 시작하고, 관계를 트기 시작한다. 그런 후 범죄자들이 전혀 개입하지 않고(최초 설정 후) 자동으로 관계를 튼 담당자를 속여 악성 링크를 클릭하게 하거나 민감한 정보를 업로드 하도록 하거나 하는 상황이 충분히 벌어질 수 있다. 범죄자 입장에선 최초 설정만 해놓고 기다리면 범죄가 알아서 실행되는 것이다.
사실 이는 이미 벌어진 일이다. 최근 틴더(Tinder)라는 데이트 앱을 사용하던 남성 회원들이 한 여성 사용자의 유혹에 놀아난 일이 있었는데, 알고 보니 그 여성 사용자는 봇이었던 것. 그 봇은 남성들과 채팅으로 친해진 후 어떤 링크를 클릭하도록 유도했고, 이에 따른 남성들은 친절하게도 신용카드 정보까지 하나하나 입력해주었다. 알고 보니 온라인 포르노 사이트 유로결제를 당한 것이었다.
기업이 이런 공격에 대응해 취할 수 있는 방법은 몇 되지 않는다. 악성 챗봇을 잡아내는 기술이 등장할 때까지 기다리거나, 아무리 친해도 얼굴도 보지 못한 고객이나 파트너사가 보내준 링크 및 파일은 쳐다보지도 못하게 교육을 시키거나. 물론 이는 이미 커다란 틀에서의 보안 교육을 할 때 당연히 들어가야 할 내용이긴 하다.
챗봇 기술 자체가 등장한 지 얼마 되지 않은 신기술이고, 상용화는 더더욱 생소한 소식이기 때문에 아직 알맞은 보안 수칙이 세워지지 않을 수밖에 없다. 표준화된 규칙이 생기기 전까지 챗봇 사용에 따른 리스크는 기업 각자가 져야 하는 것이고, 플랫폼 제공자가 ‘알아서’ 보안을 강화해야 할 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
인공지능 발달로 시간 지날수록 더 사람 닮을 것... 범죄자가 활용한다면?
[보안뉴스 문가용] 인공지능에 대한 관심이 높아지면서 챗봇(chatbot)도 덩달아 떠오르고 있다. 챗봇은 애플의 시리처럼 사람과 자동으로 대화를 해주는 기계로 인공지능 및 머신러닝 기술발전과 밀접한 관계를 가지고 있다.
▲ 나 지금 누구랑 대화하는 거지?
페이스북도 올해 초 메신저 플랫폼을 봇 개발자들에게 공개했고, 텔레그램은 자사 플랫폼에서 작동이 가능하며 성능이 뛰어난 챗봇을 개발한 사람에게 1백만 달러를 준다고 공표하기도 했다. 중국의 웨이보 사용자들 중 2천만이 넘는 인구가 샤오이스(Xiaoice)라는 챗봇과 이야기를 나누고 있으며 백악관도 오바마 페이스북을 챗봇으로 일부 운영한다.
그렇다 해도 챗봇 기술은 아직도 초기 상태다. 다만 영업, 마케팅, 고객 응대 등에 대한 잠재력이 무척 높다고 평가되고 있어 많은 기업들이 챗봇 연구를 진지하게 진행하고 있다. 챗봇의 효과로는 고객들과의 관계 개선, 서비스 질 향상, 인건비 및 행정비 절감 등으로 꼽히고 있다. 물론 ‘잘’ 도입되었을 때의 얘기다.
그러나 신기술이 떠오른다는 소식에 늘 그렇듯 챗봇에도 불길한 전망이 따라붙는다. 인공지능으로 외부 인원과 접속한다는 건, 얼른 들어도 어쩐지 보안이 취약할 것 같기 때문이다. 앞으로 인터넷 서비스의 당연한 일부가 될 가능성이 높은 챗봇의 보안에 대해서 생각해보자.
챗봇의 채널 암호화
어떤 통신이라도 보안을 위해서 암호화 하는 게 맞다. 챗봇 통신 역시 암호화되어야 한다. 여기에 더해 채팅이 이루어지는 채널 역시 암호화로 되어야 한다. 당연한 소리 같지만, 이게 말처럼 쉽지가 않다고 한다. 기업 내의 시스템에서 구동되는 챗봇이라면 암호화된 비밀 채널을 설정할 수 있다. 하지만 페이스북 메신저 같이 공개된 플랫폼을 사용하고자 한다면, 챗봇의 보안은 철저히 해당 플랫폼에 의존할 수밖에 없게 되어 있다.
그렇다면 페이스북 등 공개된 플랫폼이 안전하면 해결될 문제 아닌가, 라고 물을 수 있다. 그러나 페이스북과 같은 경우 종단간 암호화를 오랫동안 시험해오고 있는데 아직도 이렇다 할 소득이 없는 상태다. 완벽한 종단간 암호화를 적용했다고 평가받는 유명 메신저 플랫폼은 하나도 없다고 봐도 무방하다. 공개된 플랫폼이 종단간 암호화를 완전히 도입하는 데에 어려움이 있다는 소리다.
