AI 혁신 보호
그래요, 우린 그렇게 하고 있습니다. 인공지능(AI) 도구의 폭발적인 증가와 조직 내 사이버 보안 관점에서 이를 처리하는 방법에 대해 이야기해 보겠습니다.
지난 한 해 동안 Midjourney, Stable Diffusion, Dall·E, ChatGPT, Jasper, LLaMa, Rewind 등의 AI 도구는 틈새 시장에서 주류 시장으로, 그리고 완전한 범심론(만물에 마음이 있다는 생각)으로 발전했습니다. 여러분도 저처럼 연구, 창의성, 생산성을 위한 상상력 넘치는 사용 사례에 경탄한 적이 있을 것입니다. 이러한 도구를 직접 사용해 본 적이 있다면 프롬프트를 해석하고, 응답을 생성하며, 몇 가지 사용자 작업만으로 결과물을 세분화하고 깊이를 더하는 것을 보면 최면에 걸린 것 같은 느낌이 된다는 것을 알 것입니다.
모든 기술 수준의 사용자를 위한 이러한 도구의 속도와 편의성은 진정한 혁신이라 할 수 있습니다. 제 개인적인 생각으로, 대규모 언어 모델의 결과물은 시각적 모델에 비해서는 설득력이 떨어지지만, 전반적으로 대화형 '생성' 프로세스는 놀랍습니다. Google, StackOverflow, Wikipedia 등 기존의 오픈 리소스와 비교할 때, 생성형 AI 도구는 단순히 일반적인 인텔리전스만 제공하는 것이 아니라 상호작용을 기반으로 하는 ��사용 기반 결과를 제공함으로써 놀라운 도약을 이루었습니다. 뛰어난 속도와 민첩성을 제공하는 인터랙티브 기능은 기존의 탐색, 검색, 종합 방식보다 뛰어난 성능을 발휘하여 효과적으로 정보를 최전방에 내놓을 수 있습니다.
아래 이미지를 예로 들면, 제가 Midjourney에서 "컴퓨터와 인공 지능을 사용하여 문명을 보여 주는, 상형 문자가 불을 밝히는 고대 문명의 벽화"로 "상상"한 이미지입니다.
이미지 출처: Midjourney AI 생성 - 제가 상상한 결과물
우리 조직 내에는 AI 도구를 사용할 수 있는 엄청난 기회가 있습니다. 컴퓨터 코드를 생성하고, 사용자 문서와 소비자 대상 콘텐츠를 개발하며, 고객 서비스의 부담을 덜어주고, 신입사원 온보딩과 조직 간 지식 공유를 위해 더 유용한 지식 베이스를 제작하는 데 AI 도구를 사용할 수 있습니다. 이와 같은 사용 사례는 궁극적으로 수십억 달러의 새로운 상거래 및 비즈니스 가치를 창출할 수 있습니다.
재미 삼아 ChatGPT에 "최고정보보안책임자가 AI 도구로 현재의 보안 위험을 검증할 수 있도록 체크리스트가 포함된 기업 정책을 작성해 주고, 이사회와 경영진이 참고할 수 있도록 한 페이지 분량의 요약본을 제공해 줘"라고 요청했을 때, 제가 받은 결과물은 다음과 같습니다.
여러분도 저와 같은 느낌이라면, 이러한 도구의 놀라운 잠재력과 더불어 명백한 보안 및 법적 문제에 대해 불안감을 느끼고 있을 것입니다. 리더로서 우리는 "AI 기술이 제시하는 잠재적 위험과 기회에 대해 조직 전체가 공감하고 있는가?", "공감하고 있다면, 이러한 도구의 사용이 심각한 해악을 끼치지 않도록 어떻게 보장할 수 있는가?"라는 질문을 해봐야 합니다.
사이버 보안 분야의 동료와 이야기를 나누다 보면, 이러한 기술에 대한 액세스를 노골적으로 차단하자는 쪽과 이를 수용하자는 쪽이 50대 50으로 나뉩니다. 제가 본 영화 중에, 우회 처리를 완전히 차단하여 보안 위험을 해결하는 영화가 있었습니다. 그 결과 보안 리더는 항상 우회적인 방법을 찾는 비즈니스 및 동료들과 보조를 맞추지 못하고 있는 자신을 발견하게 됩니다. 따라서 지금이야말로 신기술 반대자가 되지 말고 조직 내 사람들이 이미 이러한 도구를 사용하고 있는 현실을 직시하며 리더십을 통해 잠재적 위험을 줄이는 방식으로 이를 허용할 수 있도록 현재의 분열 상황을 해결해야 할 때입니다.
어디에서부터 시작해야 할까요? 조직을 위해 몇 가지 주요 가이드라인을 설정하면 AI 도구가 제공하는 잠재력을 제약하지 않으면서도 위험을 줄일 수 있습니다.
