챗GPT를 선두로 한 생성 인공지능(AI) 기술이 전 세계를 휩쓸면서 전 산업계가 들썩이고 있다. 

지난달 미국의 인사관리 컨설팅회사인 챌린저그레이앤드크리스마스(CG&C)가 내놓은 보고서에 따르면, 5월 미국에서 해고된 근로자의 5%가 AI 때문이라는 조사 결과가 나왔다. AI가 인간의 일자리에 악영향을 미칠 수 있다는 것이 처음 수치로 나타난 것이다.

악용시 보안에 독인 생성AI, CISO 등 보안 담당자 스트레스 급증

고도화된 생성 AI 기술은 인간의 다양한 업무를 자동화하고 AI와 관련한 새로운 업종을 탄생시키는 등 긍정적인 측면도 있지만, 한편으로는 일자리 대체, 개인정보 유출, 보안 문제, 허위 정보 유포 등 부정적인 측면도 다수 가지고 있다. 

특히 생성 AI 기술은 사이버 공격이나 범죄에 적극적으로 활용되고 있다. 이를 막기 위해서 최근 각 기업의 보안 기업들은 최고정보보호책임자(CISO)를 필두로 보안 혁신을 준비하고 있다. 하지만 급변하는 IT 환경에 적응이 쉽지 않은 것이 현실이다.

XDR(통합 탐지·대응) 솔루션 보안 기업 트렐릭스(Trellix)가 지난 4월 발표한 ‘CISO의 마인드(The Mind of the CISO, 임직원 1000명 이상의 글로벌 회사의 CISO 500명 대상 조사)’ 연구에 따르면. 전세계의 CISO들은 ▲지원 부족 ▲과중한 부담감 ▲부적절한 솔루션 ▲통합 솔루션의 부재 등으로 어려움을 겪고 있다.

CISO의 96%가 회사에서 보안 유지에 필요한 지원을 받는데 한계를 느끼고 있으며, 숙련된 인재 부족도 주요 과제로 꼽힌다. 

또한 CISO의 86%는 10명 중 4명은 두 번 이상의 중대한 사이버 보안 사고를 경험했고, 43%는 보안 사고로 인한 직접적인 영향으로 보안 운영팀의 심각한 손실을 경험한 것으로 나타났다.

너무 많은 보안 솔루션으로 인한 복잡성 증가도 CISO들의 스트레스 요인 중 하나다. 평균 25개의 개별 보안 솔루션을 사용하고 있다고 답한 CISO 중 35%가 신뢰할 수 있는 단일의 소스 없이 너무 많은 기술을 활용해야 하는 점을 힘든 점으로 꼽았다. CISO가 사용해야 하는 보안 솔루션의 수가 지나치게 많은 것이다.

또한 통합 보안 솔루션의 필요성도 증대되고 있다. 44%의 CISO는 보안 투자를 극대화를 위해 단일의 통합 엔터프라이즈 툴 사용을 희망했다. 보안 담당자, CISO, 분석가, 엔지니어 등 각 관계자가 함께 쉽게 이해할 수 있는 통합 보안 툴 개발이 시급한 상황인 것이다.

챗GPT의 안전한 활용을 위해 CISO는 어떻게 해야 하나?

그럼 CISO들은 챗GPT를 대표로 한 생성 AI 기술을 어떻게 이해하고, 이를 둘러싼 보안 문제에 어떻게 접근해야 할까? 이에 보안 전문가인 임현호 트렐릭스 코리아 지사장은 이렇게 답했다.

Q. 보안 혹은 사이버 보안의 맥락에서 챗GPT 등 생성 AI기술을 어떻게 정의할 수 있는가?

챗GPT는 AI 언어모델로, 다른 모든 새로운 기술들과 마찬가지로 오용될 가능성이 있으며 사이버 범죄자들이 기술의 발전을 악용하여 정교한 피싱 이메일, 랜섬웨어, 멀웨어 등을 만들어낼 수 있는 우려가 있다. 

챗GPT 개발자들은 악의적인 입출력을 제한하려고 시도했지만, 위협 행위자들은 늘 새로운 기술을 악의적인 목적으로 활용할 수 있는 고유한 방법을 끊임없이 모색하고 있다. 

이에 따라서, 기업들은 챗GPT와 같은 신기술을 활용하기 위해서는 잠재적 위협으로부터 스스로를 보호할 수 있어야 한다. 최우선 순위는 사이버 보안이 되어야 한다는 점을 항상 인지해야 한다.

