ChatGPT와 같은 생성형 인공 지능 (AI) 플랫폼 및 챗봇이 사이버 보안에 미칠 영향에 대해 지난 몇 개월 동안 많은 정보가 유출되었습니다.당연하게도 많은 사람들은 인터넷에 연결되어 있고 악의적인 동기가 있는 사람이라면 누구나 이 도구를 통해 놀라운 규모로 회피 위협을 일으킬 수 있다는 사실에 불안해하고 있습니다.버튼 클릭 한 번으로 수천 개의 개별 표적 멀웨어, 피싱 이메일 및 기타 위협을 생성하고 공개할 수 있다고 상상해 보십시오.정말 무서운 생각입니다.
그러나 사이버 보안 전문가들이 ChatGPT가 전 세계 조직과 개인에게 미치는 위험에 대해 경고한 것은 맞지만, 이러한 제너레이티브 AI 플랫폼 및 챗봇의 가장 무서운 측면과 조직의 보안 태세에 미치는 실제 영향인 독점 데이터 또는 기타 지적 재산권 (IP) 의 잠재적 손실은 간과하고 있을 수 있습니다.
에 따르면 테시안, 과실 또는 불만을 품은 직원에 의한 우발적인 데이터 손실과 고의적인 데이터 유출이 지난 몇 년간 47% 증가했습니다.ChatGPT 및 기타 제너레이티브 AI 플랫폼 및 챗봇을 통해 독점 데이터 및 IP를 실수로 노출하는 것이 그 어느 때보다 쉬워짐에 따라 조직은 증가하는 보안 위험을 빠른 시일 내에 해결해야 할 것입니다.
삼성을 포함한 일부 회사는 어려운 방법을 배웠습니다.최근 한 엔지니어 그룹이 회사의 반도체 그룹 회사에서 개발 중인 새로운 기능에 대한 코드를 더 효율적으로 만들 수 있는지 알아보기 위해 ChatGPT에 소스 코드를 입력했습니다.ChatGPT 및 기타 제너레이티브 AI 도구는 입력 데이터를 보존하여 자체 학습을 진행하며, 이제 입력된 삼성 소스 코드를 사용하여 다른 사용자의 요청에 대한 응답을 작성할 수 있습니다.여기에는 취약점을 찾는 위협 행위자나 독점 정보를 찾는 경쟁자가 포함됩니다.
기업이 조심해야 할 것은 소스 코드뿐만이 아닙니다.또 다른 예로, 삼성의 한 임원이 ChatGPT를 사용하여 내부 회의의 메모를 프레젠테이션으로 전환했습니다.경쟁 회사의 진취적인 임원이 나중에 ChatGPT에 삼성의 비즈니스 전략에 대해 묻는다면 어떨까요?내부 회의록에 있는 정보는 대응 방안을 마련하는 데 사용될 수 있으며, 이는 삼성의 데이터를 효과적으로 위험에 빠뜨릴 수 있습니다.
또한 위험을 초래하는 것은 입력 필드에 소스 자료를 붙여넣는 것만이 아닙니다.요청을 실제로 표현하면 경쟁 정보도 알 수 있습니다.CEO가 ChatGPT에 잠재적 인수 대상 목록을 요청하면 어떻게 될까요?이를 통해 회사의 성장 전략에 대한 다른 사용자의 질문을 알 수 있을까요?아니면 디자이너가 AI 이미지 생성기에 회사 로고를 업로드하여 가능한 재설계에 대한 아이디어를 얻는다면 어떨까요?기술적으로 말하자면 이 로고를 사용하여 다른 사용자를 위한 로고를 생성할 수 있습니다.
놀랍게도 전 세계 기업의 수천 명의 직원이 수작업적이고 지루한 작업을 간소화하기 위해 ChatGPT 및 기타 제너레이티브 AI 플랫폼에 독점 정보를 입력했다는 것입니다.AI와 머신 러닝 (ML) 을 사용하여 마케팅 자료, 영업 프레젠테이션 및 비즈니스 계획과 같은 코드와 문서의 초안을 개발하는 기능은 매우 유용하고 매력적입니다.하지만 기업이 ChatGPT 및 기타 제너레이티브 AI 플랫폼을 그냥 차단할 수는 없습니다.이들은 오늘날의 비즈니스 환경에서 보편화되고 있는 합법적인 도구입니다.이러한 도구를 사용하지 않는 것은 민첩성을 저해하고 경쟁에서 불리하게 작용한다고 볼 수 있습니다.사실, 이탈리아 정부 최근에는 전국적인 금지령이 자신에게 불리하게 작용한다고 생각하는 비즈니스 사용자의 반발 때문에 철회해야 했습니다.
