์ธ๊ณต์ง๋ฅ
AI๊ฐ ๋ฐ์ดํฐ ์ ์ถ 1์ ์ฑ๋์ด ๋ ์ด์
기업 리더들은 생산성과 혁신을 가속화하기 위해 AI 도구에 수십억 달러를 투자했습니다. 그러나 최신 데이터는 많은 조직이 예상하지 못한 심각한 위험을 노출합니다. 직원들이 더 빠르게 일할 수 있도록 도와주는 동일한 AI 플랫폼이 기업 환경을 떠나는 기민한 데이터의 가장 큰 채널이 되었습니다. 최근의 조사 결과에 따르면 77%의 직원이 데이터를 생성적 AI 도구에 붙여넣으며, 40%의 파일 업로드에는 개인 식별 정보 또는 결제 카드 데이터가 포함되어 있습니다. 이것은 현재 진행 중이며, 보안 제어가 제대로 구축되어 있다고 믿는 조직에서 대규모로 발생하고 있습니다. 이것은 기업이 AI를 어떻게 사용하는지에 대한 생각과 실제로 직원들이 이러한 도구와 상호 작용하는 방식 사이에 근본적인 불일치를 보여줍니다. 이러한 변화를 이해하는 것은 새로운 현실에 맞는 보안 전략을 구축하는 첫 번째 단계입니다.
AI가 새로운 데이터 유출 벡터가 된 이유
2년 전, 기업 워크플로우에서 생성적 AI는 거의 존재하지 않았습니다. 오늘날, 45%의 모든 기업 직원이 활발히 AI 플랫폼을 사용하며, 11%의 모든 기업 활동이 이러한 도구에서 발생합니다. ChatGPT 단독으로 43%의 직원 관통률을 달성했으며, 다른 커뮤니케이션 플랫폼이 수십 년 동안 달성한 것입니다.
이러한 채택의 속도는 보안 공백을 생성했습니다. 전통적인 데이터 손실 방지 시스템은 파일 전송, 이메일 첨부 파일 및 네트워크 트래픽을 위해 구축되었습니다. 직원이 프롬프트 상자에 입력하거나 채팅 인터페이스에 붙여넣는 것을 모니터링하도록 설계되지 않았습니다. 이 맹점은 기민한 정보의 주요 탈출로가 되었습니다.
생성적 AI는 현재 기업에서 개인 계정으로의 모든 데이터 이동의 32%를 차지합니다. 이것은 파일 공유, 이메일 및 보안 팀이 수년간 보안을 위해 노력한 다른 모든 채널을 초과하는 단일 최대의 데이터 유출 채널입니다. 문제는 볼륨뿐만 아니라 유출의 특성에도 있습니다. 누군가가 파일을 파일 서버에 업로드할 때 기록이 있지만, 누군가가 고객 데이터를 AI 프롬프트에 붙여넣을 때, 해당 전송은 종종 로깅 또는 모니터링 시스템 외부에서 발생합니다.
개인 계정 문제
문제는 AI 도구 사용이 아니라 직원들이 이러한 도구에 액세스하는 방식입니다. 기업 보안 모델은 직원이 단일 사인온 인증, 로깅 및 감독이 있는 기업 계정을 사용한다고 가정합니다. 데이터는이 가정은 잘못되었으며, 약 67%의 AI 사용이 관리되지 않는 개인 계정을 통해 발생한다는 것을 보여줍니다. 이것은 Gmail 주소, 개인 Microsoft 계정 또는 기업 ID 시스템을 완전히 우회하는 직접 가입입니다. 누군가가 개인 이메일로 ChatGPT에 로그인하면, 회사는 질문, 공유하는 데이터 또는 응답에서 나타날 수 있는 기민한 정보를 볼 수 없습니다.
