경쟁사가 자체 고객을 대상으로 표적 캠페인을 펼치는 것은 모든 기업의 악몽이다. 그런데 경쟁사 캠페인이 너무 정교해서 우연이라고 볼 수 없을 정도라면 어떨까? 경쟁사가 어떻게든 우리 회사의 민감한 데이터에 접근할 수 있었다고 가정하는 것이 합리적일 것이다.

한 예를 들어 보자. 전 직원이 AI 비서로 계정 데이터가 가득한 내부 데이터베이스에 액세스했다. 그 후 고객 판매 데이터와 제품 사용 데이터 등의 민감한 세부 정보를 복사해 새로운 회사에 가져갔다.

이 예시는 최근 급속히 증가하는 문제이기도 하다. 생성형 AI 도구가 널리 사용되면서 필연적으로 더 많은 데이터가 유출되는 것이다. 최근 가트너의 조사에 따르면, 가장 일반적인 AI 사용례에는 마이크로소프트 365 코파일럿과 세일즈포스와 같은 생성형 AI 기반 애플리케이션이 포함된다. 이러한 도구는 기업의 생산성을 향상시키는 데 탁월한 방법이지만, 데이터 보안에 큰 도전 과제를 안겨준다.

데이터 위험

연구에 따르면, 거의 99%의 인증이 사용되지 않고 있으며, 그 중 절반 이상이 위험성이 높은 것으로 나타났다. 원칙적으로는 사용되지 않고 지나치게 광범위한 액세스 권한은 데이터 보안에 문제가 된다. 인공지능은 이러한 상황을 한층 더 악화시킨다.

사용자가 인공지능 도우미에게 질문을 하면, 인공지능 도구가 그래프 기술을 사용해 인터넷 콘텐츠와 회사 데이터를 기반으로 자연어로 답변을 작성한다. 예를 들어 마이크로소프트 코파일럿은 사용자에게 권한이 있는 모든 데이터에 액세스할 수 있다. 사용자가 액세스 권한이 있다는 사실조차 모를 때도 마찬가지다. 따라서 코파일럿은 민감한 데이터를 쉽게 공개할 수 있다.

보안 장벽을 낮추는 AI

AI 덕분에 공격자가 시스템을 애써 해킹하고 천천히 그리고 신중하게 환경을 정찰해야 했던 시대는 과거의 일이 되었다. 이제 공격자는 AI 어시스턴트에게 민감한 정보나 환경 내에서 측면 이동에 필요한 액세스 데이터를 요청할 수 있다.

AI 때문에 생긴 사이버보안 분야의 문제를 정리하면 다음과 같다.

• 직원이 너무 많은 데이터에 접근할 수 있다.
• 민감한 데이터가 표시되지 않거나 오표기된다.
• 내부자가 자연어를 사용해 데이터를 신속하게 찾아서 유출시킬 수 있다.
• 공격자는 권한 상승과 측면 이동을 위한 비밀 정보를 찾을 수 있다.
• 적절한 액세스 수준을 수동으로 설정하는 것은 불가능한다.
• 생성형 AI는 새로운 민감한 데이터를 신속하게 생성한다.

데이터 보안 문제는 새롭지 않다. 그러나 AI가 정보를 공격자에게 노출하는 속도와 용이성으로 인해 그 어느 때보다 쉽게 악용될 수 있다는 점이 문제다.

AI 위험에 대한 보호 조치

AI와 관련된 위험을 제거하는 첫 번째 단계는 숙제를 완료하는 것이다. CISO는 코파일럿과 같은 강력한 도구를 사용하기 전에 모든 민감한 데이터가 어디에 있는지 파악해야 한다. 또한 위협과 위험을 분석하고, 보안 격차를 해소하고, 잘못된 구성을 효율적으로 수정할 수 있어야 한다.

CISO가 환경의 데이터 보안을 확고하게 파악하고 올바른 프로세스를 갖추고 있을 때에만 기업은 AI 어시스턴트를 도입할 준비가 됐다고 말할 수 있다. 설치 후에도 보안 관리자는 다음 세 가지 영역을 지속적으로 모니터링해야 한다.

• 접근 권한 : 직원 권한이 적절하게 설정되어 있는지, 그리고 AI 도구의 접근 권한이 그 권한과 일치하는지 확인하는 것이 중요한다.
• 분류 : CISO가 회사에 어떤 민감한 데이터가 있는지 알게 되면, DLP 규칙을 효과적으로 적용하기 위해 데이터를 분류할 수 있다.
• 인간 활동 : AI 어시스턴트의 사용을 모니터링하고 의심스러운 행동을 감지해야 한다. 인공지능의 오용을 방지하기 위해서는 메시지와 액세스되는 파일을 분석하는 것이 핵심이다.

dl-itworldkorea@foundryco.com