기업은 직원들이 조직을 위험에 빠뜨리지 않는 안전한 방식으로 늘어나는 제너레이티브 AI 플랫폼과 챗봇을 사용할 수 있도록 하는 방법을 찾아야 할 것입니다.
안타깝게도 기존의 DLP (데이터 손실 방지), CASB (클라우드 액세스 보안 브로커) 및 기타 내부자 위협 솔루션으로는 이 새로운 기술의 미묘한 차이를 처리할 수 없습니다.여전히 탐지 및 대응 방식을 취하고 있는 이러한 솔루션은 조직 외부로 흐르는 엄청난 양의 트래픽 사이에서 키워드나 표현을 찾습니다.이러한 정보는 보안 전문가와 제품 소유자가 수동으로 입력해야 하는 경우가 많기 때문에 모든 것을 파악하는 것이 거의 불가능합니다.솔루션에서 데이터 유출을 탐지하더라도 이미 너무 늦었을 수 있습니다.정보가 입력되었으므로 해당 정보를 되돌릴 수 있는 '다시 실행' 버튼이 없습니다.여러분의 정보는 제너레이티브 AI 플랫폼 안에 영원히 남아 있으며 앞으로도 계속해서 응답을 알려줄 것입니다.
조직은 이러한 제너레이티브 AI 플랫폼 및 챗봇에 정보가 입력되는 것을 방지해야 하지만 직원들이 이러한 유용한 도구를 사용하는 것을 방해하지 않도록 해야 합니다.조직에서는 문자 수를 제한하거나 알려진 코드를 차단하는 등 입력 필드에 붙여넣을 수 있는 내용을 제한하여 이를 수행할 수 있습니다.아무도 수천 줄의 소스 코드를 수동으로 입력할 필요가 없으므로 붙여넣기 기능을 제한하면 이러한 유형의 데이터 손실을 효과적으로 방지할 수 있습니다.또한 사용자는 입력하려는 정보에 대해 다시 한 번 생각하게 될 수도 있습니다.
그러나 가장 중요한 것은 조직이 최종 브라우저 외부에서 ChatGPT 및 기타 제너레이티브 AI 플랫폼과의 상호 작용을 제한해야 한다는 것입니다.클라우드의 원격 브라우저에서 앱 명령을 실행하면 사용자와 인터넷 간에 추가 보호 계층이 제공되므로 조직은 데이터 유출이 발생하기 전에 악의적인 활동 (의도적이든 아니든) 을 중지할 수 있습니다.또한 이벤트 로깅 또는 브라우저 기록 시작과 같은 추가 보안 제어를 트리거하는 보안 정책을 적용하여 문제 해결 및 사후 이벤트 분석을 지원할 수 있습니다.내부자에 의한 보안 침해에 대한 조사는 의도를 입증할 수 있어야 한다는 점을 기억해야 합니다.이벤트와 브라우저 세션을 기록하면 사용자가 악의적인 행동인지 아니면 단순한 부주의인지에 대한 가시성과 통찰력을 얻을 수 있습니다.
ChatGPT 및 기타 수많은 제너레이티브 AI 플랫폼은 사람들이 비즈니스 프로세스를 간소화하고, 지루한 작업을 자동화하거나, 글쓰기, 디자인 또는 코딩 프로젝트를 시작하는 데 사용할 수 있는 강력한 비즈니스 도구입니다.안타깝게도 사용자가 이러한 플랫폼에 입력하는 정보와 요청 자체는 위협 행위자 및 경쟁업체를 포함한 향후 요청에 정보를 제공하는 데 사용될 수 있습니다.사용자를 인터넷으로부터 격리하는 예방적 접근 방식은 기존 탐지 기능을 보강하여 이러한 유형의 대규모 데이터 손실에 대한 1차 방어선을 제공할 수 있습니다.이러한 도구가 보호되고 있다는 사실을 알게 되면 직원들은 거의 자유롭게 이러한 혁신적인 새 도구의 이점을 활용하고 생산성을 개선하며 비즈니스 민첩성을 확보할 수 있습니다.
