생성형 AI를 슬기롭게 활용하는 방법

생성형 AI는 데이터 보안에 몇 가지 위협을 초래할 수 있습니다. 여기에는 데이터 유출, 데이터 침해, 데이터 프라이버시 규정 미준수 등이 포함됩니다.

ChatGPT 및 Bard와 같은 생성형 AI 애플리케이션은 사용자가 입력하는 정보로부터 학습하는 거대 언어 모델(LLM)입니다. 예를 들어, 어떤 사용자가 아직 공표되지 않은 인수합병 활동의 대상에 대한 정보를 검토하는 경우 다른 사용자들이 그 다음 검색할 때 이 정보가 노출될 수 있습니다.

소프트웨어 엔지니어가 독점권 있는 소프트웨어 코드를 디버깅하기 위해 생성형 AI를 사용할 경우, 해당 지적 재산은 사회의 공유 재산이 되거나, 심지어 결국 경쟁사에 넘어가게 될 위험에 처하게 됩니다. 마찬가지로 엔지니어가 생성형 AI를 사용하여 코드를 작성할 경우, 공격자에게 회사 시스템에 대한 백도어를 제공할 수 있는 맬웨어가 포함될 위험이 있습니다.

마지막으로, HIPAA 또는 GDPR과 같은 데이터 프라이버시 규정에 따라 조직은 개인 데이터를 철저히 보호할 의무가 있습니다. 고객 질문에 대한 이메일 답변을 작성하는 것을 비롯하여 개인 식별 정보(PII)와 관련된 어떤 것에 대해서든 생성형 AI를 사용할 경우, 이 정보가 유출되거나 오용될 수 있기 때문에 기업은 규정 미준수 위험에 처할 수 있습니다.

생성형 AI는 피싱 및 스피어 피싱 공격을 위해 콘텐츠를 악용하고 맬웨어를 작성하는 데 쓰일 수 있습니다. ChatGPT와 같은 생성형 AI 공급업체도 공격자에게 사용자의 민감한 데이터에 대한 액세스를 제공하면서 데이터 침해 위험에 놓일 수 있습니다.

생성형 AI가 맬웨어 생성에 사용되는 한 예를 보여주는 사람이 Forcepoint의 Aaron Mulgrew입니다. Mulgrew는 ChatGPT가 이런 일을 방지하는 보호 대책을 마련해 두고 있음에도 불구하고 ChatGPT를 사용해 악성 코드를 작성할 수 있었습니다.

생성형 AI 데이터 보안에는 실시간 액세스 제어와 강력한 데이터 제어가 모두 필요합니다. 

Forcepoint ONE SSE와 같은 플랫폼에서 조직은 사용 승인을 받은 제한된 그룹의 직원들에게 생성형 AI 도구에 대한 액세스를 제공할 수 있습니다. 이러한 정책을 관리형 장치와 비관리형 장치 모두에 실행할 수 있어 기업의 광범위한 제어가 가능합니다.

Forcepoint DLP를 사용할 경우, ChatGPT 및 Bard 사용자가 해당 플랫폼과 공유할 수 있는 정보가 제한되어 실수로 데이터가 유출되는 사고를 방지할 수 있습니다. 예를 들어, 주민등록번호와 같은 민감한 정보를 애플리케이션에 붙여 넣는 일이 방지됩니다.

사이버 보안 위협 환경은 끊임없이 진화하고 있으며 생성형 AI는 새로운 위험이지만 기존 기술을 활용하여 이런 위험을 완화할 수 있습니다.

생성형 AI는 데이터 유출이나 데이터 위반의 또 다른 수단이 될 위험이 가장 높으며, 이는 기업이 날마다 사용하는 다른 모든 SaaS 애플리케이션과 크게 다르지 않습니다. 직원들이 생성형 AI를 활용해 민감한 데이터를 다루면서 일한다면 데이터 위반이나 데이터 오용으로 인해 해당 기업의 보안 상태가 영향을 받을 수 있습니다.

ChatGPT 및 Bard와 같은 생성형 AI 도구를 섀도우 IT로 취급하는 것이 올바른 방향의 첫 번째 단계입니다. 애플리케이션 사용이 허용되는 사용자 그룹을 지정하고 이러한 그룹이 해당 도구를 액세스할 수 있게 하면서 액세스가 허용되지 않는 사용자들은 차단하는 정책을 구축해야 합니다. 또한 민감한 데이터가 조직 내에 유지되도록 보장하는 강력한 데이터 제어를 도입해야 합니다.

