AI 기반 챗봇, 이용자 개인정보 유출·이상동작 가능성 등 보안위협 제기
이용자·플랫폼·AI 등 각 단계별 보안위협 체크해 대응방안 마련 필요
[보안뉴스 권 준 기자] 최근 은행·보험·카드사 등 금융권을 중심으로 상담 서비스 등에 ‘챗봇(Chatbot)’을 도입하는 움직임이 거세게 일고 있다. 챗봇은 사람의 언어를 이용하여 사람과 대화를 하는 컴퓨터 프로그램으로, 주로 고객과의 상담을 위해 다양한 분야에서 활용된다.
[이미지=iclickart]
이러한 가운데 챗봇이 활성화되면서 고객의 개인정보 및 중요정보 유출, 챗봇의 자기학습으로 인한 이상동작 가능성 등 새로운 보안위협도 제기되고 있다. 이에 금융보안원이 발표한 보고서를 중심으로 국내·외 금융권의 챗봇 활용 현황과 주요 보안 고려사항에 대해 살펴본다.
최근 금융권에서는 ①인건비 및 고용관리비용 저렴 ②업무 중단 없이 고객에 응대 ③ 고객의 필요를 신속하게 분석할 수 있다는 점 등이 챗봇의 장점으로 부각되면서 고객에게 금융상품을 설명하거나 판매·결제하는 데 챗봇을 이용한 고객응대가 급증하는 추세다. 고객 입장에서도 금융상품에 대한 궁금증을 언제든 바로 해소할 수 있어 향후 챗봇을 활용한 금융서비스는 더욱 확대될 것으로 예상된다.
챗봇은 금융수요자에게 신속 편리한 서비스를 제공할 수 있는 반면, 개인정보 유출과 같은 위협이 유발될 수 있어 발생 가능한 보안위협을 예측하고 대응방안을 고려할 필요가 있다는 지적이 제기되고 있다.
▲국내 금융권 챗봇 주요 도입현황(2018.2.23. 기준)[자료=금융보안원]
▲해외 금융권 챗봇 도입현황[자료=https://www.chatbots.org 및 해외 언론보도 등 참조]
국내 주요 금융회사는 자체 플랫폼 또는 카카오톡 등 외부 플랫폼을 이용하여 챗봇 기반의 금융 서비스를 고객에게 제공 중에 있다. 국외 주요 금융회사는 보험업계에서 2007년 최초로 챗봇을 도입했으며, 점차적으로 다른 금융권에서도 도입이 확산되기 시작했다.
금융권 ‘챗봇’의 유형과 향후 보안위협
금융보안원에서 국내·외 주요 금융회사를 대상으로 챗봇 활용 현황을 조사한 결과, 챗봇은 시나리오 기반의 챗봇과 AI 기술을 적용한 챗봇으로 분류할 수 있다. 시나리오 기반의 챗봇은 고객과의 대화 시나리오를 사전에 정의한 후, 사용자가 입력하는 키워드에 따라 금융상품 소개, 영업점 안내 등 간단한 업무 위주의 서비스를 제공하는 방식이다. 시나리오 기반 챗봇은 제한적 질문에 대해 정해진 답을 출력하기 때문에 AI 기술을 적용한 챗봇보다 새로운 보안위협이 미비할 것으로 예상된다.
반면, AI 기술을 적용한 챗봇의 경우 복잡한 질문에도 응답할 수 있고 자기학습도 가능하여 다양한 서비스 제공이 가능하다. 일부 국외 금융회사는 고객 상담뿐만 아니라 송금, 카드분실 신고·정지 등 국내에 비해 다양한 서비스를 제공하고 있다. 그러나 AI 기술 기반 챗봇은 고객의 개인정보 및 중요정보 유출, 챗봇의 자기학습으로 인한 이상동작 가능성 등 새로운 보안위협이 예상된다.
이렇듯 AI 기능이 챗봇의 성공을 보장하지는 않고, 보안위협도 증가할 수 있기 때문에 챗봇의 목적에 따라 AI 기능 활용시 장·단점을 충분히 고려할 필요가 있다. AI 기반 챗봇의 경우 자연어 처리가 가능한데다 복잡하고 다양한 업무 대응과 정보 제공도 가능하지만, 사용자 질문에 맞춰 답변하므로 명확한 정보 전달 및 영업 등 챗봇의 고유 목적을 효율적으로 달성하도록 구현하는 것이 어려우며, 개인정보 유출 등의 보안위협이 증가할 수 있다. 일례로 네이버 톡톡 서비스의 경우 AI 기능 활용이 매출 향상에 도움이 되지 않는다고 판단해 시나리오 기반 챗봇으로 구현하기도 했다.
