Connect with us

AI๊ฐ€ ์–ด๋–ป๊ฒŒ ์ œ1์˜ ๋ฐ์ดํ„ฐ ์œ ์ถœ ์ฑ„๋„์ด ๋˜์—ˆ๋Š”๊ฐ€

์ธ๊ณต์ง€๋Šฅ

AI๊ฐ€ ์–ด๋–ป๊ฒŒ ์ œ1์˜ ๋ฐ์ดํ„ฐ ์œ ์ถœ ์ฑ„๋„์ด ๋˜์—ˆ๋Š”๊ฐ€

mm
Published
Updated

기업 리더들은 생산성과 혁신을 가속화하기 위해 AI 도구에 수십억을 투자했습니다. 그러나 최신 데이터는 많은 조직이 예상하지 못한 심각한 위험을 드러냅니다. 직원들이 더 빠르게 일할 수 있도록 돕는 바로 그 AI 플랫폼들이 기업 환경을 떠나는 민감한 데이터의 가장 큰 채널이 되었습니다. 최근 조사 결과에 따르면, 직원의 77%가 생성형 AI 도구에 데이터를 붙여넣고, 이러한 플랫폼에 업로드된 파일의 40%가 개인식별정보나 결제 카드 데이터를 포함하고 있습니다. 이는 적절한 보안 통제가 마련되어 있다고 믿는 조직들 전반에 걸쳐 지금 당장, 대규모로 발생하고 있습니다. 이는 기업이 AI가 어떻게 사용되고 있다고 생각하는지와 직원들이 매일 이러한 도구와 상호작용할 때 실제로 일어나는 일 사이의 근본적인 괴리를 보여줍니다. 이러한 변화를 이해하는 것은 새로운 현실에 맞는 보안 전략을 구축하기 위한 첫걸음입니다.

AI가 어떻게 새로운 데이터 유출 경로가 되었는가

2년 전만 해도 생성형 AI는 기업 업무 흐름에 거의 존재하지 않았습니다. 오늘날, 전체 기업 직원의 45%가 AI 플랫폼을 적극적으로 사용하며, 전체 기업 활동의 11%가 이제 이러한 도구에서 이루어지고 있습니다. ChatGPT만 해도 43%의 직원 침투율에 도달했는데, 이는 다른 커뮤니케이션 플랫폼이 수십 년에 걸쳐 달성한 비율입니다. 이러한 도입 속도는 보안 공백을 만들었습니다. 기존의 데이터 손실 방지 시스템은 파일 전송, 이메일 첨부 파일, 네트워크 트래픽을 위해 구축되었습니다. 이들은 직원들이 프롬프트 상자에 입력하거나 채팅 인터페이스에 붙여넣는 내용을 모니터링하도록 설계된 적이 없습니다. 이 맹점이 민감한 정보의 주요 탈출 경로가 되었습니다. 생성형 AI는 이제 기업 계정에서 개인 계정으로 이동하는 전체 데이터의 32%를 차지합니다. 이는 이를 파일 공유, 이메일 및 보안 팀이 수년 동안 보호하려고 노력해 온 다른 모든 채널을 능가하는 데이터 유출의 단일 최대 채널로 만듭니다. 문제는 양뿐만 아니라 유출의 성격에도 있습니다. 누군가 파일 서버에 문서를 업로드할 때는 기록이 남습니다. 그러나 고객 데이터를 AI 프롬프트에 붙여넣을 때, 그 전송은 종종 어떤 로깅이나 모니터링 시스템 밖에서 발생합니다.

개인 계정 문제

문제는 AI 도구 사용 자체가 아니라 직원들이 이러한 도구에 접근하는 방식에 있습니다. 기업 보안 모델은 직원들이 단일 사인온 인증, 로깅 및 감독이 가능한 기업 계정을 사용한다고 가정합니다. 데이터는 이 가정이 틀렸음을 보여주며, AI 사용의 약 67%가 관리되지 않는 개인 계정을 통해 이루어집니다. 이들은 Gmail 주소, 개인 Microsoft 계정 또는 기업 신원 시스템을 완전히 우회하는 직접 가입입니다. 누군가 개인 이메일로 ChatGPT에 로그인하면, 회사는 그들이 어떤 질문을 하는지, 어떤 데이터를 공유하는지, 또는 응답에 어떤 민감한 정보가 나타날 수 있는지에 대한 가시성을 전혀 갖지 못합니다. 직원들이 기업 계정을 사용할 때조차도, 그러한 자격 증명은 종종 연합(Federation)이 없습니다. ERP 로그인의 83%와 CRM 로그인의 71%가 단일 사인온 없이 이루어집니다. 이는 기업 로그인이 개인 계정보다 거의 더 많은 보안이나 가시성을 제공하지 않음을 의미합니다. 사용자 이름에 회사 도메인이 포함되어 있을 수 있지만, 인증 우회는 동일한 보이지 않는 데이터 흐름을 허용합니다.

