AI가 등장했습니다. 기업에서는 어떻게 보안을 유지할 수 있을까요?
ChatGPT와 같은 생성형 AI 도구(그리고 이와 동급인 Bing AI, Google Bard 등 수많은 도구)는 최근 놀랍고 전례 없는 속도로 주류로 자리 잡았습니다. 거의 하룻밤 사이에 이러한 도구와 무수히 많은 사용 사례가 전 세계 뉴스 헤드라인을 장식했습니다.
AI가 제공하는 무한한 가능성과 기회로 인해 초연결 디지털 세상에서 비즈니스의 판도가 바뀔 것이라는 데는 의심의 여지가 없습니다. 미국에서만 1억 4,000만 달러를 투자해 7개의 인공지능 연구 허브를 만들겠다는 발표가 나왔습니다.
AI 혁명은 이제 빙산의 일각에 불과합니다. 인터넷, 스마트폰, 클라우드 컴퓨팅의 발명에 버금가는 영향력을 가졌으니까요.
하지만 이 새로운 기술의 빠른 발전으로 인해 물 들어올 때 노를 젓는 것처럼 이러한 혁신을 성장에 활용하고자 하는 기업들의 경쟁이 치열해졌습니다. 이점을 제공하는 것 외에도 AI에는 도전과 위험도 수반됩니다. 악의적�인 행위자들이 AI를 이용하여 악의적인 작업을 수행하기 때문입니다. 취약한 시스템을 식별하고 악용하기 위한 코드 작성, 피해자에게 맞춤화된 피싱 이메일 작성, 오해를 불러일으킬 수 있는 시나리오의 경영진 가장 등 의심스러운 용도를 포함하여 AI의 가능성은 무궁무진합니다.
이러한 배경에서 기업에서는 AI를 비즈니스에 도입할 때 경계를 늦추지 말고 사이버 방어를 강화해야 합니다. 많은 정부에서 AI 도입을 위한 안전장치와 프레임워크를 마련하고 있지만, 기업에서는 AI가 실행하는 잠재적인 사이버 공격에 대비해 선제적으로 대비할 필요가 있습니다.
시스템, 데이터, 네트워크 보안 유지
기업에서 인프라와 자산을 보호할 수 있는 세 가지 방법은 다음과 같습니다.
1. AI로 기술 강화
기업에서는 AI를 두려워하거나 공격적인 AI 위협에 대하여 AI 대응책을 머련하려고 애쓰는 대신 AI를 사용하여 사이버 보안팀의 기술과 역량을 강화할 수 있습니다.
이는 숙련된 인재 부족 현상이 지속되고 있는 사이버 보안 분야에서 특히 중요합니다. 전 세계적으로 부족한 사이버 보안 인력은 340만 명에 달합니다. 조직에서 디지털화를 지속함에 따라 사이버 보안 역할에 대한 수요는 꾸준히 증가할 것입니다. AI를 통해 이 분야에 처음 입문하는 사람은 수동적이고 일�상적인 업무를 자동화하는 데 도움을 받을 수 있고, 고급 보안 엔지니어는 코딩 및 스크립팅 기능을 향상할 수 있습니다.
2. 전자 메일 보호 계층 추가 설정
이메일은 여전히 사이버 공격의 가장 큰 진입점입니다. 공격자는 AI를 통해 소셜 엔지니어링 및 피싱 전술을 한 단계 더 발전시켜 아주 사실적이고 쉽게 속아 넘어갈 수 있는 이메일을 작성할 수 있습니다.
보안팀에서는 직원들이 이러한 피싱 공격을 더 잘 식별할 수 있도록 교육하여 악의적인 공격자가 조직 네트워크에 침투하는 것을 방지해야 합니다. 여기에는 정기적인 교육, 재교육 세션, 일상적인 활동에서 발생하는 의심스러운 활동을 보고할 수 있는 플랫폼 제공 등이 포함됩니다.
그렇게 하더라도 사람의 실수는 피할 수 없습니다. 기술적인 측면에서 기업에서는 첨단 이메일 보안 도구를 사용하여 직원을 보호할 수 있습니다. 이러한 도구는 이메일 서비스의 기본 필터링 기능을 뛰어넘어 다양한 경로의 공격을 포괄적으로 차단할 수 있습니다. 신뢰할 수 있는 발신자나 도메인에서 온 공격이라고 해도 말입니다.
3. 강력하고 총체적인 사이버 보안 전략 채택
피싱 이메일 외에도 AI는 회사 데이터와 애플리케이션에 잠재적인 위험을 초래하는데, �특히 AI의 사용이 점점 더 보편화되면서 다각적인 공격에 더 많이 노출되고 있습니다. 예를 들어, 직원들이 사용하는 인터넷 연결 애플리케이션은 봇 및 AI 기반 공격에 특히 취약합니다.
조직에서는 기존의 성과 해자 경계로 네트워크를 보호하는 것을 넘어서서, 데이터의 위치 및 사용자와 애플리케이션이 데이터에 액세스하는 방식에 집중해야 합니다. 이는 Zero Trust 아키텍처를 통해 보다 강력하고 총체적인 사이버 보안 전략을 채택하는 것을 의미합니다. Zero Trust 보안 모델을 사용하면 조직에서는 이미 네트워크 경계 내에 있는 사람을 포함하여 그 누구도 신뢰하지 않고 엄격한 액세스 제어를 유지할 수 있습니다. 이렇게 하면 공격자가 초기 네트워크 계층에 침투하더라도 조직의 데이터와 애플리케이션을 마음대로 사용할 수 없습니다.
직원들 사이에서 AI 사용이 보편화됨에 따라 조직에서는 허용 가능한 사용 정책, 기술적 통제, 데이터 손실 방지 조치도 구현해야 합니다. 이는 직원과 회사 모두를 보호하는 데 큰 도움이 됩니다.
아직 초기 단계에 있는 생성형 AI는 앞으로 몇 년 안에 비약적으로 발전할 가능성이 있습니다. 사이버 보안 전문가는 이러한 도구의 사용 사례를 더 잘 이해하고 악의적인 사용에 대응할 수 있도록 호기심을 갖고 실험해 보아야 합니다.
AI 도입은 이제 막 시작 단계에 있으며, 그 무한한 이점이 잠재적인 위협보다 훨씬 ��더 큽니다. 하지만 기업에서 이러한 기술을 안전하게 사용하는 방법을 파악하는 것이 중요합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
본래 The Edge를 위해 작성된 글입니다
작성자
John Engates — @jengates
Cloudflare 기술 책임자
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
AI 도구 때문에 제시되는 새로운 보안 과제
AI를 사용하면서 조직을 보호하는3가지 방법