사이버 보안 분야의 인공 지능 - 그 이점과 우려 사항

지금까지 이 분야에 종사하면서 경험해 본 가장 큰 기술 혁신인 인터넷, 스마트폰, 소셜 미디어를 떠올려 보면, 눈앞의 새로운 혁신 기술인 AI 또한 그 목록에 포함될 만하다고 생각합니다. 생성형 AI는 소프트웨어 개발, 마케팅, 저녁 식사 테이블에서 아이들과의 대화에 이르기까지 모든 면에서 막대한 영향을 미치고 있습니다.

최근 Six Five Summit에서 Pat Moorhead와 함께 생성형 AI가 기업 보안에 미치는 영향에 대해 이야기를 나눌 수 있었습니다. 많은 파괴적 혁신 기술이 그러하듯, 생성형 AI 또한 조직에 근본적으로 더 나은 성과를 제공할 것이라는 기대가 크지만, 동시에 완전히 새로운 사이버 보안 위험과 과제를 제기하고 있습니다. 

생성형 AI의 주요 위험 요소

오늘날 기업에서 생성형 AI가 제기하는 세 가지 주요 위험 요소는 다음과 같습니다:

민감한 데이터의 손실: 기업 사용자는 민감한 정보 또는 기타 회사 기밀 정보를 ChatGPT와 같은 생성형 AI 시스템에 입력하여 의도적으로 또는 의도치 않게 기밀 정보를 유출할 수 있으며, 결과적으로 회사 이미지 손상의 위험이 따르게 됩니다. 

저작권 문제: 기업의 직원들은 생성형 AI를 이용해 소스 코드, 이미지, 문서 등의 콘텐츠를 만듭니다. 그러나 ChatGPT에서 제공하는 콘텐츠는 출처를 알 수 없으며 해당 콘텐츠에 저작권이 적용될 수도 있어 조직에 위험이 초래될 수 있습니다.

공격자에 의한 악용: 공격자들이 새로운 공격 방법을 개발하기 위해 ChatGPT와 같은 생성형 AI 도구를 활용할 것이라는 우려도 제기되었습니다. 생성형 AI를 통해 공격자들은 특정 작업을 더 효율적으로 수행할 수는 있지만, 현재로서는 완전히 새로운 공격을 만들 수는 없습니다. 생성형 AI 시스템은 로봇이 아닌 정보 콘텐츠 개발 도구입니다. ‘시스템을 감염시키는 모든 일반적인 방법을 알려 달라’고 요청할 수는 있지만 ‘특정 회사의 특정 시스템을 감염시킬 것’을 요청할 수는 없습니다. 

기업 보호

그렇다면 보안 전문가는 직원의 생성형 AI 도구 사용시 발생할 수 있는 위험을 적절히 보호하기 위해 어떤 조치를 취할 수 있을까요?

첫째, 모든 조직은 조직 내 생성형 AI 사용에 관한 정책을 결정해야 합니다. 예를 들어 적절한 보안 제어를 적용하면서 비즈니스를 가능케 하는 최선의 접근 방식은 무엇일지 기준을 정하는 것입니다. 아직 생성형 AI의 초기 단계임을 감안할 때, 조직은 정기적으로 정책을 검토하고 필요에 따라 이를 발전시켜야 합니다. 

Symantec Enterprise Cloud는 고객이 특정 생성형 AI 정책을 시행할 수 있도록 지원합니다. 일부 조직은 문제를 해결하기 위해 당분간 이러한 도구의 사용을 금지하기로 결정했으며, 당사의 Secure Web Gateway를 활용하여 이러한 제어 방안을 시행하고 있습니다. 생성형 AI의 사용을 주의 깊게 허용하고, 제출된 데이터를 실시간으로 정밀 검사하며 기밀 정보가 노출되지 않도록 하기 위해 Symantec의 DLP Cloud를 사용하는 조직도 있습니다. 당사의 DLP Cloud에는 HIPAA, PCI, PII 등과 같은 주요 규제 범주 전반에서 데이터를 차단할 수 있는 즉시 사용 가능한 탐지 정책 템플릿이 있습니다. 또한 조직은 생성형 AI를 위한 새로운 DLP 정책을 만들거나 기존 정책을 활용할 수도 있습니다. 자세한 내용은 당사의 Symantec 기업 블로그 및 생성형 AI에 대한 보호 기능 데모를 참조하시기 바랍니다.

