사이버 보안에서 ChatGPT가 보여주는 기회와 리스크

지난 몇 달 동안 ChatGPT와 같은 인공 지능(AI) 플랫폼과 챗봇이 사이버 보안에 미칠 영향에 대해 많은 이야기가 나왔다. 인터넷 연결과 악의적인 동기만 있다면 누구나 이러한 도구를 통해 걱정스러운 규모의 회피 위협을 개발할 수 있다는 사실에 많은 사람들이 불안해하고 있다. 클릭 한 번으로 수천 개의 개별 표적 멀웨어, 스팸 이메일 및 기타 위협을 몇 분 안에 생성하고 배포할 수 있다고 상상해 보자. 정말 두려운 상황일 것이다.

그러나 사이버 보안 전문가들이 전 세계의 조직들과 개인에게 ChatGPT가 가져올 수 있는 위험에 대해 경고하는 것은 옳지만, 이러한 생성형 AI 플랫폼과 챗봇의 가장 무서운 측면과 조직들의 보안에 미치는 실질적인 영향, 즉 독점적 데이터 또는 기타 지적 재산(IP)의 잠재적 손실 가능성을 놓치고 있는 것 같다.

삼성, ChatGPT에 일급 기밀 데이터를 잃다

Tessian에 따르면 지난 몇 년 동안 부주의하거나 불만을 품은 직원에 의해 일어난 데이터 손실 실수와 고의적인 데이터 유출 사고가 47% 증가했다고 한다. ChatGPT 및 기타 생성형 AI 플랫폼과 챗봇의 등장으로 인해 실수로 독점적 데이터와 IP를 노출하는 것이 그 어느 때보다 쉽기 때문에, 조직은 증가하고 있는 보안 위험을 빠르게 직시해야 한다.

삼성을 비롯한 일부 기업들은 뼈아픈 교훈을 얻었다. 최근 삼성 반도체 그룹의 엔지니어들이 개발 중인 새로운 기능의 코드 효율성 개선을 위해 ChatGPT에 소스 코드를 입력했다는 보도가 있었다. ChatGPT 및 기타 생성형 AI 도구들은 입력된 데이터를 이용해 스스로 학습하는 방식으로 작동하기 때문에, 삼성 측에서 입력한 소스 코드는 이제 다른 사용자의 요청에 대한 응답을 도출하기 위해 사용될 수 있다. 여기에는 취약점을 찾는 위협적 행위자나 독점적 정보를 찾는 경쟁업체가 포함될 것이다.

기업이 주의해야 할 것은 소스 코드뿐만이 아니다. 일례로, 삼성의 한 임원은 내부 회의의 메모를 프레젠테이션으로 변환하기 위해 ChatGPT를 사용한 바 있다. 만약 경쟁사의 임원이 ChatGPT에 삼성의 비즈니스 전략에 대해 질문한다면 어떻게 될 것인가? 내부 회의 노트의 정보가 답변을 생성하는데 사용되어 삼성의 데이터가 위험에 처할 수 있다.

또한, 사용자가 입력하는 소스 자료만이 위험을 초래하는 것은 아니다. 사용자가 사용한 요청 문구에서도 경쟁사 정보가 드러날 수 있다. 한 CEO가 ChatGPT에 잠재적 인수 대상 목록을 요청하면 어떻게 될까? 다른 사용자가 그 회사의 성장 전략에 대해 질문할 때 정보를 얻을 수 있지 않을까? 또는 디자이너가 회사 고를 AI 이미지 생성기에 업로드하여 재디자인에 대한 아이디어를 요청한다면 어떻게 될 것인가? 엄밀히 말하자면, 이 로고는 이제 다른 사용자의 로고를 생성하는 데 사용될 수 있다.

놀라운 사실은 전 세계의 회사에서 수천 명의 직원들이 단순반복 작업을 간소화하기 위해 ChatGPT 및 기타 생성 AI 플랫폼에 독점적 정보를 입력했다는 점이다. AI와 머신러닝(ML)을 사용하여 마케팅 자료, 영업 프레젠테이션, 그리고 사업 계획과 같은 문서와 코드의 초안을 만들 수 있다는 것은 매우 유용하고 매력적이다. 기업들은 ChatGPT 및 기타 생성형 AI 플랫폼을 무조건 차단할 수는 없을 것이다. 이 플랫폼들은 오늘날 비즈니스 환경에서 보편화되고 있는 합법적인 도구이기 때문이다. 이러한 플랫폼을 사용하지 않는 것은 업무에서의 기민함을 저해하고 경쟁에서 불리하게 작용할 수 있다. 실제로 이탈리아 정부는 불리한 조건에 처하게 된다는 기업 사용자들의 반발로 인해 최근 국가 차원의 금지 조치를 철회해야 했다.