Q. 챗GPT를 멀웨어 탐지에 효과적으로 사용할 수 있는가? 

ChatGPT는 멀웨어 탐지 및 예방을 위해 특별 설계된 것은 아니지만, 자연어 처리 기능은 잠재적으로 코드 개발이나 발생 가능한 사이버 위협에 대처하기 위한 계획을 수립하는 데 도움이 될 수 있다. 언어모델로서 챗GPT는 자연어 쿼리를 이해하고 일상적인 작업을 위한 텍스트를 생성해 보다 중요한 작업을 할 수 있는 시간을 확보할 수 있게 돕는다. 

그러나, 사이버 범죄자들은 이 같은 신기술을 악의적인 목적으로 활용할 수 있기 때문에 조직은 강력한 보안 프로토콜을 구축하고, 직원들이 잠재적 위협을 인식하여 효과적으로 대응할 수 있는 방법을 교육해야 한다. 이메일 보안, 엔드포인트 보안, 데이터 손실 방지, 네트워크 탐지 및 대응과 같은 보안 솔루션을 통합하면 이러한 위협으로부터 조직을 보호하는 데 도움이 될 수 있다.

Q. 챗GPT는 사이버 범죄에 대한 방어 무기뿐 아니라, 사이버 범죄의 공격 무기로도 사용될 수 있나? 

그렇다. 챗tGPT의 멀웨어 작성 기능은 제한되어 있으나, 해당 플랫폼이 출시될 당시 인터넷 상에는 챗GPT에 의해 작성된 멀웨어의 사례들로 몸살을 앓았다. 하지만, 최근 모델 및 사용사례 정책이 업데이트가 되면서 설계된 목적 외에는 거의 모든 기능을 제한할 수 있게 됐다. 

챗GPT는 발생 가능한 위협에 대처하는 데 도움이 되는 코드, 단계, 안내 조사 및 계획을 개발하는 등 다양한 방식으로 사이버 보안 전문가를 지원할 수 있다. 자연어 쿼리를 이해하고 응답할 수 있어 정교한 문제를 해결하는데 유용한 툴이 될 수 있으며, 확장성과 적응성이 뛰어나 조직이 시스템을 쉽게 관리할 수 있도록 도와준다. 

Q. 악의적인 목적으로 생성형 AI를 무기화하는 것을 방지하기 위한 기술적 과제가 있다면?

악의적인 목적으로 생성형 AI를 무기화 하는 데에는 몇 가지 기술적 과제가 있다. 생성형 AI는 리소스가 많이 들기 때문에 효과적으로 훈련하고 운영하기 위해 상당한 컴퓨팅 리소스가 필요하기 때문이다. 데이터 역시 핵심 과제이다. 생성형 AI 모델은 학습을 위해 많은 양의 훈련 데이터가 필요하므로, 악의적인 목적으로 필요한 데이터를 얻는 것은 어려울 수 있다.

한편, 생성형 AI 모델은 공격자가 입력 데이터를 조작하여 모델이 부정확하거나 악의적인 출력을 생성하도록 하는 공격에 취약하다. 공격자의 공격에 대한 방어체계를 개발하는 것은 AI 보안 분야에서 해결돼야 할 장기적인 숙제이다. 인지(cognitive) AI 모델과 달리 생성형 AI 모델은 불투명할 수 있으므로, 모델이 어떤 과정을 거쳐 출력에 도달하는지 이해하기 쉽지 않다. 이러한 투명성 부족은 기술의 악의적인 사용을 탐지하고 방지하기 어렵게 만들 수 있다.

Q. 보안 위협과 리스크 감소와 관련해 GPT-4는 어떻게 설정돼 있나? 사이버 범죄자들이 AI를 이용하는 것을 방해할 수 있는 요소로는 어떤 것이 있나?

언어모델이 멀웨어에 사용될 수 있는 템플릿을 작성하도록 강제하는 시도는 현재 차단되어 있다. 하지만 지능적인 위협 행위자들은 목표 달성을 위해 필요한 전문성과 교묘함을 지속적으로 입증해 오고 있다. 

오픈AI는 6개월 동안 GPT-4를 더 안전하게 만드는 데 투자했으며, 그 결과 GPT-4가 허용되지 않은 콘텐츠 요청에 응답할 가능성을 82% 줄이고, 사실에 부합하는 응답을 생성할 가능성이 40% 증가했다고 밝혔다. 

GPT-4를 더 안전하게 만들 수 있는 추가적인 방법도 있다. 예를 들어, 공격을 탐지하는 메커니즘을 통합하면 언어모델과 같은 AI 시스템의 동작을 조작하거나 변조하려는 시도를 방지하는 데 효과적일 수 있다. 여기에는 강력한 훈련 등의 기술, 그리고 XDR과 같은 메커니즘을 통합하여 위협을 효과적이고 선제적으로 식별하는 것도 해당된다.

