소중하다면 지켜야 한다··· ‘알고리즘’을 자산답게 보호하는 방법

광고 홍보 및 마케팅 대행사 오길비(Ogilvy)는 회사 특유의 비즈니스 문제 해결을 위해 RPA와 마이크로소프트 비전 AI를 통합하는 프로젝트를 진행 중이다. 최고 혁신 및 변화 책임자 유리 아귀아르는 프로젝트에서 나오는 알고리즘과 프로세스가 탈취되지 않도록 보호할 방법에 대해 벌써 고민 중이다.

아귀아르는 “특허를 출원할 만한 대상은 아니지만 당사에 경쟁적 우위를 제공하는 것은 사실이고 출시 기간을 대폭 줄여 준다”라며, “나는 알고리즘을 최신 소프트웨어 모듈로 본다. 알고리즘이 독점 저작물을 다룬다면 그에 준하게 보호해야 한다”고 덧붙였다. 

지적재산 절도는 글로벌 기업들에게 큰 근심거리가 되었다. 2020년 2월 현재 FBI는 기술의 절도 미수 사건에 중국이 연루된 것과 관련해서만 약 1,000건의 수사를 진행 중이다. 지적재산 절도를 꾀하는 것은 국가 뿐만이 아니다. 경쟁업체, 직원, 협력업체가 공범인 경우도 많다.

보안 팀은 소프트웨어, 공학 설계, 마케팅 계획 등 지적재산을 보호하기 위한 조치를 주기적으로 취한다. 그런데 지적재산이 문서나 데이터베이스가 아니라 알고리즘이라면 어떻게 보호할까? 회사들이 디지털 트랜스포메이션 프로젝트를 실행함에 따라 자체 개발한 분석 기능이 중요한 차별화 요소로 자리잡고 있다. 다행히 알고리즘도 법적으로 보호받을 수 있는 지적재산에 포함되도록 법이 바뀌고 있다.

알고리즘을 특허 취득하고 영업기밀로 분류
다년간 비즈니스 분야 변호인들은 기업이 알고리즘에 대해 특허 취득할 수 없다는 주장을 펼치곤 했다. 그러나 전통적인 알고리즘과 달리 AI와 ML은 프로그래머의 개입 없이 소프트웨어의 업데이트와 이전 결과로부터의 ‘학습’이 가능한 알고리즘을 필요로 하며, 이로부터 기업의 경쟁우위가 생겨날 수 있다.

로웬스타인 샌들러(Lowenstein Sandler) 회장이자 개인정보보호 및 사이버보안 부문 설립자 메리 힐데브랜드에 따르면, 기업들의 니즈를 반영하기 위해 지침이 변경되고 있다. 그는 “미국 특허청이 신규 지침을 배포했다. 이는 알고리즘과 그 알고리즘에 반영된 단계에 대한 특허 취득 가능성을 크게 높였다”라고 말했다.

그러나 특허에는 몇 가지 단점이 있다. 힐데브랜드는 “알고리즘만 보호할 경우, 경쟁자가 똑같은 단계를 거치는 다른 알고리즘을 창출하는 행태를 막을 수 없다”라고 지적했다.

더구나, 특허 출원 회사는 출원 내용도 공개해야 한다. 미네아폴리스 소재 로빈스 카플란 (Robins Kaplan LLP) 영업기밀 부문 공동 책임자 데이빗 프랜지는 “돈을 들여 특허 출원을 하더라도 취득하리라는 보장은 없다”라고 말했다.

많은 회사들이 알고리즘을 영업기밀로 분류하는 것을 제1의 방책으로 삼는다. 영업기밀은 연방 출원이나 대금 납부가 전혀 필요 없다. 그러나 “보호에 특히 주의를 기울여야 한다”라고 프랜지는 덧붙였다.

알고리즘 소유권과 관련된 소송에 대비하려면 회사들은 알고리즘이 생겨난 시점부터 비밀 유지에 필요한 여러 조치를 취해야 한다.