▲챗봇 구조 및 보안기능[자료=금융보안원]
챗봇 기반 금융 서비스의 주요 보안 고려사항
챗봇 기반의 서비스는 일반적으로 사용자, 챗봇, 봇 서버, 금융서버, 금융정보DB로 구성되어 있다. 이에 챗봇의 구성요소별 발생 가능한 보안위협을 파악하고 이에 대한 적절한 대응방안을 마련할 필요가 있다. 챗봇 기반 금융 서비스의 경우 △이용자단 보안 △봇서버 보안 △플랫폼 보안 △접근제어 △네트워크 보안 △AI 보안 등 각 단계별로 보안을 검토해야 한다. 이 가운데 이용자단과 플랫폼, 그리고 AI 보안 단계에서의 보안 고려사항에 대해 살펴보자.
먼저 이용자단에서는 이용자가 비정상적인 챗봇을 설치 및 사용할 경우, 피싱 또는 파밍 공격 등으로 보안위협이 발생할 수 있으며, 이로 인해 이용자의 주요 정보 유출이 가능하다. 이에 금융회사는 챗봇에 대한 식별 기능을 제공하고, 챗봇을 통해 입력되는 중요정보를 사용자 단말기에 저장하지 않거나 불가피한 경우 안전한 암호 알고리즘을 적용할 필요가 있다.
플랫폼 보안의 경우 카카오톡 등 타사 플랫폼을 이용하여 서비스를 제공할 경우 해당 플랫폼의 보안 취약점은 챗봇에도 반영되므로, 해당 플랫폼의 보안취약점 및 시큐어코딩 점검 결과 등을 확인해야 한다.
마지막으로 AI 보안의 경우 AI 기술 적용 시 고객이 입력한 단어에 대해 AI가 의도치 않은 행위를 수행하여 개인정보 유출 등의 보안위협이 발생할 수 있으므로, AI 행위에 제한을 두어 이상행위 수행을 제한하고, AI 대답에 개인정보 포함 여부 등을 확인해 필터링을 해야 한다는 게 금융보안원 측의 설명이다.
그 외에 사용자 계정과 봇서버 보안 및 접근제어, 네트워크 보안, 웹서버 보안 등 금융 서비스에서 일반적으로 고려되는 보안사항에 대해서도 대비가 필요하다.
해당 보고서에서 금융보안원은 “금융산업에 적용되는 챗봇 중 AI 기술을 적용한 챗봇은 아직까지는 연구·개발 및 적용이 초기단계이므로, 보안요소를 신중히 고려해 금융 서비스에 반영할 필요가 있다”며, “네트워크 보안, 웹서버 취약점뿐만 아니라 AI 기술, 챗봇 플랫폼 등에 의한 보안위협 파악과 대응방안을 마련해 안전한 금융 서비스를 구축해야 한다”고 밝혔다.
[권 준 기자(editor@boannews.com)]
이용자·플랫폼·AI 등 각 단계별 보안위협 체크해 대응방안 마련 필요
[보안뉴스 권 준 기자] 최근 은행·보험·카드사 등 금융권을 중심으로 상담 서비스 등에 ‘챗봇(Chatbot)’을 도입하는 움직임이 거세게 일고 있다. 챗봇은 사람의 언어를 이용하여 사람과 대화를 하는 컴퓨터 프로그램으로, 주로 고객과의 상담을 위해 다양한 분야에서 활용된다.
[이미지=iclickart]
이러한 가운데 챗봇이 활성화되면서 고객의 개인정보 및 중요정보 유출, 챗봇의 자기학습으로 인한 이상동작 가능성 등 새로운 보안위협도 제기되고 있다. 이에 금융보안원이 발표한 보고서를 중심으로 국내·외 금융권의 챗봇 활용 현황과 주요 보안 고려사항에 대해 살펴본다.
최근 금융권에서는 ①인건비 및 고용관리비용 저렴 ②업무 중단 없이 고객에 응대 ③ 고객의 필요를 신속하게 분석할 수 있다는 점 등이 챗봇의 장점으로 부각되면서 고객에게 금융상품을 설명하거나 판매·결제하는 데 챗봇을 이용한 고객응대가 급증하는 추세다. 고객 입장에서도 금융상품에 대한 궁금증을 언제든 바로 해소할 수 있어 향후 챗봇을 활용한 금융서비스는 더욱 확대될 것으로 예상된다.
챗봇은 금융수요자에게 신속 편리한 서비스를 제공할 수 있는 반면, 개인정보 유출과 같은 위협이 유발될 수 있어 발생 가능한 보안위협을 예측하고 대응방안을 고려할 필요가 있다는 지적이 제기되고 있다.
▲국내 금융권 챗봇 주요 도입현황(2018.2.23. 기준)[자료=금융보안원]
▲해외 금융권 챗봇 도입현황[자료=https://www.chatbots.org 및 해외 언론보도 등 참조]
국내 주요 금융회사는 자체 플랫폼 또는 카카오톡 등 외부 플랫폼을 이용하여 챗봇 기반의 금융 서비스를 고객에게 제공 중에 있다. 국외 주요 금융회사는 보험업계에서 2007년 최초로 챗봇을 도입했으며, 점차적으로 다른 금융권에서도 도입이 확산되기 시작했다.
