직원의 AI 사용을 금지해야 할까요?
LLM의 이점과 위험성 살펴보기
기업에서는 항상 효율성과 생산성을 개선할 방법을 찾고 있으며, 많은 기업에서 ChatGPT 등의 AI 기반 대규모 언어 모델(LLM)을 사용하여 콘텐츠를 생성하고, 고객과 채팅하며, 심지어 소프트웨어를 구축하는 데 뛰어드는 것이 유망해 보입니다. 하지만 반대로 많은 대기업에서는 직원들이 이러한 기술을 사용하지 못하도록 막아야 한다는 사실을 알게 되었습니다. 문제는 동종 업계의 다른 기업들도 이를 따를지 여부입니다.
AI를 금지하는 이유는? 이유: 생성형 AI 서비스는 추가 학습을 위해 데이터 입력을 사용하며, 나중에 데이터를 외부에 공개하는 경우가 많기 때문입니다. 중요한 데이터를 소유 또는 처리하거나, 독점 지적 재산을 관리하거나, 규제가 심한 산업에서 일하거나, 비공개 소스 소프트웨어를 생산하는 조직의 경우 이러한 유형의 데이터 유출로 인해 치명적인 피해를 입을 수 있습니다.
하지만 이러한 도구는 엄청난 이점도 제공합니다. 그렇다면 CISO는 ChatGPT 등을 허용할지 금지할지 어떻게 결정할 수 있을까요? 특히 이러한 금지 조치가 직원들의 생산성을 저해할 수 있고, 시행하기 어려우며, 서브버전의 소지가 다분하다는 점을 고려하면 결정하기가 더욱 어려울 것입니다.
ChatGPT 및 기타 AI 도구가 안전하지 않은 이유는?
직원들은 ChatGPT 및 다른 LLM이 업무를 더 쉽게 하고 프로세스를 더 효율적으로 만들어 준다고 인식할 수 있으므로, 자신도 모르는 사이에 데이터 유출을 초래하는 방식으로 사용할 수 있습니다.
모든 AI 모델과 마찬가지로 ChatGPT도 더 많은 데이터가 입력될수록 더 나은 결과를 생성하도록 설계되었습니다. 이러한 도구는 안전한 데이터 보관소로 설계되지는 않았으므로 의도하지 않은 데이터 유출이 발생할 수 있지만, 이것이 반드시 결함이라고 할 수는 없습니다. LinkedIn, Instagram 등의 소셜 미디어 플랫폼에 기밀 정보를 게시하는 것이 안전하지 않은 것과 마찬가지로, 이러한 앱은 개인 데이터를 보호하기 위해 만들어지지는 않았습니다.
한 연구에 따르면 직원들이 규제 대상인 기밀 정보나 지적 재산을 이러한 도구에 붙여 넣는 것으로 나타났습니다. 또 다른 사례에서 삼성의 엔지니어가 ChatGPT에 기밀 데이터를 업로드한 후 실수로 기밀 데이터를 유출하여 삼성에서 직원들의 ChatGPT 사용을 제한�하는 결과가 초래되었습니다.
다른 소프트웨어와 마찬가지로 LLM에도 버그가 포함되어 있는 경우가 많으며, 그 중 일부는 데이터 유출을 초래할 수 있습니다. 2023년 3월, OpenAI는 버그로 인해 사용자가 ChatGPT와 나눈 대화의 일부가 다른 사용자에게 노출되는 문제를 발견했습니다.
마지막으로, 이러한 도구와 관련된 규정 준수 및 규제 문제가 있습니다. 데이터가 어떻게 처리되는지에 대한 보장이 없으며, 데이터를 공유하면 기업에서 데이터 보안 규제를 준수하지 못할 수 있습니다. 외부 애플리케이션과 마찬가지로 데이터가 유출되거나 데이터 처리 방식에 대한 가시성이 부족하면 GDPR 또는 기타 규제 프레임워크를 위반하게 될 수 있습니다. 데이터를 LLM으로 전달하면 규제 준수에 필요한 데이터 감사 추적도 중단됩니다.
금지 조치: 금지 대상 및 사유
이러한 위험성을 고려하여 몇몇 대기업에서는 직원들의 LLM 사용을 전면 중단하는 조치를 취했습니다.
아마존에서는 아마존 내부 데이터와 유사한 ChatGPT 응답을 발견한 후 ChatGPT 사용 금지를 시행했습니다. Apple은 이러한 도구 때문에 중요한 정보가 유출될 수 있다는 우려로 인해 GitHub의 자동 코딩 도구인 ChatGPT와 Copilot의 내부 사용을 자체적으로 금지했습니��다.
특히 금융 업계에서는 LLM 사용 중단에 적극적으로 나서고 있습니다. JP모건 체이스에서는 보호 대상인 금융 정보가 유출되어 국가 및 업계 데이터 규정 위반으로 이어질 수 있다는 점을 우려하여 ChatGPT의 내부 사용을 엄격하게 제한하고 있습니다. 뱅크 오브 아메리카, 씨티그룹, 도이체 방크 등의 대형 금융 서비스 공급자들도 이들의 모범을 따랐습니다.
마지막으로, 삼성에서는 앞서 언급한 바와 같이 ChatGPT를 장기간 금지했습니다. 삼성에서는 여러 차례 금지 조치를 해제했다가 다시 도입했습니다.
이러한 사례와 다른 사례에 비추어 볼 때, 직원의 생성형 AI 사용을 금지하거나 제한하는 기업에서는 다음과 같은 주요한 이유 때문에 이를 시행하는 것으로 보입니다.
