2023년 6월 6일
작성자: 토니 프럼 - 제품 전문가, Skyhigh Security
로터리 전화기 사용법을 배우며 자란 저는 그동안 상당한 기술 발전을 목격했습니다. 하지만 인공지능(AI)의 등장으로 인해 제 아이들이 살아가면서 보게 될 것들에 비하면 초라할지도 모른다는 생각이 듭니다. 이 분야의 전문가들은 인공지능의 중요성을 설명하기 위해 원자폭탄이나 불의 발견과 같은 과장된 비유를 사용하며, 이것이 과장된 것이 아닐 가능성도 충분히 있습니다.
일각에서는 보안 대책, 정부 규제, 심지어 AI 연구 중단을 요구하는 목소리까지 나오면서 이번 사태를 둘러싼 우려의 목소리가 커지고 있습니다. 사이버 보안 분야에서는 ChatGPT와 같은 AI 도구의 사용과 데이터 보안에 미치는 영향에 대해 많은 불안감이 존재합니다. 광적으로 데이터에 집중하는 Security Service Edge (SSE) 공급업체로서 우리는 Skyhigh Security 는 적어도 매일 ChatGPT를 통한 데이터 손실을 어떻게 방지할 수 있는지에 대한 질문을 받습니다. 고객들은 ChatGPT를 통한 삼성의 데이터 손실 사고와 같은 상황을 접하고 적절한 통제 장치를 마련하고자 합니다.
ChatGPT와 같은 도구의 참신함에도 불구하고 "해 아래 새로운 것은 없다"는 전도서 말씀을 인용하고 싶은 충동을 참아야 합니다. AI 모델이 데이터를 학습할 때 발생할 수 있는 특정 위험은 새로운 것일 수 있지만, ChatGPT로부터 데이터를 보호하는 것은 사실 전혀 새로운 것이 아닙니다. 이것이 바로 우리가 매일 하는 일입니다! 그리고 간단히 말해서, 올바른 데이터 보안 제어가 마련되어 있다면 이미 기본을 갖추고 있는 것입니다. 적용 가능한 제어 기능을 간략히 살펴보고, 그 중 대부분은 이미 배포되어 있을 것이며, 이 새로운, 그러나 그리 새롭지는 않은 위험을 해결하는 데 어떻게 도움이 될 수 있는지 알아보겠습니다.
카테고리/앱별 차단
많은 조직은 AI 챗봇 및 기타 생성형 AI 서비스로 인해 발생할 수 있는 위험을 원치 않습니다. 이러한 기업들은 이러한 앱의 사용을 전면적으로 차단하는 것을 선호하는 전략입니다. 최근 애플도 이러한 기업 대열에 합류했습니다. 하지만 제가 수년간 Secure Web Gateway (SWG) 고객들에게 말했듯이 "무언가를 차단하는 것은 쉽습니다. 누구나 할 수 있습니다. 무엇을 차단해야 하는지 아는 것이 어려운 부분입니다." 즉, 오늘날 제대로 된 SWG라면 이미 이러한 AI 도구를 알고 있어야 하며, 이를 차단하는 정책을 쉽게 구축할 수 있어야 합니다. 이 글을 쓰는 현재, Skyhigh Security의 클라우드 레지스트리에는 400개 이상의 AI 애플리케이션에 대한 전체 위험 분석이 포함되어 있으며, 그 목록은 매일 늘어나고 있습니다! 여기에는 65개 이상의 위험 속성과 해당 앱과 관련된 모든 도메인 목록이 포함되어 있습니다. 단 몇 번의 클릭만으로 이 풍부한 데이터를 고객의 웹 보안 정책에 활용하여 이러한 앱을 제어할 수 있습니다. AI 챗봇의 사용을 금지하려는 고객에게는 이 기능이 '간편한 버튼'입니다.
특정 활동 제한
일부 조직은 AI 챗봇의 사용을 허용하는 것이 가치 있다고 생각하지만 더 중요한 데이터의 보안을 유지하고자 합니다. 오늘날 이 속담에 나오는 고양이의 가죽을 벗기는 방법에는 여러 가지가 있습니다. 한 가지 옵션은 활동 제어를 사용하여 AI 기반 애플리케이션을 허용하되 파일 업로드나 프롬프트 전송과 같은 특정 활동을 방지하는 것입니다. Skyhigh의 SWG는 AI로 분류된 400개 이상의 앱을 포함하여 레지스트리에 있는 35,000개 이상의 모든 애플리케이션에 대한 활동 제어를 지원합니다. 다시 말하지만, 몇 번의 클릭만으로 이러한 애플리케이션에 콘텐츠가 업로드되는 것을 몇 분 안에 차단할 수 있습니다.