금융권 ‘챗봇’의 유형과 향후 보안위협
금융보안원에서 국내·외 주요 금융회사를 대상으로 챗봇 활용 현황을 조사한 결과, 챗봇은 시나리오 기반의 챗봇과 AI 기술을 적용한 챗봇으로 분류할 수 있다. 시나리오 기반의 챗봇은 고객과의 대화 시나리오를 사전에 정의한 후, 사용자가 입력하는 키워드에 따라 금융상품 소개, 영업점 안내 등 간단한 업무 위주의 서비스를 제공하는 방식이다. 시나리오 기반 챗봇은 제한적 질문에 대해 정해진 답을 출력하기 때문에 AI 기술을 적용한 챗봇보다 새로운 보안위협이 미비할 것으로 예상된다.
반면, AI 기술을 적용한 챗봇의 경우 복잡한 질문에도 응답할 수 있고 자기학습도 가능하여 다양한 서비스 제공이 가능하다. 일부 국외 금융회사는 고객 상담뿐만 아니라 송금, 카드분실 신고·정지 등 국내에 비해 다양한 서비스를 제공하고 있다. 그러나 AI 기술 기반 챗봇은 고객의 개인정보 및 중요정보 유출, 챗봇의 자기학습으로 인한 이상동작 가능성 등 새로운 보안위협이 예상된다.
이렇듯 AI 기능이 챗봇의 성공을 보장하지는 않고, 보안위협도 증가할 수 있기 때문에 챗봇의 목적에 따라 AI 기능 활용시 장·단점을 충분히 고려할 필요가 있다. AI 기반 챗봇의 경우 자연어 처리가 가능한데다 복잡하고 다양한 업무 대응과 정보 제공도 가능하지만, 사용자 질문에 맞춰 답변하므로 명확한 정보 전달 및 영업 등 챗봇의 고유 목적을 효율적으로 달성하도록 구현하는 것이 어려우며, 개인정보 유출 등의 보안위협이 증가할 수 있다. 일례로 네이버 톡톡 서비스의 경우 AI 기능 활용이 매출 향상에 도움이 되지 않는다고 판단해 시나리오 기반 챗봇으로 구현하기도 했다.
▲챗봇 구조 및 보안기능[자료=금융보안원]
챗봇 기반 금융 서비스의 주요 보안 고려사항
챗봇 기반의 서비스는 일반적으로 사용자, 챗봇, 봇 서버, 금융서버, 금융정보DB로 구성되어 있다. 이에 챗봇의 구성요소별 발생 가능한 보안위협을 파악하고 이에 대한 적절한 대응방안을 마련할 필요가 있다. 챗봇 기반 금융 서비스의 경우 △이용자단 보안 △봇서버 보안 △플랫폼 보안 △접근제어 △네트워크 보안 △AI 보안 등 각 단계별로 보안을 검토해야 한다. 이 가운데 이용자단과 플랫폼, 그리고 AI 보안 단계에서의 보안 고려사항에 대해 살펴보자.
먼저 이용자단에서는 이용자가 비정상적인 챗봇을 설치 및 사용할 경우, 피싱 또는 파밍 공격 등으로 보안위협이 발생할 수 있으며, 이로 인해 이용자의 주요 정보 유출이 가능하다. 이에 금융회사는 챗봇에 대한 식별 기능을 제공하고, 챗봇을 통해 입력되는 중요정보를 사용자 단말기에 저장하지 않거나 불가피한 경우 안전한 암호 알고리즘을 적용할 필요가 있다.
플랫폼 보안의 경우 카카오톡 등 타사 플랫폼을 이용하여 서비스를 제공할 경우 해당 플랫폼의 보안 취약점은 챗봇에도 반영되므로, 해당 플랫폼의 보안취약점 및 시큐어코딩 점검 결과 등을 확인해야 한다.
마지막으로 AI 보안의 경우 AI 기술 적용 시 고객이 입력한 단어에 대해 AI가 의도치 않은 행위를 수행하여 개인정보 유출 등의 보안위협이 발생할 수 있으므로, AI 행위에 제한을 두어 이상행위 수행을 제한하고, AI 대답에 개인정보 포함 여부 등을 확인해 필터링을 해야 한다는 게 금융보안원 측의 설명이다.
그 외에 사용자 계정과 봇서버 보안 및 접근제어, 네트워크 보안, 웹서버 보안 등 금융 서비스에서 일반적으로 고려되는 보안사항에 대해서도 대비가 필요하다.
해당 보고서에서 금융보안원은 “금융산업에 적용되는 챗봇 중 AI 기술을 적용한 챗봇은 아직까지는 연구·개발 및 적용이 초기단계이므로, 보안요소를 신중히 고려해 금융 서비스에 반영할 필요가 있다”며, “네트워크 보안, 웹서버 취약점뿐만 아니라 AI 기술, 챗봇 플랫폼 등에 의한 보안위협 파악과 대응방안을 마련해 안전한 금융 서비스를 구축해야 한다”고 밝혔다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