이는 공개 플랫폼을 사용하려 하는 조직 및 기업들에게 있어 챗봇은 리스크가 높은 옵션이라는 뜻이다. 그렇다고 사용하지 말라는 건 아니다. ‘그날’이 올 때까지 민감한 정보만 주고받지 않으면 된다. 더 나아가 챗봇이 기업의 중요한 시스템에 접근할 수 있어서도 안 된다.
챗봇의 데이터 처리 및 저장에 관한 규칙
챗봇의 고유한 특징 중 하나는 사용자로부터 정보를 수집한다는 것이다. 그렇지 않으면 사용자의 질문에 아무런 답을 할 수가 없다. 더군다나 머신러닝은 스스로 학습한다는 개념을 바탕으로 ‘향상’되는 것이니 더더욱 사용자의 정보를 필요로 한다. 그렇다면 이 정보는 어디에, 얼마나 저장되는가? 어떻게 사용되는가? 챗봇 뒤에 있는 어떤 인물이 이 정보에 접속할 수 있는가?
이런 질문들에 대하여 명확하고 납득할 만한 대답을 할 수 있지 않다면, 수년 간 쌓아둔 명성이 하루아침에 날아갈 수 있다. 명성과 신뢰가 매우 중요한 금융산업과 의료산업에서는 이게 치명적인 피해로 이어질 수 있다. 그러므로 챗봇을 도입한다면 정보의 저장 및 활용, 접근 문제를 명확하게 세우고 지켜야 한다.
애초에 고객 정보를 저장하고 활용하는 기업들이라면 민감한 정보가 어디에 저장되는지, 어떤 식으로 어떤 경우에 어떤 인물에 의하여 활용, 폐기 될 수 있는지 정해둔 상태여야 한다. 이게 되어 있지 않은 기업이라면 챗봇을 도입하는 김에 데이터에 관한 모든 규칙과 정책을 정해두는 것도 좋을 것이다.
범죄자들도 챗봇 사용할 줄 안다
이번에는 시야를 조금 확장해보자. 챗봇은 사람처럼 사람과 채팅을 하는 기계, 로봇이라고 했다. 그리고 기술이 발전함에 따라 점점 더 사람다워질 것으로 보인다. 사람처럼 대화하는 로봇이 범죄자들 손에 들어가면 어떻게 될까? 가뜩이나 진짜 거래처인 것처럼, 진짜 지인인 것처럼 사이버 상에서 모습을 위장하는 피싱 공격이나 소셜 엔지니어링 공격이 유행하고 있는데 말이다.
예를 들면 이런 상황을 상상해볼 수 있다. 범죄자들이 챗봇을 활용해 고객이나 거래처인 것처럼 대화를 시작하고, 관계를 트기 시작한다. 그런 후 범죄자들이 전혀 개입하지 않고(최초 설정 후) 자동으로 관계를 튼 담당자를 속여 악성 링크를 클릭하게 하거나 민감한 정보를 업로드 하도록 하거나 하는 상황이 충분히 벌어질 수 있다. 범죄자 입장에선 최초 설정만 해놓고 기다리면 범죄가 알아서 실행되는 것이다.
사실 이는 이미 벌어진 일이다. 최근 틴더(Tinder)라는 데이트 앱을 사용하던 남성 회원들이 한 여성 사용자의 유혹에 놀아난 일이 있었는데, 알고 보니 그 여성 사용자는 봇이었던 것. 그 봇은 남성들과 채팅으로 친해진 후 어떤 링크를 클릭하도록 유도했고, 이에 따른 남성들은 친절하게도 신용카드 정보까지 하나하나 입력해주었다. 알고 보니 온라인 포르노 사이트 유로결제를 당한 것이었다.
기업이 이런 공격에 대응해 취할 수 있는 방법은 몇 되지 않는다. 악성 챗봇을 잡아내는 기술이 등장할 때까지 기다리거나, 아무리 친해도 얼굴도 보지 못한 고객이나 파트너사가 보내준 링크 및 파일은 쳐다보지도 못하게 교육을 시키거나. 물론 이는 이미 커다란 틀에서의 보안 교육을 할 때 당연히 들어가야 할 내용이긴 하다.
챗봇 기술 자체가 등장한 지 얼마 되지 않은 신기술이고, 상용화는 더더욱 생소한 소식이기 때문에 아직 알맞은 보안 수칙이 세워지지 않을 수밖에 없다. 표준화된 규칙이 생기기 전까지 챗봇 사용에 따른 리스크는 기업 각자가 져야 하는 것이고, 플랫폼 제공자가 ‘알아서’ 보안을 강화해야 할 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
