์ฌ์ด๋ฒ ๋ณด์
AI๊ฐ ์ด๋ฏธ่ดต็คพ ๋ด์ ์นจํฌํ๊ณ ์์ผ๋ฉฐ, ๊ทธ๊ฒ์ ๋ณด์์์ ๋งน์ ์ด๋ค
貴社에서 공식적으로 AI를 전사적으로 도입했는지 여부와 상관없이, AI는 이미貴社 내에 존재한다. 직원들은 문서를 작성하기 위해 ChatGPT를 사용하고 있으며, 분석을 가속화하기 위해 민감한 데이터를 온라인 도구에 업로드하고 있으며, 코드 작성부터 고객 서비스까지 모든 것을 단축하기 위해 생성 도구를 사용하고 있다. AI는貴社의 승인 여부와 상관없이 진행되고 있으며, 이것은 CISO를 비롯한 보안 담당자들에게 밤잠을 방해할 정도로 심각한 문제이다.
각 부서에서 비공식적인 AI 도구를 사용하는 이러한 은밀한 확산은 새로운 보안 위협을 созд하고 있다. 이것은 분산된 형태로 진행되고 있으며, 대부분의 경우 보안 담당자들의 눈에 띄지 않는다. 또한, 규제 위반, 데이터 유출, 추적할 수 없는 의사 결정 등 다양한 위협을 내포하고 있다. 이러한 위협들은 실제로 발생할 수 있으며, 많은 기업들이 아직도 정책이나 방화벽으로 이러한 위협을 방지할 수 있다고 생각하고 있다.
하지만, 사실은 AI를 완전히 차단하는 것은 불가능하다. AI를 안전하게 사용하는 방법을 찾아야 한다. 기업들이 이것을 인정할수록, 더 빠르게 위협을 줄일 수 있는 기회를 얻을 수 있다.
그림자 AI는 조직을 침투하고 있으며, 이것은 보안상의 맹점이다
이러한 패턴은 이전에도 보아왔다. 2010년대 초 클라우드 도입이 이러한 방식으로 진행되었다. 팀원들은 보안 팀의 승인 없이 더 빠르게 작업할 수 있는 도구를 사용하기 시작했다. 많은 보안 팀이 이러한 변화를 저지하려고 시도했지만, 결국에는 보안 위협, 미설정, 또는 규제 위반으로 인해 반응적인 대응을 해야만 했다.
오늘날, 동일한 상황이 AI와 관련하여 발생하고 있다. 우리의 2024년 AI 보안 보고서에 따르면, 대부분의 조직이 AI를 사용하여 자체 애플리케이션을 개발하고 있지만, 이러한 모델이 어디에 위치하는지, 어떻게 구성되어 있는지, 또는 민감한 데이터를 노출시키는지에 대한 가시성이 없다.
이것은 두 가지 위협을 생성한다:
- 직원들이 민감한 데이터에 접근하기 위해 공개 도구를 사용하는 경우, 이는 외부 시스템에 대한 정보를 노출시키며, 이를 통제할 수 없다.
- 내부 팀이 적절한 보안 통제 없이 AI 모델을 배포하는 경우, 이는 취약점을 노출시키며, 부적절한 관행이 발생할 수 있다.
그림자 AI는 단순한 보안 문제가 아니다. 또한, 거버넌스 위기를 초래할 수 있다. AI의 사용을 추적할 수 없다면, AI를 훈련시키는 방법, 접근하는 데이터, 생성하는 출력에 대한 통제를 할 수 없다. 또한, AI의 결정에 대한 추적을 할 수 없다면, 규제, 평판, 또는 운영 위험에 노출될 수 있다.
전통적인 보안 도구는 부족하다
대부분의 보안 도구는 AI를 다루기 위해 설계되지 않았다. 모델 아티팩트를 인식하지 못하며, AI 전용 데이터 경로를 스캔할 수 없으며, LLM 상호작용을 추적하거나 모델 거버넌스를 강제할 수 없다. 또한, 존재하는 도구들은 좁은 범위의 문제에만 집중하며, 조직은 포인트 솔루션을 다루고 있지만, 전체적인 관점이 없다.
이것은 문제이다. AI 보안은 이후에 고려할 수 없다. 클라우드 환경을 관리하고, 데이터를 보호하며, DevSecOps 파이프라인을 구조화하는 방식에 내장되어야 한다. 그렇지 않으면, AI의 중심적인 역할을 과소평가하며, 보안의 핵심 부분으로서의 기회를 놓치게 된다.
