보안 사고 뉴스가 끊이지 않는 가운데, 기업들은 외부 공격 방어에 주력하고 있다. 그러나 외부 위협뿐만 아니라 내부 리스크를 낮추는 데도 노력을 기울여야 한다. CISO가 이를 위해 적극 나설 수 있다.
우리의 내부자들은 데이터 보호 기술, 나아가 자신들의 직장을 지키는 방법에 대해 더 나은 교육을 받을 필요가 있다. 많은 사람이 외부 공격의 위험에 대해서 알고 있다. 그래서 사이버 보안 기술을 도입한다. 그런데 내부에서 발생하는 위험은 간과되고 있으며, 실제로 내부자 위험은 수년간 꾸준히 증가해 왔다. 이는 사용자의 위험 인식을 높이려는 직원 교육 프로그램에도 불구하고 여전히 누군가는 그 메시지를 제대로 받아들이지 못하고 있음을 의미한다.
일반적인 보안 인식 교육은 피싱, 네트워크 공격, 사회공학 등을 통한 외부의 정보 탈취 위협에 중점을 둔다. 반면 내부자 교육은 직원과 사용자가 준수해야 할 보안 원칙, 규정 및 대응 방법을 다룬다. 특히 내부자 교육은 일회성 교육이 아닌 주기적으로 진행되어야 한다.
생성형 AI가 널리 사용 가능해짐에 따라, 기업은 이제 AI 관련 보안 교육에도 투자해야 한다. AI 시대에선 단 한 번의 마우스 클릭으로 영업 비밀이 노출될 수 있다.
데이터, 보안 및 개인정보 보호에 대한 안전장치가 부족하면, 수집된 사용자 데이터를 데이터 레이크에 넣고 이를 활용해 AI 엔진을 훈련시키는 사례가 발생할 수 있다. 마찬가지로 챗GPT와 같은 공개적으로 사용 가능한 AI 엔진도 해킹이나 보안 침해의 위험에 노출되어 있다.
CISO가 참고하면 좋은 OMB의 정책
CISO는 미국 정부의 AI 정책을 검토해야 한다. 데이터 처리 관련 정책을 구현할 로드맵이 필요하다면, 올해 초 미국 연방 정부가 발표한 선제적 접근 방식, 즉 관리예산국(OMB)의 연방 기관 AI 사용에 관한 정책을 살펴보자.
OMB 정책이 주목할 만한 이유는 AI가 제시하는 위험을 제한하면서 동시에 그 이점을 활용하는 것을 목표로 하는 최초의 정부 차원의 정책이기 때문이다. 이 정책으로 미국의 모든 연방 기관은 2024년 12월 1일까지 미국인의 권리나 안전에 영향을 미칠 수 있는 방식으로 AI 관련 구체적인 안전장치를 마련해야 한다. CISO는 이 OMB 정책을 검토하고, 이를 자신들의 AI 구현(내부 및 외부)에 관한 내부 정책과 함께 검토하며, 벤더, 파트너, 고객의 AI 보호 정책과 대조해 보는 것이 좋을 것이다.
OMB 정책의 영향력은 AI 솔루션을 사용하는 정부를 넘어 정부와 협력하는 기관까지 확대될 것이다. 이 정책은 개인의 권리와 보안 보호에 초점을 맞추고 있지만, 이러한 안전장치는 기본적으로 데이터 보호 부분에 초점을 맞추고 있다. 바로 이 지점에서 CISO가 통찰력을 얻을 수 있다.
섀도우 AI에 대한 대비
섀도우 AI는 살아있고 건재하며 여러분의 시스템 속에 존재한다. 섀도우 AI는 이제 피할 수 없는 현실이 되었다. 필자가 이전 칼럼에서도 밝힌 바 있는데, 섀도우 AI 문제를 막는 것은 마치 제방에서 물이 넘치는 것을 막으려는 것과 같다. 물은 항상 길을 찾기에 문제는 계속 생기기 마련이다.
삼성전자는 직접 섀도우 AI의 위험을 깨달은 기업 중 하나다. 삼성의 한 엔지니어가 설계를 개선하기 위해 오픈AI 엔진에 관련 정보를 입력했다가 의도치 않게 영업 비밀이 노출되었던 것이다. 꼭 삼성뿐만이 아니라 거의 모든 CISO가 회사 내부 데이터를 AI 도구에 입력한 직원을 확인하고 이를 처리한 경험을 가지고 있을 것이다.
실제로 보안 컨퍼런스인 RSA 컨퍼런스에서 여러 임원들이 ‘XYZ 주식회사의 마케팅 전략’과 같은 질문에 AI가 답변을 제공해 내부 전략이 외부에 노출된 것 같다고 언급했다. AI 엔진은 이전에 입력된 내용을 학습했고 응답으로 이를 제시한다. 그 말은 누군가가 어딘가에서 마케팅 전략을 AI에 입력하여 개선하려 했고, AI 엔진이 이를 다시 내놓았다는 것이다. 그러한 답변을 발견하는 경쟁사는 큰 혜택을 누릴 수 있다.
AI와 조금 다르지만 네트워크를 중요하게 생각하는 이들은 링크드인 같은 서비스에 자신이 하는 일, 연구 중인 내용, 여행 목적지, 팀원 등을 강조하라고 추천한다. 하지만 이런 내용 중에도 기업에 중요한 정보가 있을 수 있다. 이런 과정에서 기밀 정보가 유출되는 결과를 초래할 수 있다.
AI이든 소셜미디어이든 기업은 내부자에 의해 중요한 정보가 유출되는 것을 막아야 한다. 해결책이 그리 복잡한 건 아니다. 일단 정규직, 계약직, 파트너, 벤더들에게 단순히 선언이나 명령을 내리는 것 이상의 교육을 진행해야 한다.
내부자 위험 관리 전문 기업인 코드42(Code42)의 CEO 조 페인은 “즉각적인 교육을 통해 코드 유출이 약 32% 감소하기도 한다”라며 “명확하고 구체적인 피드백을 제공하는 교육 비디오를 제공하며, 직원을 교육하고 잘못된 행동을 억제할 수 있다”라고 설명했다.
특정 도구를 통해 지적 재산을 보호할 수 있지만, 도구를 사용하는 것 외에 교육도 필요하다. 또한 CISO는 직원에게 가해지는 제재의 이유에 대해 깊이 이해하고 있어야 한다. 왜 직원은 IP를 보호된 환경에서 보호되지 않거나 승인되지 않은 환경으로 이동했을까? 그들의 자발적인 행동이었는가? 아니면 상사의 지시에 따른 것인가? 등을 따져야 하는 것이다. 나쁜 의도 없이 업무를 완료하는 데 필요한 도구나 자원이 부족했을 수 있다. 혹은 보안 규칙을 어기고라도 일을 끝내려는 직원일 수도 있다.
이 모든 것이 의도치 않게 기업을 더 큰 위험에 빠뜨릴 수 있다. 따라서 CISO는 직원이 보안 규칙을 잘 지키도록 문제 발생 후 즉시 교육을 제공하고, 수집된 피드백을 바탕으로 교육 방식을 개선하며, 필요시 관리자의 지시를 조정하는 등의 추가 노력을 진행해야 할 것이다.
*필자 크리스토퍼 버지스(Christopher Burgess)는 보안 분야 작가, 연사 및 평론가로 활동하고 있다. 그는 시스코에서 수석 보안 고문을 역임했으며, 데이터 및 보안 관련 여러 스타트업에서 CEO와 COO로 활약했다. 또한 30년 이상 CIA에서 근무한 경력을 가지고 있다.
dl-ciokorea@foundryco.com