직원이 기업 계정을 사용하는 경우에도, 이러한 자격 증명은 종종 연방을 결여합니다. 83%의 ERP 로그인 및 71%의 CRM 로그인이 단일 사인온 없이 발생합니다. 이는 기업 로그인이 거의 더 이상의 보안 또는 가시성을 제공하지 않음을 의미합니다. 사용자 이름에는 회사 도메인이 포함될 수 있지만, 인증 우회로 인해 개인 계정과 동일한 보이지 않는 데이터 흐름이 발생합니다.
복사 및 붙여넣기: 보이지 않는 데이터 누출
전통적인 데이터 손실 방지 (DLP) 전략은 파일 시스템에 초점을 두고 구축되었습니다. 파일 업로드, 다운로드 및 첨부 파일을 모니터링합니다. 그러나 데이터는 실제로 파일이 아닌 복사 및 붙여넣기에서 발생하는 것을 보여줍니다. 77%의 직원이 생성적 AI 도구에 데이터를 붙여넣습니다. 이 활동의 82%는 관리되지 않는 개인 계정에서 발생합니다. 평균적으로 각 직원은 개인 계정을 사용하여 하루에 15번의 붙여넣기를 수행하며, 그 중 적어도 4개에는 기민한 개인 식별 정보 또는 결제 카드 정보가 포함됩니다.
이는 기민한 정보가 더 이상 파일 업로드만을 통해 이동하는 것이 아니라 직접 프롬프트, 채팅 창 및 텍스트 필드에 주입되고 있음을 의미합니다. 이러한 파일 없는 전송은 전통적인 DLP 솔루션에 거의 보이지 않습니다. 높은 빈도로 발생하며, 여러 플랫폼에서 발생하며, 기업의 감독을 받지 않습니다.
결과는 조직을 떠나는 기민한 데이터의 연속적인 흐름을 의미합니다. 복사 및 붙여넣기가 새로운 유출 채널이 되었습니다. AI 도구는 1위 목적지입니다.
미승인된 목적지에 있는 기민한 파일
파일 업로드는 여전히 기업 워크플로우의 핵심 부분입니다. 그러나 목적지는 변경되었습니다. 직원들은 더 이상 승인된 저장소 또는 이메일에 업로드를 제한하지 않습니다. 생성적 AI 도구, 소비자 앱 및 그림자 SaaS 플랫폼으로 파일을 이동하고 있습니다.
데이터는 생성적 AI 도구에 업로드된 파일의 40%에 개인 또는 금융 데이터가 포함되어 있음을 보여줍니다. 파일 저장소 플랫폼에 업로드된 파일의 41%에도 동일한 데이터가 포함되어 있습니다. 이러한 업로드의 거의 4분의 1은 개인 계정을 통해 발생합니다.
이는 기민한 데이터가 기업이 가시성이나 제어가 없는 환경으로 흐르는 것을 의미합니다. 파일을 개인 Google Drive, WhatsApp 채팅 또는 AI 프롬프트에 업로드하면 효과적으로 기업 환경 외부에 있습니다. 추적, 제한 또는 삭제할 수 없습니다.
목적지는 다양합니다. Egnyte 및 Zendesk와 같은 기업 도구는 Canva, LinkedIn 및 WhatsApp와 같은 소비자 플랫폼과 함께 나타납니다. 기업 및 소비자 생태계의 혼합은 기업 데이터가 어디에 존재하는지에 대한 경계를 흐리게 만듭니다. 또한 중앙 집중식 제어를 위해 설계된 전통적인 DLP의 한계를 노출합니다.
기업 보안에 대한 의미
전통적인 보안 경계가 붕괴되었습니다. 네트워크, 엔드포인트 및 승인된 응용 프로그램을 관리하여 데이터를 제어하는 것이 가능했습니다. 이러한 모델은 작업이 기업 시스템 내에서 발생하고 때때로 제어된 채널을 통해 외부 플랫폼을 사용한다고 가정합니다.