1. 개방형 시스템에서 IP를 차단합니다. 이는 당연해 보이지만, 고도로 규제된 정보, 통제된 데이터, 소스 코드를 개방형 AI 모델에 입력하거나 통제할 수 없는 모델에 입��력할 수는 없습니다. 마찬가지로 고객 데이터, 직원 정보, 기타 개인 데이터를 개방형 AI 도구에 입력하는 것도 피해야 합니다. 안타깝게도 이러한 행동의 예는 매일매일 발견할 수 있습니다. (예를 들어 삼성의 코드 유출 사고를 참조하세요.) 문제는 대부분의 생성형 AI 도구가 이 정보를 비공개로 유지한다는 보장이 없다는 점입니다. 사실, 생성형 AI 도구에는 연구를 수행하고 궁극적으로 미래의 결과를 개선하기 위해 입력된 내용을 사용한다고 명시되어 있습니다. 따라서, 최소한, 조직에서는 기밀 유지 정책을 업데이트하고 직원을 교육하여 중요한 정보가 이러한 AI 도구에 노출되지 않도록 해야 합니다.
2. 책임을 피하기 위해 진실성을 보장합니다. AI 도구와 상호작용해 본 적이 있다면 프롬프트에 대한 답변이 맥락 없이 제시되는 경우가 많다는 것을 알 수 있을 것입니다. 또한 이러한 답변이 항상 정확한 것은 아니라는 사실을 알 수도 있습니다. 일부 답변은 최신 정보를 기반으로 하지 않을 수 있습니다. 예를 들어 ChatGPT는 2021년 9월까지 수집된 정보를 사용합니다.
이미지 출처: ChatGPT
물론 현 총리가 Rishi Sunak이고, Liz Truss가 Boris Johnson의 후임자라는 것을 우리 모두 잘 알고 있습니다. 이러한 대응과 현재의 한계는 이러한 도구의 힘을 약화시키지는 않지만, AI에서 생성된 콘텐츠를 법원 서류에 사용한 변호사가 해당 콘텐츠가 완전히 가상의 사건을 참조한 것을 발견한 사례에서 알 수 있듯이, 현재의 위험을 더 명확하게 이해하는 데 도움이 됩니다.
3. "공격적인 AI"에 대비합니다. 많은 신기술의 경우에 그렇듯이, 사이버 공격자들은 범죄 목적으로 AI 도구를 빠르게 악용하고 있습니다. 공격자들은 어떻게 AI를 악의적으로 이용할까요? 인터넷에서 사용자의 이미지나 녹음된 음성을 찾은 다음 AI 도구를 사용하여 '딥페이크'를 만들 수 있습니다. 이들은 가짜 버전의 사용자를 이용하여 회사 자금을 횡령하거나 동료를 피싱하고 로그인 자격 증명을 요구하는 사기성 음성 메일을 남길 수 있습니다. AI 도구는 빠르게 학습하고 목표를 수행하는 능력을 향상하는 악성 코드를 생성하는 데에도 사용될 수 있습니다.
AI의 악의적인 사용과 맞서 싸우려면... AI가 필요할 수 있습니다. AI와 머신 러닝(ML) 기능을 통합한 보안 도구는 공격적인 AI 공격의 속도와 지능에 대한 효과적인 방어 수단이 될 수 있습니다. 추가 보안 기능을 통해 조직에서는 AI 도구의 사용을 모니터링하거나, 특정 도구에 대한 액세스를 제한하거나, 중요한 정보를 업로드하는 기능을 제한할 수 있습니다.
그렇다면 AI 도구로 인해 발생할 수 있는 위험으로부터 보호하는 방법은 무엇일까요? 첫 번째 단계는 AI가 이미 존재하며 앞으로도 계속 존재할 것이라는 사실을 인식하는 것입니다. 현재 사용 가능한 생성형 AI 도구를 보면 비즈니스의 효율성 향상, 생산성 증대, 창의성 촉발에 도움이 되는 AI의 엄청난 잠재력을 알 수 있습니다. 하지만 사이버 보안 리더로서 우리는 이러한 도구로 인해 발생할 수 있는 잠재적인 보안 문제를 인식하고 있어야 합니다. 올바른 가이드라인을 구현하고, 내부 교육을 강화하며, 경우에 따라 새로운 보안 솔루션을 구현함으로써 잠재적으로 강력한 AI 도구가 문제가 될 가능성을 줄일 수 있습니다.
Cloudflare에서는 AI와 관련하여 네트워크와 직원을 활성화하고 보호하기 위해 Zero Trust 접근 방식을 취하고 있습니다. 조직에서 그렇게 할 수 있도록 Cloudflare에서 지원하는 방법을 자세히 알아보세요.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
작성자
Oren Falkowitz - @orenfalkowitz
Cloudflare 보안 책임자
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
AI 도구로 인해 새로운 조직 보안 과제가 대두되는 방법
AI 혁명에서 조직이 처한 위치
AI 도구가 갖춘 잠재력을 제약하지 않으면서 위험을 줄이는 3가지 방법