복사 및 붙여넣기: 보이지 않는 데이터 유출

기존 데이터 손실 방지(DLP) 전략은 파일 시스템에 초점을 맞춰 구축되었습니다. 이들은 업로드, 다운로드 및 첨부 파일을 모니터링합니다. 그러나 데이터는 데이터 유출의 실제 원인이 파일이 아님을 보여줍니다. 그것은 복사 및 붙여넣기입니다. 직원의 77%가 생성형 AI 도구에 데이터를 붙여넣습니다. 이 활동의 82%는 관리되지 않는 개인 계정에서 비롯됩니다. 평균적으로 각 직원은 개인 계정을 사용하여 하루에 15번 붙여넣기를 하며, 그 중 적어도 4번은 민감한 개인식별정보나 결제 카드 정보를 포함합니다. 이는 민감한 정보가 더 이상 파일 업로드를 통해서만 이동하는 것이 아니라는 것을 의미합니다. 그것은 또한 프롬프트, 채팅 창 및 텍스트 필드에 직접 주입되고 있습니다. 이러한 파일 없는 전송은 기존 DLP 솔루션에 거의 보이지 않습니다. 이들은 높은 빈도로, 여러 플랫폼에 걸쳐, 기업 감독 밖에서 발생합니다. 그 결과 감지하기 어려운 방식으로 조직을 떠나는 민감한 데이터의 지속적인 흐름이 발생합니다. 복사 및 붙여넣기는 새로운 유출 채널이 되었고, AI 도구는 제1의 목적지가 되었습니다.

비공인 목적지의 민감한 파일

파일 업로드는 여전히 기업 업무 흐름의 중심 부분입니다. 그러나 목적지는 바뀌었습니다. 직원들은 더 이상 업로드를 공인된 저장소나 이메일로만 국한하지 않습니다. 그들은 파일을 생성형 AI 도구, 소비자 앱 및 그림자 SaaS 플랫폼으로 이동시키고 있습니다. 데이터에 따르면, 생성형 AI 도구에 업로드된 파일의 40%가 개인 또는 금융 데이터를 포함합니다. 파일 저장 플랫폼에 업로드된 파일의 41%도 동일한 내용을 포함합니다. 이러한 업로드의 거의 10건 중 4건은 개인 계정을 통해 발생합니다. 이는 민감한 데이터가 기업이 가시성과 통제권을 전혀 갖지 못하는 환경으로 흐르고 있음을 의미합니다. 파일이 개인 Google Drive, WhatsApp 채팅 또는 AI 프롬프트에 업로드되면, 그것은 사실상 기업 구내를 벗어난 것입니다. 추적, 제한 또는 삭제할 수 없습니다. 목적지는 다양합니다. EgnyteZendesk와 같은 기업 도구가 Canva, LinkedIn, WhatsApp과 같은 소비자 플랫폼과 함께 나타납니다. 기업과 소비자 생태계의 이러한 혼합은 기업 데이터가 존재하는 경계를 모호하게 만듭니다. 또한 공인된 채널과 중앙 집중식 제어를 위해 설계된 기존 DLP의 한계를 드러냅니다.

이것이 기업 보안에 의미하는 바

기존의 보안 경계는 붕괴되었습니다. 네트워크 관리, 엔드포인트 보안 및 공인된 애플리케이션 모니터링을 통해 데이터를 통제하는 것이 가능했었습니다. 그 모델은 작업이 기업 시스템 내부에서 이루어지고 통제된 채널을 통해 외부 플랫폼을 가끔 사용한다고 가정합니다. 현실은 이제 작업이 브라우저에서, 수십 개의 애플리케이션에 걸쳐, 기업 및 개인 계정을 모두 통해, 감사 추적을 생성하지 않는 방법을 사용하여 이루어진다는 것입니다. 고객 문제를 조사하는 직원은 내부 시스템을 검색하고, 요약을 위해 결과를 ChatGPT에 붙여넣고, 그 요약을 동료들과 공유하기 위해 Slack에 복사하고, 나중에 검토하기 위해 개인 이메일로 전달할 수 있습니다. 모든 단계에는 기존 도구가 볼 수 없는 채널을 통해 이동하는 민감한 데이터가 포함됩니다. 브라우저는 주요 작업 공간이 되었지만, 보안 통제는 따라가지 못했습니다. 직원들은 애플리케이션 사이를 이동하며 하루를 보내고, 데이터는 그들이 기업 도구와 개인 도구를 거의 구분하지 않음을 보여줍니다. 그들은 무엇이든 작동하는 것, 편리한 것, IT 승인을 기다릴 필요가 없는 것을 사용합니다. 이는 민감한 정보가 보이지 않는 채널을 통해 끊임없이 외부로 흐르는 환경을 만듭니다.