현실은 작업이 브라우저에서 발생하며, 수십 개의 응용 프로그램을 통해, 기업 및 개인 계정을 사용하여, 감사 로그를 생성하지 않는 방법으로 발생한다는 것입니다. 고객 문제를 조사하는 직원이 내부 시스템을 검색하여 ChatGPT에 요약을 붙여넣고, 요약을 Slack에 복사하여 동료와 공유하고, 개인 이메일을 통해 검토할 수 있도록 전달할 수 있습니다. 각 단계는 보이지 않는 채널을 통해 이동하는 기민한 데이터를 포함합니다.
브라우저가 주요 작업장이 되었습니다. 그러나 보안 제어가 이를 따라가지 못했습니다. 직원들은 응용 프로그램 사이를 이동하며, 데이터는 기업 및 개인 도구를 거의 구별하지 않는다는 것을 보여줍니다. 직원들은 무엇이든 사용하며, 무엇이든 기다리지 않고 IT 승인을 받을 수 있습니다. 이것은 기민한 정보가 지속적으로 보이지 않는 채널을 통해 외부로 흐르는 환경을 생성합니다.
AI 시대에 대한 기업 보안 재고
해결책은 AI 도구를 차단하거나 개인 계정을 완전히 금지하는 것이 아닙니다. 이러한 접근 방식은 실패합니다. 왜냐하면 직원이 실제로 어떻게 일하는지에 반대하기 때문입니다. 이러한 도구는 존재하는 이유는 사람들이 더 생산적이 되도록 도와주기 때문입니다. 개인 계정은 기업 제공이 느리기 때문에 普及합니다. 현실을 무시하는 보안은 간단히 우회될 것입니다.
유효한 보호를 위해서는 실제 작업이 발생하는 브라우저 수준에서 가시성이 필요합니다. 파일 업로드뿐만 아니라 붙여넣기 작업, 양식 제출, 프롬프트 상호 작용 및 시스템 사이에서 데이터가 이동하는 모든 방법을 모니터링해야 합니다. 기업 및 개인 계정을 구별하는 정책을 시행해야 하며, 누군가가 사용하는 응용 프로그램에 관계없이 이를 시행해야 합니다.
조직은 파일 없는 전송을 포함하여 데이터 손실 방지를 파일 범위로 확장해야 합니다. ChatGPT에 제출된 프롬프트는 이메일 첨부 파일과 동일한 검사를 받아야 합니다. Slack에 붙여넣은 작업은 Google Drive에 업로드와 동일한 검사를 받아야 합니다. 전송 방법은 보안이 적용되는지 여부를 결정해서는 안 됩니다.
아이디 제어는 실제로 시행되어야 합니다. 단일 사인온을 제공하는 것만으로는 충분하지 않습니다. 직원이 비즈니스 응용 프로그램에 액세스할 수 있는 경우, 개인 계정을 통해 액세스할 수 있습니다. 연방 인증은 기민한 데이터를 처리하는 모든 응용 프로그램에 대해 필수적이어야 하며, 선택 사항이 아닙니다. 연방이 아닌 기업 로그인은 보안 위험으로 간주되어야 합니다.
결론
AI는 기업 소프트웨어에서 가장 빠르게 성장하는 카테고리가 되었습니다. 또한 데이터 유출 1위 채널이 되었습니다. 77%의 직원이 AI 도구에 데이터를 붙여넣습니다. 업로드의 40%에는 기민한 정보가 포함되어 있습니다. 이러한 활동의 대부분은 관리되지 않는 계정을 통해 발생합니다.旧 보안 경계는 더 이상 존재하지 않습니다. 대부분의 작업이 브라우저에서 발생하며, 단순한 작업인 텍스트 붙여넣기도 보안 위협이 될 수 있습니다. 새로운 현실에 대한 보안 전략을 업데이트하지 않는 기업은 이미 가장 중요한 데이터를 제어하지 못하고 있습니다.