내부 데이터의 직접적인 유출
LLM이 알고리즘과 대응을 개선하기 위해 데이터 입력을 저장, 처리, 활용하는 방식에 대한 우려. 이로 인해 비공개 내부 데이터를 모방하고 경쟁사 정보를 우발적으로 배포할 수 있음
LLM이 규제 대상 데이터를 처리하는 방식에 대한 로깅 부족에 대한 우려
금지에 따른 문제
조직에서는 LLM 사용을 금지하거나 제한하기로 결정하더라도 이를 실행하는 것이 거의 불가능하다는 것을 알게 될 수도 있습니다.
보안 표준을 설정한다고 해서 내부 사용자가 해당 표준을 따르거나 규칙을 인지하게 되는 것은 아닙니다. 조직에서는 이미 클라우드 컴퓨팅으로 인해 원격 근무 시 보안되지 않은 개인 기기의 사용을 차단하거나 승인되지 않은 SaaS 앱의 사용을 막는 것이 어려움을 알고 있습니다. 승인되지 않은 앱의 사용을 "섀도우 IT"라고 부르지만, LLM 금지에 따른 잠재적 상황을 "섀도우 AI"라고 부를 수도 있습니다.
보안팀에서는 이러한 도구의 IP 주소나 URL을 차단하여 특정 앱을 금지할 수 있지만, 물론 이러한 제한이 완벽하게 효과적인 것은 아닙니다. 개인용 장치에 적합한 보안 클라이언트가 설치되어 있지 않을 수 있으며, 회사 장비를 회사 네트워크가 아닌 네트워크에서 사용할 수 있습니다. 굳이 사용하려는 사용자는 방화벽 규칙을 우회하고 금지된 도구에 액세스하기 위해 VPN을 사용할 수도 있습니다.
금지의 대안: 데이터 손실 방지(DLP)
ChatGPT 및 이와 유사한 서비스에 대해 확실하게 말할 수 있는 한 가지는 이러한 도구가 매우 인기가 있다는 것입니다. 사용 금지는 사용량과 관련 데이터 유출을 줄이는 데 도움이 될 수 있습니다. 하지만 CISO는 직원들이 회사 장치에서든 개인 장치에서든 이 앱을 사용고 있다고 가정하고 싶을 수 있습니다. 이를 위해 데이터 손실 방지(DLP) 솔루션 도입을 적극 고려해야 합니다.
DLP 솔루션은 다양한 전술을 사용하여 중요한 데이터를 감지하고 보호된 환경에서 벗어나지 못하도록 합니다. 이러한 방법에는 패턴 매칭, 키워드 매칭, 파일 해시 매칭, 데이터 핑거프린팅 등이 있지만, AI 도구 데이터 유출을 방지하는 데 가장 적합한 방법은 복사 및 붙여넣기, 업로드, 키보드 입력 등을 제한하는 기능입니다.
DLP 솔루션(브라우저 격리와 함께 사용할 경우)은 직원의 복사 및 붙여넣기를 방지하여 직원이 LLM을 포함한 모든 웹 앱에 중요한 데이터를 입력하는 것을 차단할 수 있어야 합니다. 또한 DLP는 데이터 업로드를 차단하고, 특정 키보드 입력을 중지시키고, 발신 HTTP 요청에서 기밀 데이터를 감지할 수 있습니다.
조직에서는 생성형 AI 사용을 금지하기를 원할 수도 있고 원하지 않을 수도 있습니다. 하지만 사용을 완전히 중단시키지 못할 수도 있습니다. 그렇지만 둘 중 어떤 상황에 처한 조직에 대해서도 DLP는 자유로운 AI 사용과 AI 금지 모두에 대한 대안을 제공합니다.
회사에서 직원의 ChatGPT 사용을 금지해야 할��까요?
물론 DLP 때문에 데이터가 업로드되지 않는다는 보장은 없습니다. 전반적으로 CISO는 ChatGPT 및 기타 LLM의 사용 허용에 대한 장단점을 비교 검토해야 하며, 그 결론은 업종별로 다를 것입니다. 은행업과 같이 규제가 심한 업종에서는 LLM에 콘텐츠를 업로드하는 것이 쉽지 않을 수 있습니다. 다른 업종에서는 CISO가 AI 사용을 사례별로 평가하거나 자유롭게 허용할 수도 있습니다.
하지만 모든 기업에는 보호해야 할 중요한 데이터가 있으며, DLP는 이러한 데이터를 LLM 데이터베이스에서 유출되지 않도록 보호하는 데 도움이 될 수 있습니다. 오늘날의 환경에서는 데이터 보호가 중요하므로 Cloudflare에서는 업무 환경에서 생성형 AI 도구의 사용이 증가함에 따라 데이터 및 코드 노출의 위험을 줄이는 데 도움이 되는 DLP를 제공합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
SaaS 애플리케이션 보호 방법 간소화 백서를 다운로드하여 Cloudflare에서 Zero Trust로 조직에서 애플리케이션과 데이터를 보호하도록 지원하는 방법을 알아보세요.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
대규모 언어 모델(LLM) 때문에 데이터가 위험에 처하는 이유
몇몇 글로벌 기업에서는 ChatGPT 및 기타 생성형 AI 도구의 내부 사용을 금지하고 있습니다.
데이터 손실 방지(DLP)를 통해 AI를 안전하게 사용하는 방법