AI 시대를 위한 기업 보안 재고

해결책은 AI 도구를 차단하거나 개인 계정을 완전히 금지하는 것이 아닙니다. 이러한 접근 방식은 직원들이 실제로 어떻게 일하는지에 맞서 싸우기 때문에 실패합니다. 도구는 사람들을 더 생산적으로 만들기 때문에 존재합니다. 개인 계정은 기업 프로비저닝이 느리고 제한적이기 때문에 확산됩니다. 이러한 현실을 무시하는 보안은 단순히 우회될 것입니다. 효과적인 보호는 작업이 실제로 이루어지는 브라우저 수준에서의 가시성이 필요합니다. 이는 파일 업로드뿐만 아니라 붙여넣기 작업, 양식 제출, 프롬프트 상호작용 및 데이터가 시스템 간에 이동하는 모든 다른 방법을 모니터링하는 것을 의미합니다. 이는 누군가 어떤 애플리케이션을 사용하든 관계없이 기업 계정과 개인 계정을 구분하는 정책을 시행하는 것을 의미합니다. 조직들은 파일을 넘어 파일 없는 전송을 포함하도록 데이터 손실 방지를 확장해야 합니다. ChatGPT에 제출된 프롬프트는 이메일 첨부 파일과 동일한 검토를 받아야 합니다. Slack에 대한 붙여넣기 작업은 Google Drive에 대한 업로드와 동일한 검사를 트리거해야 합니다. 전송 방법이 보안이 적용되는지 여부를 결정해서는 안 됩니다. 신원 통제는 실제로 시행되어야 합니다. 직원들이 여전히 개인 계정을 통해 비즈니스 애플리케이션에 접근할 수 있다면 단일 사인온을 제공하는 것만으로는 충분하지 않습니다. 연합 인증은 민감한 데이터를 처리하는 모든 애플리케이션에 대해 선택 사항이 아닌 필수가 되어야 합니다. 비연합 기업 로그인은 그것이 가진 보안 위험으로 취급되어야 합니다.

결론

AI는 기업 소프트웨어에서 가장 빠르게 성장하는 범주가 되었습니다. 또한 데이터 유출의 제1 채널이 되었습니다. 직원의 77%가 AI 도구에 데이터를 붙여넣습니다. 업로드의 40%가 민감한 정보를 포함합니다. 이 활동의 대부분은 관리되지 않는 계정을 통해 발생합니다. 오래된 보안 경계는 더 이상 존재하지 않습니다. 대부분의 작업은 브라우저에서 이루어지며, 텍스트 붙여넣기와 같은 간단한 작업조차도 침해로 이어질 수 있습니다. 이 새로운 현실에 맞춰 보안 전략을 업데이트하지 않는 회사들은 이미 가장 가치 있는 데이터에 대한 통제력을 잃고 있습니다.  

Related Topics:
mm

ํ…Œ์‹  ์ง€์•„ ๋ฐ•์‚ฌ๋Š” ์˜ค์ŠคํŠธ๋ฆฌ์•„ ๋นˆ ๊ณต๊ณผ๋Œ€ํ•™๊ต์—์„œ ์ธ๊ณต์ง€๋Šฅ ๋ฐ•์‚ฌ ํ•™์œ„๋ฅผ ์ทจ๋“ํ•˜๊ณ , ํ˜„์žฌ ์ฝ”๋งท์Šค ๋Œ€ํ•™๊ต ์ด์Šฌ๋ผ๋งˆ๋ฐ”๋“œ์˜ ์ •๋…„ ๋ถ€๊ต์ˆ˜๋กœ ์žฌ์ง ์ค‘์ž…๋‹ˆ๋‹ค. ์ธ๊ณต์ง€๋Šฅ, ๋จธ์‹ ๋Ÿฌ๋‹, ๋ฐ์ดํ„ฐ ์‚ฌ์ด์–ธ์Šค, ์ปดํ“จํ„ฐ ๋น„์ „์„ ์ „๋ฌธ์œผ๋กœ ํ•˜๋ฉฐ, ๊ถŒ์œ„ ์žˆ๋Š” ๊ณผํ•™ ์ €๋„์— ๋…ผ๋ฌธ์„ ๋ฐœํ‘œํ•˜์—ฌ ์ค‘์š”ํ•œ ๊ธฐ์—ฌ๋ฅผ ํ•ด์™”์Šต๋‹ˆ๋‹ค. ํ…Œ์‹  ๋ฐ•์‚ฌ๋Š” ๋˜ํ•œ ์ˆ˜๋งŽ์€ ์‚ฐ์—… ํ”„๋กœ์ ํŠธ๋ฅผ ์ฑ…์ž„ ์—ฐ๊ตฌ์›์œผ๋กœ ์ด๋Œ์—ˆ์œผ๋ฉฐ, ์ธ๊ณต์ง€๋Šฅ ์ปจ์„คํ„ดํŠธ๋กœ๋„ ํ™œ๋™ํ–ˆ์Šต๋‹ˆ๋‹ค.