기업들은 점점 늘어나고 있는 생성형AI 플랫폼과 챗봇을 직원들이 조직을 위험에 빠뜨리지 않는 안전한 방식으로 사용할 수 있는 방법을 찾아야 할 것이다.

긴급 보안 대처의 부족

“안타깝게도 기존의 정보 유출 방지(DLP), 클라우드 접근 보안 중개(CASB) 및 기타 내부 위협 솔루션은 이 새로운 기술의 미묘한 차이를 처리할 수 있는 능력이 부족하다. 여전히 탐지 및 대응 방식을 취하는 이러한 솔루션은 조직 외부에서 이동하는 엄청난 양의 트래픽 중에서 키워드나 문구를 찾는다. 이러한 키워드나 문구는 보안 전문가와 제품 소유자가 수동으로 입력해야 하는 경우가 많기 때문에 모든 것을 포착하는 것은 거의 불가능하다. 솔루션이 데이터 유출을 탐지하더라도 그 때는 이미 너무 늦었을 수도 있다. 이미 정보가 입력된 후에는 이를 되돌릴 수 있는 ‘초기화’ 버튼이 없다. 사용자의 정보는 생성형 AI 플랫폼 내부에 영원히 저장되고 계속해서 플랫폼의 응답에 영향을 미칠 것이다.

조직은 이러한 생성형 AI 플랫폼과 챗봇에 정보가 입력되는 것을 막아야 하지만, 직원들이 이 유용한 도구들을 사용하는 데 방해가 되지 않는 방식으로 해야 한다. 예를 들어, 글자 수를 제한하거나 알려진 코드를 차단하는 등 입력 필드에 붙여 넣을 수 있는 내용을 제한하는 방식을 사용할 수 있다. 수천 줄의 소스 코드를 수동으로 입력하는 사람은 아무도 없을 것이기 때문에, 붙여넣기 기능을 제한하면 이러한 유형의 데이터 손실을 효과적으로 방지할 수 있다. 또한, 사용자가 입력하기 전 입력하고 있는 정보에 대해 다시 한번 생각할 기회를 줄 것이다.

그러나 가장 중요한 것은 조직이 엔드 브라우저에서 ChatGPT 및 기타 생성형 AI 플랫폼과의 인터랙션을 제한해야 한다는 것이다. 클라우드의 원격 브라우저에서 앱 명령 실행은 사용자와 인터넷 사이에 추가적인 보호 레이어를 만들어 데이터 유출이 발생하기 전에 악의적인 활동(의도성 여부와 관계없이)을 차단할 수 있는 기회를 준다. 또한 이벤트 로깅 또는 브라우저 기록과 같은 추가적인 보안 제어를 유발하는 보안 정책을 적용해 문제 해결 및 사후 분석을 도울 수 있다. 내부자의 침입에 대한 조사는 고의성을 입증할 수 있는 증거가 있어야 한다는 점을 기억하는 것이 중요하다. 이벤트와 브라우저 세션을 기록하면 사용자가 악의적인 의도가 있었는지, 아니면 단순한 과실이었는지에 대한 가시성과 이해를 얻을 수 있다.

Enable ChatGPT without putting the organization at risk

ChatGPT를 비롯한 수많은 생성형 AI 플랫폼은 사람들이 비즈니스 프로세스를 간소화하고 지루한 작업을 자동화하거나 글쓰기, 디자인 또는 코딩 프로젝트를 시작할 때 사용할 수 있는 강력한 비즈니스 도구이다. 안타깝게도, 사용자가 이러한 플랫폼에 입력하는 정보와 요청 자체는 위협을 가할 수 있는 사람들이나 및 경쟁사를 포함한 타인들의 요청에도 사용될 수 있다. 사용자를 인터넷으로부터 분리하는 예방적 접근 방식은 기존의 탐지 기능을 보강하고 이러한 유형의 대규모 데이터 손실에 대한 1차적 방어를 제공할 수 있다. 직원들이 스스로가 위협에서 보호받고 있다는 것을 알게 된다면 이러한 혁신적인 새 도구의 이점을 활용할 자유를 갖게 될 것이고, 이에 따라 생산성을 개선하고 비즈니스에서 민첩성을 확보할 수 있을 것이다.