이 글은 IDG의 아티클을 전재하여 제공합니다.
[원문보기] : https://www.itworld.co.kr/techlibrary/314566
가트너 조사에 따르면 2022년에 직원의 41%가 IT의 통제 범위를 벗어나 기술을 획득, 수정 또는 생성했으며, 2027년에는 이 수치가 75%까지 높아질 전망이다. 섀도우 AI는 보안에 막대한 영향을 미칠 수 있다. 모르는 것을 보호할 수는 없기 때문이다. 당연히 AI 도구와 관련해서도 이와 비슷한 현상이 발생하고 있다. 점점 더 많은 직원이 챗GPT, 구글 바드 같은 AI를 업무에서 실험적으로 사용하고 있다. 이 같은 실험과 창의성은 긍정적인 면도 있지만, 문제는 이런 도구가 IT 또는 보안 부서 모르게 사용되고 있다는 것이다. 이로 인해 IT 책임자는 ‘직원이 각자 선호하는 AI 도구를 사용하도록 허용하면서 조직에 미치는 잠재적 위험을 완화하고 이들이 사이버 보안 대란을 일으키지 않도록 하려면 어떻게 해야 하는가’라는 과제에 직면하고 있다.
부상하는 섀도우 AI
직원이 생성형 AI, 머신러닝, 대규모 언어 모델 같은 신기술을 사용하고 싶어하는 것은 당연하다. 이들 기술은 프로세스 효율성, 개인 생산성, 나아가 고객 참여까지 빠른 속도로 대폭 개선할 수 있는 잠재력을 지녔으며, 그 외에도 여러 가지 혜택을 제공한다. 보안 프로세스 내부를 비롯해서 SOC 운영 지원, 엔지니어의 업무 부하 및 단순 작업 경감 등 AI를 적용해서 큰 효과를 얻을 수 있는 영역은 많다. 핵심은 프로세스 효율성이고, 이런 개선은 다른 영역과 산업, 직무, 그리고 조직 전반으로 확산되고 있다.
그러나 직원이 적절한 채널을 거치지 않고 이런 도구를 도입하는 경우가 문제다. 단순히 좋아 보이는 도구, 또는 들어본 도구를 선택해서 사용하기 때문이다. 사용해야 할 적절한 도구가 무엇이며 어떤 경우에 적절하고 적절하지 않은지를 IT 부서가 파악할 수 있도록 사용 사례를 이해하기 위한 조직 차원의 동의가 없다. 이런 환경은 많은 위험으로 이어질 수 있다.
생성형 AI는 어떻게 섀도우 AI가 되는가?
현재 글로벌 기업에서 생성형 AI 도구와 관련하여 무슨 일이 일어나고 있는지 본격적으로 살펴보기 전에, 섀도우 AI의 문제가 무엇인지부터 간단히 짚을 필요가 있다. 섀도우 AI의 위험을 보여주는 좋은 연구는 수십 가지가 있다. 이런 연구에서는 민감 데이터에 대한 통제력 저하, 공격 표면 증가, 데이터 손실 위험, 규정 준수 문제, 비효율적인 데이터 분석 등을 우려한다. 물론 섀도우 AI로 인해 발생할 수 있는 보안, 개인정보 보호 및 법률적 문제는 이외에도 많다. 그러나 가장 우려하는 점은 생성형 AI 앱의 놀라운 성장, 엄청나게 빠른 도입 속도다. 인터넷을 선과 악, 두 가지 모두를 가속하는 기술이라고 말한다면, 생성형 AI는 그 가속의 수준을 비약적으로 높인다고 할 수 있다.
많은 사람이 생성형 AI 앱 도입을 인터넷 초창기에 비유하면서 전 세계적으로 유례가 없는 잠재력이 있다고 말한다. 지금 분명한 점은 AI에 기회를 제공하는 기업이 가장 많은 관심을 받고 있고 도입을 가속화하고 있다는 것이다. 챗GPT는 최단기간 내 1억 명 사용자 돌파 기록을 세웠고 2023년 6월 챗GPT 웹사이트 방문 횟수는 16억 회에 달했다. 그 외에도 많은 기업이 전례를 찾아볼 수 없을 만큼 빠르게 생성형 AI를 도입하고 있음을 보여주는 연구 결과가 계속 발표될 것으로 추측된다. 진정한 게임 체인저인 것이다.
