뉴욕 기반 사이버보안 업체 위즈(Wiz)가 급부상 중인 중국 AI 신생업체 딥시크의 심각한 보안 허점을 발견하고, 인터넷에서 공개적으로 액세스할 수 있는 민감한 데이터 캐시를 공개했다.

위즈가 발표한 보고서에 따르면, 유출된 데이터에는 딥시크의 AI 어시스턴트의 백엔드 세부 정보, 사용자 채팅 기록, 디지털 소프트웨어 키, 백만 줄 이상의 로그 항목이 포함되어 있었다. 위즈 연구진은 딥시크가 온라인에서 액세스할 수 있는 보안되지 않은 클릭하우스 데이터베이스를 실수로 남겨 두어 전 세계 기업과 정부에 심각한 보안 문제를 야기했다는 사실을 발견했다.

위즈 최고기술책임자 아미 루트왁은 블로그 게시물에서 딥시크가 경보를 받은 후 신속하게 데이터베이스를 보호하는 조치를 취했다고 확인했다.

루트왁은 “딥시크는 한 시간도 안 되어서 공개된 데이터베이스를 보호했다. 그러나 쉽게 발견할 수 있었던 문제인 만큼, 어디서든 주목할 수 있었을 것”이라고 밝혔다.

이번 보안 침해는 딥시크가 AI 발전, 특히 미국 기반의 주요 AI 솔루션에 대한 비용 효율적인 대안으로 환영받으면서 헤드라인을 장식하고 있는 시점에 발생했다. 그러나 AI를 채택하는 기업의 주요 관심사인 데이터 보안, 빠른 AI 배포에 어느 정도 위험이 있음을 알리는 신호다.

이번 주 초 딥시크는 사이버 공격을 받아 사용자 등록을 일시적으로 제한했다.

무엇이 노출되었을까?

딥시크의 보안 허점은 백만 개가 넘는 로그 항목을 포함, 공개적으로 액세스할 수 있는 클릭하우스 데이터베이스와 관련이 있었다. 보고서에 따르면 노출된 데이터에는 채팅 기록, 백엔드 세부 사항, API 비밀 정보, 민감한 운영 정보가 포함되어 있다.

위즈 리서치에 따르면, 데이터베이스가 완전히 보호되지 않았기 때문에 내부 로그에 무제한 액세스가 가능했고 따라서 사용자 상호 작용이 손상될 가능성이 있었다.

또한 보호되지 않은 데이터베이스가 내용에 완전한 관리 권한을 부여했다. 액세스 권한이 있는 공격자는 독점 데이터를 검색하고, 일반 텍스트로 된 암호를 추출하고, 딥시크 서버에 저장된 로컬 파일에 액세스할 수도 있었다. 위즈 연구원은 인증 메커니즘이 마련되어 있지 않아 보안 침해가 특히 우려된다고 지적했다.

딥시크가 위즈의 폭로 이후 노출된 데이터베이스를 신속하게 보호하는 조치를 취했지만, 이 사건은 AI 기반 플랫폼의 보안 위험이 증가하고 있음을 보여준다. AI 모델이 더욱 발전함에 따라, 이를 지원하는 인프라 역시 심각한 취약점을 방지하기 위해 발전해야 한다.

이번 침해는 딥시크뿐만 아니라 사용자에게도 심각한 위험을 초래했다. 공격자가 노출된 자격 증명을 악용해 회사 시스템에 더 깊이 접근할 수 있었기 때문이다.

규제 및 전 세계적 조사 강화

딥시크의 데이터 유출은 중국 AI 기업에 대한 전 세계적인 조사가 강화되는 가운데 발생했다. 화요일, 백악관 대변인 캐롤라인 리빗은 미국 국가안전보장회의(NSC)가 딥시크가 미국의 국가 안보에 미치는 영향을 검토하고 있다고 말했다. 이탈리아의 데이터 보호 기관인 가란테(Garante)도 딥시크가 개인 데이터를 처리하는 방식을 살펴보고 있다고 발표했다. 이탈리아 개인정보 보호기관은 딥시크가 수집하는 데이터의 종류, 출처, 목적, 법적 근거, 그리고 해당 정보가 중국에 저장되는지를 명확히 밝힐 것을 요구하고 있다.

아일랜드도 조사를 시작했다. 보도에 따르면 아일랜드의 개인정보 보호기관인 데이터 보호 위원회(DPC)가 중국 기업에 자국민의 데이터를 어떻게 처리하는지에 대해 질문했다고 한다.

각국 정부의 규제 조치는 중국의 AI 생태계에 대한 광범위한 우려를 반영한 것이다. 중국의 AI 생태계는 빠르게 성장하고 있으며, 일부 경우에는 미국 AI 기업의 지배력을 위협하고 있다. 딥시크가 이번 주 초 미국 애플 앱스토어에서 오픈AI의 챗GPT를 추월하면서 딥시크에 대한 불안감이 더욱 커졌다.

보안상 결함이 AI 도입을 늦출 수도

사이버보안 전문가는 AI 신생업체가 규모를 키우려고 서두르다 보니 기본적인 보안 수칙을 간과하는 경우가 많다고 경고한다.

위즈 블로그에서는 “AI 애플리케이션의 즉각적인 보안 위험은 지원 인프라와 도구에서 비롯된다”라고 강조하면서 AI 인프라 취약성으로 인해 야기되는 광범위한 위험을 강조했다. 또한 “AI 보안에 대한 관심이 미래의 위협에 집중되어 있지만, 실제 위험은 기본적인 구성 오류에서 비롯되는 경우가 많다”라고 밝혔다.

딥시크 사건은 기업이 서드파티 AI 모델을 통합할 때 직면하게 되는 사이버보안 위험을 여실히 보여준다. 기업이 자동화와 의사결정을 위해 AI 솔루션에 점점 더 의존함에 따라, 보안팀은 AI 엔지니어들과 긴밀하게 협력해 데이터 암호화, 인증 제어, 정기적인 보안 감사와 같은 기본적인 보안 조치가 마련되도록 해야 한다.

AI 보안의 다음 단계는?

산업 전반에 걸쳐 AI 도입이 가속화됨에 따라 보안 사고는 엄격한 사이버보안 프레임워크의 시급한 필요성을 강조하고 있다. 전 세계 규제 기관은 AI 기업, 특히 방대한 양의 사용자 데이터를 처리하는 기업에 대한 감독을 강화할 것으로 예상된다.

AI 군비 경쟁이 계속됨에 따라 AI 기술에 투자하는 기업은 사이버보안 태세에 대해 경계를 늦추지 말아야 한다. 딥시크의 보안 사고는 AI 제공업체를 평가하는 기업에 경고의 메시지가 보냈다. 보안은 나중에 생각할 문제가 아니다.

딥시크가 AI 분야에서 급부상하면서 강력한 경쟁자로 자리매김했지만, 최근 보안 사고로 인해 AI 거버넌스와 위험 관리에 대한 중요한 의문이 제기되고 있다. AI 도입을 고려하는 기업에게 보안 관행에 대한 실사는 그 어느 때보다 중요하다.

전 세계 규제 당국이 감시를 강화함에 따라, 이 사건은 AI 기업이 보안과 규정 준수를 어떻게 처리하는지에 대한 선례가 될 수 있다. 딥시크가 신속하게 문제를 해결했을 수도 있지만, 사건이 장기적으로 미칠 영향은 앞으로도 지켜봐야 한다.
dl-itworldkorea@foundryco.com