여러 테스트 사례는 챗GPT가 생성한 멀웨어는 작동하지 않거나, 트렐릭스 보안 솔루션에 즉시 탐지되는 것을 보여 주었는데, 이는 오늘날의 진화하는 위협 환경에서 요구되는 독창성과 창의성에 미치지 못한다는 것을 반증하기도 한다. 챗GPT는 소프트웨어 솔루션을 구현하는 다양한 방법을 이해하는 데 도움이 되는 훌륭한 청사진을 제공했지만, 공격적인 운영을 위한 실행 가능한 제품과는 거리가 멀다고 볼 수 있다. 전

반적으로 악용 위험을 줄이기 위한 잠재적인 전략은 많이 있지만, 핵심은 효과적인 리스크 완화 전략을 지속적으로 개발 및 구현하기 위한 커뮤니티 내의 지속적인 협업과 혁신이 될 것이다.

Q. 기업이 챗GPT의 위험으로부터 스스로를 보호하기 위해 시행할 수 있는 구체적인 조치가 이미 마련돼 있나?

그렇다. 생산성을 높이고, AI를 활용하는 공격이 목표를 달성하지 못하도록 막는데 챗GPT를 사용하기 위해 즉시 수행할 수 있는 여러 가지 작업이 있다. 즉, 엔드포인트에 챗GPT에 입력되는 데이터를 제어할 수 있는 기술을 배포하는 것이다. 

또한, 모든 중요한 비즈니스 애플리케이션과 인프라에 대한 가시성을 확보하는 것인데, 이 작업은 디바이스와 SaaS 애플리케이션에서 활동 및 감사 로그를 수집해 보안 직원과 AI에게 유용하게 사용함으로써 수행할 수 있다. 뿐만 아니라, AI를 활용해 문제 해결 작업을 생성할 수 있는 툴을 보안 담당자에게 제공하는 것도 중요하다. 

일례로, 트렐릭스는 위협으로부터 에코시스템을 포괄적으로 보호할 수 있는 ‘살아있는 보안(Living Security)’ 접근 방식을 구축하여 이를 구현하고 있다. 해당 접근 방식은 기업 환경 전반에 걸쳐 위협을 포괄적이면서도 단순한 방식으로 파악하고 엔드포인트 보안 및 DLP 에이전트를 사용하여 엔드포인트에 대한 세분화된 제어를 제공하는 XDR 플랫폼을 기반으로 한다. 

이러한 솔루션은 보안 부서는 물론, 전사적으로 정기적인 직원 교육을 시행해 보완할 수 있다. 보안 교육은 기업을 보호하는 데 있어 필수적이다. 

Q. 기업의 사이버 보안 전략 구현에 챗GPT를 통합할 때 CISO나 CIO가 극복해야 할 시급한 과제가 있다면?

챗GPT를 기업의 사이버 보안 전략의 일부로 포함하는 것에 대한 정당성은 이 툴로 잠재적 위협에 대처하기 위한 코드, 단계, 조사 및 계획을 개발하여 복잡성을 감소시킬 수 있는지에서 찾을 수 있다.

하지만, 챗GPT를 사이버 보안 전략에 통합하는 것은 CISO나 CIO에게 다음과 같은 여러 과제를 안겨줄 수 있다.

• 민감한 사용자 데이터 보호: CISO나 CIO는 챗봇이 의도된 목적 이상으로 개인 데이터를 수집하거나 저장하지 않는 방식으로 설계되었는지 확인해야 한다.

• 사용자 인식 및 교육: 조직은 직원들에게 챗GPT를 올바르게 사용하는 방법을 교육하고, 잠재적 위험을 최소화하기 위해 사용을 관리하는 정책을 마련해야 한다.

• 시스템 통합: CISO나 CIO는 챗봇이 새로운 보안 위험을 초래하지 않으면서 기존 시스템과 원활하게 통합될 수 있도록 해야한다.

Q. 사이버 보안 전략의 일환으로 챗GPT의 활용을 고려하고 있는 CISO나 CIO에게 조언 한마디 한다면?

기술 혁명을 목전에 두고 있는 지금, 이 혁신적인 기술들을 최대한 활용하기 위해서는 이에 적응하고 필요한 기술을 갖추는 것이 중요하다. 

새로운 서비스를 수용하고 그 잠재력을 탐구하는 동시에 이 영역에서 발생할 수 있는 잠재적 위험을 간과해서는 안 된다. 기술은 여전히 빠르게 진화하고 있으며 발전의 여지가 무궁무진 하다는 점을 명심할 필요가 있다. 

잠재적인 위협으로부터 조직을 보호하기 위해서는 이메일 보안, 엔드포인트 보안, 데이터 손실 방지, 네트워크 탐지 및 대응과 같은 보안 조치를 채택할 수 있다. 시스템을 안전하게 보호한다면 AI 기술의 잠재력을 충분히 활용해 생산성과 효율성을 높일 수 있게 될 것이다.