조직은 모든 직원이 생성형 AI 도구에서 얻은 결과에 대해 정확성, 저작권 준수 및 전반적인 회사 정책 준수 여부를 검증해야 한다는 명시적이고 문서화된 요건을 제공하는 것도 고려해야 합니다

공격자들은 결국 새로운 위협을 만들고 훨씬 더 효율적으로 전파하기 위해 생성형 AI를 활용하게 될 것으로 예견됩니다. 따라서 조직은 정보, 위협, 네트워크 및 이메일 도구를 포함한 전반적인 사이버 보안 태세가 이처럼 고도화된 공격을 방어할 수 있도록 면밀히 대비해야 합니다. 지금까지 상황을 보면 생성형 AI는 인간이 개발한 적 없는 완전히 새로운 공격 기술은 아직 개발할 수 없습니다. Symantec 제품은 이러한 공격에 대처할 수 있도록 잘 설계되어 있으며, 고객을 위한 방어 기능 구축의 일환으로 생성형 AI를 활용하고 있습니다. 

AI 간의 대결

생성형 AI 도구는 공격자와 방어자(사이버 보안 회사) 모두가 자유롭게 사용할 수 있다는 점을 감안하면, 이러한 ‘AI 툴 사용에 대한 경쟁’이 앞으로 어떻게 전개될지에 대해 우려하는 것도 이해할 수 있습니다. 

시간이 지남에 따라 생성형 AI 도구는 분명 더 개선될 것이며, 미래에는 이러한 도구가 특정 대상 조직에 대한 완전히 새로운 공격을 생성하고 실행할 시기가 올 수도 있습니다. 동시에 보안 회사는 이러한 도구를 활용하여 보안을 더욱 강화할 수 있게 됩니다. Symantec에서는 보안 전문가의 일상 업무를 보다 효율화하고 보호 기능을 향상시키기 위해 모든 제품군에 걸쳐 생성형 AI의 사용을 조사하고 있습니다. 지금까지 우리는 생성형 AI를 제품에 활용하여 고객별 보안 정책을 최적화하고, 구제 지침을 신속하게 생성하며, SoC 분석가를 위한 기술 보안 정보를 요약하고, 그 외 많은 중요한 활동을 수행할 수 있었습니다. 

확실한 것은 이 분야에서 궁극적으로 유리한 입지를 확보하려면 최고의 컴퓨팅 능력이 있어야 한다는 사실입니다. OpenAI가 ChatGPT를 개발하는 데 사용한 막대한 컴퓨팅 성능은 이 도구의 초기 성공에 핵심적인 요소였습니다. 우리는 이 경쟁에서 방어자들이 앞서나갈 수 있도록 보안 회사들이 컴퓨팅 성능과 연구에 적절히 투자할 것이라고 생각합니다. 

앞으로 나아가야 할 방향

다른 파괴적 혁신 기술이 그러했듯이, 생성형 AI의 활용이 시간이 지남에 따라 어떻게 발전할지는 예측할 수 없습니다. 소셜 미디어는 사람들이 데스크톱과 노트북 컴퓨터를 통해 친구 및 가족과 계속 연결할 수 있도록 돕는 도구로 시작되었습니다. 그 용도가 이렇게까지 발전할지는 아무도 상상하지 못했습니다. 

마찬가지로 생성형 AI도 우리의 개인 생활과 업무 방식에 큰 변화를 불러오고 있습니다. 인터넷, 스마트폰, 소셜 미디어 등, 이전의 다른 혁신 기술처럼 생성형 AI도 사이버 보안 및 개인 정보 보호와 관련하여 새로운 문제들을 야기할 것입니다. 조직이 생성형 AI의 역량을 최대로 활용할 수 있게 하는 동시에 관련 위험으로부터 조직을 보호하는 것은 분명 사이버 보안 혁신의 새로운 물결을 이끌 것입니다. Symantec은 이 분야를 이끄는 선도 기업으로서 투자를 아끼지 않고 있습니다.