ChatGPT와 같은 생성형 AI 애플리케이션은 거대 언어 모델을 기반으로 구축 및 교육됩니다. 이러한 알고리즘 모델 덕분에 플랫폼은 대규모 데이터베이스에서 정보를 수집하고 학습하여 사용자가 AI 챗봇에서 기대하게 된 수준의 지식과 문맥 및 정확성을 제공할 수 있습니다.

그러나 생성형 AI는 거대 언어 모델을 기반으로 구축되었기 때문에 여기에 입력되는 정보로부터 계속 학습합니다. 끊임없이 학습하면서 전체에서 상호 작용하는 새로운 정보에 계속 적용하기 때문에 계속 새롭고 관련 있는 답변을 제공할 수 있습니다.

이는 기업에 심각한 위험을 초래합니다. 독점권 있는 정보나 민감한 정보를 AI 챗봇과 공유하는 것은 위험에 노출되는 두 가지 경로를 여는 것과 같습니다. 그 경로 중 하나는 애플리케이션이 이러한 정보를 공유 지식으로 받아들여 미래에 검색될 때 공유한다는 것입니다. 다른 하나는 생성형 AI 도구 자체의 배후인 기업이 침해를 당해 이 기업과 공유된 정보가 손상되는 것입니다.

기본적으로 ChatGPT나 Bard와 같은 생성형 AI 애플리케이션은 사용자가 입력하는 데이터를 사용하여 모델을 개선할 가능성이 있다는 것을 전제로 해야 합니다. 그러나 사용하는 특정 플랫폼에서 다시 확인하는 것이 좋습니다.

이런 데이터는 사용자의 장치, 액세스 위치, 사용자 계정과 관련된 모든 세부 정보 등 수많은 다른 정보와 함께 수집됩니다. 애플리케이션이 사용자 데이터를 이용해 학습할 수 있는 기능은 보통 공급업체에 따라 설정에서 해제할 수 있습니다.

이는 민감한 정보를 AI와 공유하게 되는 주요 위험 중 하나입니다. 제품 출시를 위해 예정된 출시 전략과 같이 민감한 회사 정보를 애플리케이션과 공유할 경우 적절한 예방 조치를 취하지 않으면 이러한 정보를 사실상 일반에 공개하게 될 수 있습니다.

Forcepoint 데이터 보안은 해당 애플리케이션을 안전하게 사용하도록 훈련받은 사용자에게만 액세스를 허용하거나 애플리케이션에 정보를 붙여 넣지 못하게 차단하여 이러한 위험을 방지해 줍니다.

생성형 AI 애플리케이션은 디지털 공급망의 여느 타사 공급업체처럼 취급해야 합니다. 플랫폼에 데이터 침해가 발생하면 플랫폼에 입력한 정보가 위험에 노출될 수 있습니다. 그래서 기업은 생성형 AI와 관련하여 엄격한 수용 가능 사용 정책을 개발하여 데이터가 예기치 않은 위험에 노출되지 않도록 보장해야 합니다.

모든 조직은 개인정보 보호 규정을 준수해야 할 책임이 있습니다. 생성형 AI 애플리케이션에 데이터를 입력하는 개인은 PII, PHI 및 기타 유형의 규제 대상 정보를 공유할 가능성이 있습니다.

생성형 AI 애플리케이션과 개인 정보를 공유하는 것은 개인정보 보호 규정이 적용되는 데이터 유출의 한 형태입니다. 조직이 규정을 계속 잘 준수하기 위해서는 이런 유형의 정보가 공유되지 않도록 방지하는 강력한 데이터 보안 도구를 갖추고 있어야 합니다.

모든 기업은 직원들이 생성형 AI와 어떤 상호 작용을 하고 있거나 할 수 있는지, 이러한 상호 작용이 어떤 유형의 위험을 초래하는지, 조직은 부적격 사용자가 민감한 정보를 액세스하여 생성형 AI와 공유하는 것을 어떻게 방지할 수 있는지 등을 검토해야 합니다.

여느 SaaS 애플리케이션과 마찬가지로 기업은 생성형 AI에 액세스하는 사용자에 대해 완벽한 가시성을 확보하고 이들이 상호 작용하는 데이터를 제어할 수 있어야 합니다. 대부분의 경우 여기에는 규정 준수 위반을 방지하기 위해 직무 역할이나 장치 또는 위치를 기준으로 한 URL 필터링과 데이터 보안 정책이 수반됩니다.