“차단만 하면 된다”라는 신화는 종결되어야 한다
사실, 이러한 문제를 정책이나 방화벽으로 해결할 수 있다고 생각하는 것은 바람의 생각이다. 직원들은 일을 더 빠르게 처리하기 위해 AI 도구를 사용하고 있으며, 이것은 악의적으로 사용하는 것이 아니다. 이는 효과가 있기 때문이다.
AI는 강력한 도구이다. 사람들은 더 빠르게 일할 수 있도록 도와주는 도구를 사용할 것이다.
이러한 행동을 완전히 차단하려고 하는 것은 효과가 없다. 이는 단지 이러한 행동을 은밀하게 만든다. 그리고,何か 문제가 발생했을 때,貴社는 최악의 상황에 처하게 된다. 가시성이 없으며, 정책이 없으며, 대응 계획도 없다.
전략적으로, 안전하게, 그리고 가시적으로 AI를 수용하라
더 현명한 접근 방법은 AI를 적극적으로 수용하는 것이다. 이는 세 가지를 시작으로 한다:
-
직원들에게 안전하고 승인된 옵션을 제공하라. 직원들이 위험한 도구를 사용하지 않도록 하려면, 안전한 대안을 제공해야 한다. 내부 LLM, 검증된 제3자 도구, 또는 핵심 시스템에 통합된 AI 어시스턴트를 제공하라. 직원들이 있는 곳에서 만나라. 빠르지만 안전한 도구를 제공하라.
-
명확한 정책을 설정하고 강제하라. AI 거버넌스는 구체적이고 실행 가능하며 쉽게 따라야 한다. 어떤 데이터를 AI 도구와 공유할 수 있는가? 어떤 것이 적합하지 않은가? 내부 AI 프로젝트를 검토하고 승인하는 사람은 누구인가? 정책을 게시하고 기술적 및 절차적인 강제 메커니즘을 설정하라.
-
가시성과 모니터링에 투자하라.貴社가 볼 수 없는 것을 안전하게 할 수 없다. 그림자 AI 사용을 감지하고, 노출된 액세스 키를 식별하고, 잘못 구성된 모델을 플래그하고, 민감한 데이터가 훈련 세트 또는 출력으로 유출될 수 있는 곳을 강조할 수 있는 도구가 필요하다. AI 포스트 관리는 클라우드 보안 포스트 관리와 같이 중요해지고 있다.
CISO는 이 전환을 주도해야 한다
이것은 보안 리더십의 결정적인 순간이다. CISO의 역할은 더 이상 인프라를 보호하는 것만이 아니다. 이는 또한 혁신을 안전하게 ermög하는 것에 관한 것이다. 즉, 조직이 AI를 사용하여 더 빠르게 이동할 수 있도록 도와주는 것이다. 또한, 보안, 개인 정보 보호, 규제 준수를 모든 단계에서 고려해야 한다.
이러한 리더십은 다음과 같다:
- 이사와 경영진에게 실제 및 인식된 AI 위험에 대해 교육한다
- 엔지니어링 및 제품 팀과 파트너십을 맺어 AI 배포 초기에 보안을 통합한다
- AI 시스템이 작동하는 방식을 이해하는 현대적인 도구에 투자한다
- 모든 사람이 책임을 지는 문화를 구축한다
CISO는 반드시 AI 전문가가 될 필요는 없다. 그러나, 올바른 질문을 하는 사람이 되어야 한다. 어떤 모델을 사용하고 있는가? 어떤 데이터가 이를 공급하고 있는가? 어떤 가드레일이 있는가? 이를 증명할 수 있는가?
결론: 아무 것도 하지 않는 것이 가장 큰 위험이다
AI는 이미貴社의 비즈니스 운영 방식을 변경하고 있다. 고객 서비스 팀이 더 빠르게 회신을 작성하거나, 재무 팀이 예측을 분석하거나, 개발자가 워크플ロー를 가속화하는 등, AI는 일상적인 작업에 내재되어 있다. 이러한 현실을 무시하는 것은 AI의 채택을 늦추지 않는다. 오히려, 맹점, 데이터 유출, 규제 실패를 초래한다.
가장 위험한 전진 경로는 무위이다. CISO와 보안 리더는 이미 진실을 인정해야 한다. AI는 이미貴社 내에 존재한다.貴社의 시스템에 존재한다. 워크플로에 존재한다. 그리고, 이것은 사라지지 않는다.貴社가 이것을 안전하게 사용하기 전에, 이것이貴社에게 해를 끼치기 전에,貴社는 무엇을 할 것인가?
AI를 수용하라. 그러나, 보안 우선의 사고 방식 없이는 절대 안된다. 이것이 앞으로 다가올 것을 선도하는 유일한 방법이다.