‘제로 트러스트’ 방식 채택
알고리즘을 개발한 즉시 회사는 이를 영업기밀로 간주하고 비밀 유지를 위해 합당한 조치를 취해야 한다고 힐데브랜드는 강조했다. “예컨대, 그 알고리즘에 대해 아는 것은 일정한 수의 사람에게 한정되어야 하며, 접근권이 있는 직원은 기밀유지 계약서에 서명을 해야한다는 뜻이다”라고 그는 말했다.

또 알고리즘은 아무도 하룻밤 동안 집에 가져갈 수 없으며 안전한 곳에 보관되어야 한다. 힐데브랜드는 “매우 상식적인 조치들이지만 매우 중요하다”라고 설명했다.

엔터프라이즈 전략 그룹(ESG) 부사장 겸 사이버보안 그룹 책임자 더그 카힐은 IT 쪽에서 최선의 알고리즘 보호 방법은 제로-트러스트 방식 원칙에 뿌리를 두고 있다고 설명하며 영업기밀로 간주되는 알고리즘은 “가상 금고에 보관해야 한다”고 강조했다. 

그는 “해당 금고에 대한 접근권은 최소한의 사용자에게 업무 수행에 필요한 최소한의 권한만으로 부여되어야 한다. 금고 접근에는 2중 인증이 요구되어야 하고 사용 내역은 기록과 감시가 필수적이다”라고 덧붙였다.

전원을 대상으로 한 기밀유지 계약
회사들은 프로젝트나 알고리즘에 접근권이 있는 모든 직원이 반드시 기밀유지 계약에 서명하도록 해야 한다. 힐데브랜드는 한 발명가의 사례를 들었다. 그 발명가는 3명의 잠재적인 협력자를 만났는데 모두 같은 회사를 대표한다고 믿었고 본인은 회사가 서명한 기밀유지 계약의 적용을 받는다고 생각했다. 

그러나 알고 보니 3명 중 1명은 아무런 문건에 서명한 적이 없는 독자적인 컨설턴트였으며, 그는 발명가의 지적재산을 탈취해버렸다. 발명가로서는 본인의 발명품에 대한 지위를 상실한 것이다. 힐데브랜드는 해당 회의에 들어가는 고객들에게 반드시 회의실 내 모든 사람이 기밀유지 계약에 서명했는지 확인할 것을 조언하고 있다.

서명한 기밀유지 계약서를 중요시해야 할 또 다른 이유가 있다. “특히 공학자와 과학자는 동료들에게 본인의 연구 내용에 대해 이야기하는 것을 좋아한다. 팀에 소속되어 있고 서로에게 배우는 경우라면 괜찮지만 경쟁자와 저녁 먹으러 같이 나간다거나 동네 BBQ 집에서 연구 내용을 논의하는 것은 곤란하다”라고 힐데브랜드는 지적했다.

소규모 팀과 알 필요에 따른 접근
프로젝트나 알고리즘의 직접적인 지식이 꼭 필요한 사람이 누군지 생각해 보라고 프랜지는 당부했다. 규모가 작은 회사일수록 사람들이 맡는 역할이 많아져서 알아야 할 것도 늘어날 수 있겠지만, 규모가 크고 다변화된 회사일수록 모든 것을 알아야 할 사람의 수는 적어진다. 

소규모 집단이 접근권을 갖는 경우에도, 2중 인증 방식을 사용하고, 회사 외부나 또는 실제 건물 밖에서 작업 가능 여부를 제한하는 것이 좋다. 아니면, 컴퓨터에 썸 드라이브를 사용할 수 없도록 막는 조치를 해야 한다고 프랜지는 덧붙였다.

일선 직원을 대상으로 알고리즘 보호 교육 실시
IT 지도자들은 일선 직원들이 보호해야 할 대상과 회사의 투자 내용을 파악하도록 교육을 실시해야 한다고 프랜지는 강조했다. “예를 들면, 영업 담당자들은 제품에 대해 많이 알고 싶어 한다. 제품의 어떤 측면에 기밀이 유지되어야 하는지 교육시켜야 한다”라고 그는 설명했다.

