챗GPT를 비롯한 생성 인공지능(AI) 사용을 자체적으로 금지하는 기업이 늘어나고 있다. 일례로 삼성전자는 지난 3월 삼성전자 디바이스솔루션(DS) 부문에서 챗GPT를 통한 기밀 유출 사례가 발생하자 생성 AI 사용을 금지했다. 글로벌 기업 애플도 챗GPT 사용을 막았고 골드만삭스, 씨티뱅크 등 금융권도 '생성 AI 금지령'을 내렸다.
생성 AI는 보안에 있어 '양날의 검'이다. 정보가 유출되거나 자칫 해킹 도구로 악용될 수 있지만 더 뛰어난 보안 체계를 갖출 수 있는 수단이 될 수 있어서다. 정부와 산학계는 생성 AI로 커진 사이버 위협에 대응하기 위해 머리를 맞댔다.
정보유출 우려 커져…데이터 필터링하는 기업
과학기술정보통신부는 13일 서울 송파구에서 유관기관, 학계, 산업계와 함께 '챗GPT 등 생성형 AI 보안 위협 대응 방안 토론회'를 열었다. 이날 토론회는 챗GPT를 비롯한 생성 AI 서비스 이용에 따른 국내외 보안 위협 동향, 산업적 파급 효과 등을 공유하고 국가 차원에서 대응방향을 논의하고자 마련됐다.
이날 토론회에 참석한 IT기업들은 생성 AI 활용 과정에서 내부정보 유출에 대한 우려의 목소리를 높였다. 챗GPT는 사용자가 입력한 데이터를 다시 학습하는데, 임직원들이 이를 활용하는 과정에서 핵심정보가 유출될 수 있기 때문이다.
곽규복 LG CNS 의원은 "현재 시점에서 기업은 임직원들이 내부 정보를 챗GPT에 올리면서 유출되는 문제에 당면해 있다"면서 "폐쇄된 환경에서 쓸 수 있도록 하거나 모니터링 툴을 적용해 챗GPT로 올라가는 데이터를 필터링하는 형태로 대응하는 실정"이라고 말했다.
박환석 KT IT 보안기획담당은 "내부적으로 사용 십계명을 만들어 배포하고, 업무적인 용도로만 사용할 수 있도록 했다"면서 "KT의 소스코드가 올라가게 되면 역으로 공격당하는 도구로 사용될 수 있어 마이크로소프트와 KT 전용의 챗GPT 공간을 활용하려고 한다"고 설명했다.
국내 빅테크 기업인 카카오와 네이버 또한 정보 유출을 막기 위한 챗GPT 이용 가이드라인을 만들어 안내하고 있다. 네이버는 이미 초거대AI 하이퍼클로바를 제공하고 있는데, 8월에 공개되는 하이퍼클로버X는 데이터 활용에 동의하는 선택지를 제공하도록 허용하고 있다.
오픈AI처럼 LLM(거대언어모델)을 가진 회사가 해킹되었을 경우 피해 규모는 기하급수적으로 늘어난다. 중소기업이나 보안업체는 고비용, 고인프라가 사용되는 LLM이 아니라 특정 분야에 특화된 sLLM 모델에 관심을 갖는 추세다. 이 경우 AI 학습을 위한 양질의 데이터 생태계가 조성되어야 한다.
정일옥 이글루코퍼레이션 관제기술연구팀장은 "보안 분야에 특화된 sLLM 모델을 만들어 서비스한다면 데이터 유출 걱정없이 활용할 수 있는 구축형 AI를 만들 수 있을 것"이라면서 "인공지능을 통해 업무를 효율화하고 보안을 강화하는 목표를 이루기 위해서는 산학연 협력이 필요하다"고 말했다.
생성AI로 '보이스피싱' 악용될 수 있어
생성AI를 활용한 사이버 공격 또한 점차 늘어나고 있다. 악성코드나 랜섬웨어를 손쉽게 만들 수 있게 되면서 초보 해커들의 진입 장벽이 낮아졌고, 개인정보를 빼내기 위한 피싱메일도 점차 정교해지고 있기 때문이다. 현재 사이버 공격의 70% 이상이 피싱메일로 시작된다는 점을 고려하면 더욱 무시하기 어렵다.
음성 생성 AI가 발달하게 되면 보이스피싱을 비롯한 범죄에 악용될 수 있다. 윤두식 지란지교시큐리티 대표는 "생성 AI 서비스로 목소리를 흉내내 가족을 속이면 지금과 비교도 되지 않는 어마어마한 대국민 피해가 발생하게 될 것"이라면서 "과기정통부뿐 아니라 경찰이나 학계, 통신사들이 협력을 통해 대응방안을 만들어야 한다"고 조언했다.
보안업계는 AI를 활용해 이러한 피싱공격에 대응하기 위한 노력을 이어오고 있다. 전성학 안랩 연구소장은 "하루에 나오는 악성 메일이 이제는 수십만 건에 달하는데, 과거처럼 사람이 분석해서는 불가능하다"면서 "AI를 활용하고 써서 상대방의 것을 분석하고 방어하는 모델을 만들어야 할 것"이라고 지적했다.
오중효 금융보안원 데이터혁신센터장은 "생성AI가 공격자에게도 좋은 도구지만, 보안에게도 좋은 도구가 주어졌다. 이 도구를 얼마나 잘 활용하느냐에 따라 승패가 결정될 수 있다"고 말했다. 그는 클라우드 도입 당시 보안 문제가 불거졌던 것을 예로 들며 클라우드 보안 인증제(CSAP)처럼 최소한의 인증을 받은 사업자에 한해 활용할 수 있는 방안을 제시했다.
박윤규 과기부 2차관은 "과거 인터넷, 스마트폰도 신기술의 부작용을 우려했지만 올바르게 기술을 활용해 새 경제적 기회를 창출하고 사회적 발전을 이뤄냈다"면서 "생성 AI을 적극 활용해 경제·사회·기술 발전을 촉진하도록 하는 한편 생성형 AI의 잠재적 보안 위협에 선제적으로 대응할 필요가 있다"고 말했다.