생성형 AI와 보안에 대한 우려 확산
많은 경영진이 생성형 AI를 둘러싼 문제와 데이터 보안에 미칠 영향을 생각하고 있다. 라이선스, 저작권, 법률, 지적 재산, 오정보 및 기타 문제를 유발할 수 있는 무료 생성형 AI 도구를 사용하는 데 대한 우려가 커지고 있다. 전체적인 최종사용자 행동을 관리하는 어려움은 새로운 것이 아니다. 보안 및 기술 책임자는 수십 년 동안 기업 최종사용자의 업무를 지원하는 동시에 데이터를 관리하고 보호하기 위해 노력해 왔다. 그러나 누가 언제 어떤 데이터를 어떻게 보는가에 관한 통제권을 두고 끝없이 이어지는 줄다리기 속에서, 챗GPT와 기타 생성형 AI 앱은 업무 수행을 위해 기업이 인증한 애플리케이션을 벗어날 매력적인 이유가 된다.
생성형 AI 앱이 섀도우 AI에 해당하는지를 묻는다면 답은 언제나 그렇듯 ‘상황에 따라 다르다’이다. 애플리케이션이 적절히 라이선스를 받고 모든 데이터가 기업의 보안 통제 범위 내에 유지된다면, 생성형 AI는 인증된 엔터프라이즈 앱 포트폴리오에 말끔하게 통합될 수 있다. 예를 들어, 구글이 판매하는 Vertex AI에서는 모든 공개/비공개 데이터가 기업 내에 머물도록 구성할 수 있다. 다른 서비스 업체도 비슷한 기능을 제공한다.
그러나 여기서 이야기하는 것은 구매한 애플리케이션이 아니다. 구글 바드나 오픈AI의 챗GPT와 같은 생성형 AI 앱의 무료 버전에는 별도의 사용 약관이 있는데, 이런 약관의 조항은 기업 법률 부서에서 좋아하지 않을 만한 내용으로 구성돼 있다. 또한 시스템에 입력된 데이터는 어떻게 보호되는지, AI가 생성한 작업의 저작권이나 소유권이 누구에게 있는지가 불투명하다. 이런 상황에서 생성형 AI의 결과를 비즈니스 프로세스에 어떻게 사용할 수 있을까? 인터넷에서 최종사용자가 사용할 수 있는 무료 생성형 AI 앱에 국한된다. “제품이 마음에 든다면 기업 버전 라이선스를 구매하면 되지 않는가”라고 생각할 수 있다. 구글 바드 대신 구글 Vertex AI를 사용하는 것이다. 물론 맞는 말이다. 그러나 대부분 기업은 적어도 초기에는 그렇게 접근하지 않을 것이다.
간단히 말하자면, 무료 버전의 매력이 그만큼 크다. 대부분 기업은 새로운 기술을 도입할 때 느리게 움직이므로 예산과 배포 프로세스에 몇 개월에서 몇 년이 걸릴 수 있다. 이미 무료 생성형 AI 도구를 사용하면서 정책을 위반하고 있을 가능성이 높은 최종사용자가 기업 CTO(또는 다른 경영진)에게 장기적으로 수백만 달러가 들 수도 있는 새로운 제품을 구매하라고 단체로 종용하는 경우는 드물다. 몇 년 정도 지나면 ROI가 실현될 수 있지만, 그 사이에는 무료 버전으로 실험을 한다. 모두가 그렇게 하기 때문이다.