퇴사 직원의 알고리즘 반출 금지
이직 시에 반출 불가 항목이 무엇인지 직원들이 반드시 인지하도록 해야 한다.  프랜지는 “민감한 분야에서 일하거나 민감한 정보에 접근권이 있는 직원이 퇴사할 때마다 반드시 퇴사 면접을 거쳐 그들이 무엇을 갖고 있는지 파악하고 그들은 다음 직장에서 그 정보 사용을 금하는 의무 사항에 서명했다는 사실을 강조해야 한다”라고 말했다.

협력관계도 같은 방식으로 다뤄야 한다고 프랜지는 덧붙였다. “한 회사가 공동 개발 관계에 있다가 관계가 틀어지거나 흐지부지하게 되어서 한쪽 또는 양쪽 회사가 독자 노선을 걷는 경우를 많이 본다. 그러다가 양쪽이 공유하던 정보로 한쪽이 갑자기 제품을 출시하면 분쟁이 생긴다”라고 그는 말했다.

알고리즘 소유 증거를 확보
카힐은 “알고리즘에 접근하기 위해 각종 전술이 활용될 것임이 분명하다. 예를 들면, 사회 공학 기법으로 만들어진 스피어-피싱 공격은 가짜 로그인 및 암호 재설정 페이지를 통해 개발자 로그인 정보를 탈취하여 알고리즘과 같은 지적재산이 저장된 시스템에 접근한다”라고 설명했다.

프랜지는 알고리즘이나 프로세스를 탈취할 의도를 가진 자를 막는 것은 어렵다며 누출 상황에 대비해야 한다고 지적했다. 

실제로 IBM 등의 기업은 알고리즘 소유권을 입증하고 절도나 방해 공작을 방지하기 위해 AI 심층 신경망에 디지털 워터마크를 매립하는 방법을 연구 중이다. 디지털 이미지에 워터마크를 입히는 멀티미디어 개념과 유사하다. 2018년에 공개된 IBM 팀의 방식을 통해 애플리케이션의 신경망 서비스 소유권을 API 질의로 확인할 수 있다. 이는 가령 자율주행 차량의 알고리즘을 속여 정지 신호를 무시하고 지나가게 하는 등의 공격 예방에 필수적이다.

이 작업은 워터마크를 ML모델에 적용하는 매립 단계와 추출하여 소유권을 입증하는 탐지 단계 등 2단계 프로세스로 이뤄진다.

그러나 이러한 개념에는 몇 가지 주의점이 있다. 첫째, 오프라인 모델에는 효과가 없다. 둘째, 질의를 보내고 응답을 분석하여 ML모델 매개변수를 추출하는 ‘예측 API’ 공격을 통한 침해 행위로부터는 보호할 수 없다.

일본 KDDI 연구소 및 국립 정보학 연구소(NII) 소속 연구진 역시 딥학습 모델에 워터마크를 입히는 방식을 2017년에 도입한 바 있다.

이러한 워터마크 솔루션의 또 다른 문제점은 현재의 설계로는 해적 공격을 해결할 수 없다는 점이다. 해적 공격이란 이미 워터마크가 적용된 모델에 제3자가 자신의 워터마크를 매립시켜 모델 소유권을 허위로 주장하는 경우이다.

2020년 2월, 시카고 대학교 연구진은 ‘널 임베딩(null embedding)’ 기법을 공개했다. 해적 공격에 안전한 워터마크를 모델 최초 훈련 시에 DNN 내부에 구축하는 방식이다. 이를 통해 모델의 정상적인 분류 정확성과 워터마크 사이에 강력한 의존성이 형성된다. 그 결과, 공격자는 매립된 워터마크를 제거할 수 없으며 이미 워터마크가 적용된 모델에 새로운 해적 워터마크를 추가할 수도 없다. 그러나 이러한 개념은 개발 초기 단계에 있다. dl-ciokorea@foundryco.com