2024-05-22 11:35 (수)
윤두식 이로운앤컴퍼니 대표 “조직에서 생성형 AI 활용 시 보안을 위한 기술적 방안” 제시(강연영상)
상태바
윤두식 이로운앤컴퍼니 대표 “조직에서 생성형 AI 활용 시 보안을 위한 기술적 방안” 제시(강연영상)
  • 길민권 기자
  • 승인 2024.03.21 19:45
이 기사를 공유합니다

상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2024가 3월 12일 1,400여 명의 공공, 금융, 기업 정보보호 책임자 및 실무자가 참석한 가운데 더케이호텔서울 가야금홀에서 성황리 개최됐다.

이날 윤두식 이로운앤컴퍼니 대표는 ‘조직내 안전한 생성형AI 사용을 위해, 고려해야 할 보안 대책(생성형AI를 쓰게 하고 싶은데, 보안 걱정 때문에 고민하는 보안담당자를 위한 보안대책 가이드)’를 주제로 강연을 진행했다.

◆생성형 AI 사용 시 각종 위험과 보안 이슈

우선 윤대표는 챗GPT 등 생성형AI 사용시 보안 이슈에 대해 상세히 설명했다.

△민감한 정보, 지적 재산, 소스코드, 영업비밀, 다양한 데이터 등의 정보 노출 위험, △법적 및 규정 준수 이슈가 발생할 수 있으며 제3자가 제공하는 외부 애플리케이션의 보안 수준에 의존하게 되면서 정보 노출 발생 및 모든 서비스 이용 기업들에게 위험이 전파될 수 있다는 점.

그리고 △공격자는 프롬프트 인젝션 공격으로 예상되는 AI 행동을 우회하거나 예상 못한 작업을 수행해 서드파티 애플리케이션에 손상을 입힐 수 있다. 이를 통해 이메일과 웹 브라우저에 대한 불법 접근 및 사용자 PC를 점유할 수 있게 된다.

△GDPR, PIPEDA, CCPA 등 데이터 개인정보보호 규정 준수 등 법적 이슈와 △공격의 자동화, 피싱, 사기, 사회공학 및 멀웨어 등 차단하기 어려운 공격으로 공격자가 진화하고 있다는 점, 그리고 △생성형AI에서 발생할 수 있는 저작권 이슈, △보안 감사나 코드 취약성 검토 없이 사용하고 배포돼 다른 조직 시스템에 재사용되는 안전하지 않은 코드 생성 문제 △차별적이고 평판에 대한 잠재적 손상, 명예훼손 등의 문제를 발생시킬 수 있는 편향된 데이터 모델 학습, △소프트웨어 취약점은 AI 취약점과 상호작용해 추가 위험을 초래할 수 있다는 점.

그리고 △시스템 다운타임, 성능, 가용성, 인프라 위험을 초래할 수 있어 강력한 백업 및 재해 복구 절차가 필요하며 LLM 자체적 운영 비용이 크게 발생할 수 있다. △더불어 안전, 보안, 공정성, 투명성, 설명 가능성, 일반적인 책임 요구사항 등 전용 AI 윤리 원칙 수립이 필요하다.

윤두식 대표는 이러한 생성형 AI 보안 이슈를 완화할 수 있는 방안으로 AI 활용에 대한 유의사항을 전달했다.

기업에서 챗GPT 등 생성형 AI를 사용시 AI의 사용 목적과 범위, 한계 등의 규정이 필요하고 직원들에게 생성형 AI 도구를 안전하게 사용할 수 있도록 보안 교육을 실시해야 한다고 강조했다.

윤두식 대표의 생성형 AI 보안 이슈와 대응을 주제로 한 G-PRIVACY 2024 강연 현장. 이날 1,400여 명의 보안담당자가 참석해 AI 시대 보안을 준비하기 위한 열기가 뜨거웠다.
윤두식 대표의 생성형 AI 보안 이슈와 대응을 주제로 한 G-PRIVACY 2024 강연 현장. 이날 1,400여 명의 보안담당자가 참석해 AI 시대 보안을 준비하기 위한 열기가 뜨거웠다.

◆조직 내 생성형 AI 사용 시, 정책 고려사항

정책적 고려사항으로는 △조직이 생성형 AI를 사용하기 위한 요구 사항은 무엇이며 조직 내부에 대한 위험, 위협, 영향도에 어떤 상관계가 있는지 고려해야 하며 △파악된 조직 고유의 위험과 통제 사항을 고려할 때, 생성형 AI를 사용 가능한 분야는 무엇인지, 그리고 △생성형 AI 보안, 개인정보보호, 데이터 보존 및 기타 정책과 서비스 약관 등은 생성형 AI를 사용하는데 있어서 어떤 영향을 미치는지, 또 △직원 또는 고객을 위해 각자가 원하는 생성형 AI를 선택할 수 있는지 고려해야 한다고 전했다.

△생성형 AI 사용으로 영향을 받을 수 있는 비즈니스, 애플리케이션, 인프라는 무엇이 있으며 △누가 어떤 목적으로 어떤 상황에서 생성형 AI를 사용할 수 있는지 △생성형 AI 구현을 고려할 때 생성형 AI를 활용하는 애플리케이션은 어떤 시스템에 통합해 운영될 수 있으며 그 시스템은 내부 시스템의 어디까지 액세스할 수 있는지 △생성형 AI 사용을 승인할 수 있는 사람은 누구이며 △사용할 수 있는 기기나 환경은 어떤 것이 있는지 △직원들이 생성형 AI를 사용할 때 정책 위반 사항이 발견되면 어디에 어떻게 보고해야 하는지 등을 고려해야 한다고 강조했다.

이외에도 생성형 AI를 사용하려고 할 때 고려해야 할 사항들은 너무도 많다.

윤두식 대표는 이어 생성형 AI 도구를 안전하게 사용하는 방법과 보안을 위한 기술적 방안 등을 상세히 설명하며 이로운앤컴퍼니에서 출시 예정인 샌드박스 타입의 안전한 생성형 AI 활용 솔루션’ 이로운 “SAIFE X”에 대해서도 소개해 큰 관심을 끌었다.

보다 상세한 강연 내용은 아래 강연영상을 참고하면 되고 강연 자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★