생성형 AI 시대의 데이터 관리 방안
이런 문제를 해결할 몇 가지 솔루션을 제안하고자 한다. 이것이 전형적인 CASB(Cloud Access Security Broker) 문제이며, 이미 몇 년 전에 이런 문제는 해결되었다고 생각하는 사람도 있을 것이다. 대체로 맞는 말이다. 제품군에 CASB 솔루션을 제공하는 것으로 알려진 Netskope, Zscaler 같은 업체는 생성형 AI 앱을 관리하는 엔터프라이즈 정책 관리 도구를 제공한다. 물론 주요 CASB 솔루션 업체가 제공하는 다른 제품도 생성형 AI 앱 관리에 도움이 될 수 있으며, CASB 솔루션도 거버넌스에 도움이 되기 위해서는 적절한 배포와 구성이 필요하다.
확실한 점은 CASB 도구가 모든 생성형 AI 앱 문제를 해결하지는 못한다는 것이다. 기업은 라이선스, 앱 난립, 보안 및 개인정보 보호 정책, 절차 등에 관련된 다른 문제에 대처해야 한다. 또한 교육과 관련된 사항, 제품 평가 및 비즈니스 워크플로우 관리도 고려해야 한다. 간단히 말하면, 다양한 옵션을 조사하고 다양한 비즈니스 영역에 가장 적합한 생성형 AI 접근 방식을 최적화하는 일은 누구의 업무인가 하는 문제다.
더욱 커진 보안 의사 결정의 중요성
그럼에도 불구하고 CASB 도구는 생성형 AI 앱 사용에 허용되는 정책 및 절차를 시행할 기반을 제공할 수 있다. 이때의 우려는 많은 공공 및 민간 기업에서 긴 시간이 소비되는 거버넌스 작업을 신중하게 실행하지 않거나 아예 하고 있지 않다는 점이다. 지금은 최종사용자가 생성형 AI에 경탄하는 단계에 진입했으며, 아마 이런 단계는 상당히 오래 지속할 것이다. 최종사용자는 비즈니스 생산성에 비약적인 변화를 가져올 실체적 가능성을 지닌 다양한 무료 생성형 AI 도구로 실험을 하고 있으며, 이 과정에서 보안, 개인정보 보호 등과 관련해 발생할 수 있는 부정적 결과에 대해서는 그다지 고민하지 않는다.
역사는 반복된다. 과거의 보안 책임자가 와이파이 네트워크, 클라우드 컴퓨팅, BYOD 정책 및 IoT 같은 새로운 기술에 대처했듯이, 생성형 AI 기술과 관련해 좋은 부분은 실현하고 나쁜 부분은 막고자 하는 보안 전문가는 이런 과제를 해결해야 한다. 무엇이 허용되고 허용되지 않는지에 관한 결정을 누가 내려야 하는지는 각 조직이 해결해야 하는 비즈니스적 의사 결정이다. 분명한 것은 그 중요성이 어느 때보다 크다는 점이다.
더 안전한 AI 사용을 위한 베스트 프랙티스
좋은 출발점은 조직의 사용례에 비추어 배포할 가치가 있는 AI 도구를 이해하는 데 집중하는 것이다. 해당 분야에 이미 진출한 업체를 찾아 데모를 실시하고, 필요한 도구를 찾으면 도구 사용을 위한 원칙을 수립한다. 기업의 IT 및 보안의 성숙도에 따라 이런 도구를 사용하는 데 대한 인사이트를 얻기가 어려울 수도 있다. 개인이 사용하는 노트북에서 관리자 권한을 갖지 못하도록 하는 강력한 통제 수단을 두고 있거나, 데이터 손실 방지(DLP)와 같은 솔루션을 사용 중일 수 있다.
일련의 가이드라인과 규칙을 마련하는 것이 많은 도움이 된다. 여기에는 개인정보보호, 책임성, 투명성, 공정성, 안전 및 보안과 같은 요소를 살펴보는 것이 포함된다. 이 단계는 조직이 책임감 있게 AI를 사용하도록 보장하기 위해 중요하다.
직원 교육은 중요한 베스트 프랙티스다. 사이버 보안의 경우와 마찬가지로, 정보를 갖춘 직원은 부적절한 AI 사용 및 위험에 대한 1차 방어선이 된다. 직원이 AI 사용 가이드라인을 철저히 숙지하도록 해야 한다.
▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
IDG