물론 ChatGPT와 같은 일부 애플리케이션은 질문 보내기 등의 활동을 차단하여 쓸모없게 만들 수도 있습니다. 질문할 수 없다면 앱을 허용하는 것이 무슨 소용이 있을까요? 이러한 상황에서는 고객이 보다 미묘한 접근 방식을 원할 수 있습니다. 예를 들어, 삼성은 초기에 ChatGPT 프롬프트를 1,024바이트로 제한하여 데이터 유출에 대응했습니다. 다른 옵션으로는 특정 유형의 파일 업로드 방지, 지리적 위치를 기반으로 한 액세스 제한 등이 있습니다. 이러한 옵션의 대부분은 매우 세분화된 웹 정책 엔진이 필요합니다. Skyhigh SWG 솔루션은 의심할 여지 없이 현재 시장에서 가장 강력하고 세분화된 웹 정책 엔진을 갖추고 있어 이와 같은 사용 사례를 신속하게 처리할 수 있습니다. 예를 들어, 고객은 하나의 사용자 지정 규칙으로 모든 AI 기반 플랫폼에 대한 요청이 1024바이트를 초과하는 경우 이를 차단하는 정책을 구현할 수 있습니다. 따라서 선호하는 접근 방식이 무엇이든 쉽게 제어할 수 있도록 지원할 수 있습니다.
비즈니스 크리티컬 데이터 보호
개인적으로 가장 좋은 접근 방식은 데이터 인식이라고 생각합니다. 오늘날과 같은 클라우드 기반 환경에서는 조직이 보호해야 할 데이터를 이미 잘 파악하고 있어야 하며, 조직에서 승인하지 않고 적절히 보호하지 않는 외부 애플리케이션으로 데이터가 전송되지 않도록 정책을 적용해야 합니다. 이 점에서 ChatGPT는 사실상 개인용 Dropbox 계정과 다를 바 없습니다. 조직은 개인용 Dropbox 사용을 허용하고 용인할 수 있지만, 가장 중요한 데이터가 승인되지 않고 보안이 취약한 애플리케이션에 업로드되지 않도록 해야 합니다. 마찬가지로, 성숙한 데이터 보안 프로그램을 갖춘 조직은 이미 중요한 데이터가 승인되지 않은 애플리케이션으로 유출되는 것을 방지하는 정책을 가지고 있을 것이며, 이는 자연스럽게 ChatGPT와 같은 앱으로 확장되어야 합니다. Skyhigh Security 고객은 이미 정확한 데이터 일치(EDM), 인덱싱 데이터 일치(IDM), 광학 문자 인식(OCR) 등의 강력한 기능을 갖춘 성숙하고 고도화된 Data Loss Prevention (DLP) 엔진을 활용하고 있으므로 이 분야에서 앞서 나가고 있는 셈입니다.
OpenAI의 최근 개발 중 한 가지 희망적인 소식은 ChatGPT 대화 기록과 해당 대화에 대한 학습을 비활성화할 수 있는 새로운 제어 기능이 추가되었다는 것입니다. 사용자는 UI에서 스위치를 간단히 눌러 자신의 데이터가 저장되는 것을 원하지 않으며, ChatGPT 학습에 사용되지 않음을 표시할 수 있습니다. 기본적으로 비활성화되어 있는 이 옵션은 사용자가 수동으로 활성화해야 하지만, 잠재적으로 민감한 데이터에 대해 ChatGPT 모델이 학습되는 것을 방지하기 위한 추가적인 보안 계층을 제공합니다. Skyhigh Security 에서 이미 사용자의 로그인 계정과 관계없이 프록시를 통과하는 모든 관리되는 디바이스에 대해 이 새로운 옵션을 강제로 활성화하는 정책을 테스트했습니다.
서비스 제재하기
OpenAI는 향후 ChatGPT 비즈니스 구독 계획도 발표했습니다. 이 새로운 구독 옵션을 통해 조직은 사용자를 위한 비즈니스 계정을 생성하고 데이터 처리 방식을 중앙에서 관리할 수 있게 될 것입니다. 이는 잠재적으로 Skyhigh Security SSE 플랫폼의 다른 여러 기능을 활용할 수 있게 될 것입니다. 첫 번째는 '테넌트 제한'으로, 개인 및 타사 계정을 차단하면서 애플리케이션의 승인된 테넌트 또는 인스턴스에만 로그인을 허용할 수 있는 기능입니다. 이는 조직이 회사 전체에 데이터 처리 정책을 적용하기 위해 ChatGPT 비즈니스 경로를 사용하려는 경우 매우 중요합니다. 사용자가 통제되지 않은 개인 ChatGPT 계정에 로그인하는 것을 차단하지 못한다면 이러한 정책은 무용지물이 될 것입니다.
Skyhigh Security의 엔지니어링 팀은 이미 포트폴리오의 cloud access security broker (CASB ) 부분을 사용해 OpenAI 플랫폼에 업로드된 파일을 면밀히 조사하기 위해 OpenAI의 API와 상호 작용하는 개념 증명을 성공적으로 수행했습니다. OpenAI API가 아직 모든 사용 사례를 지원하지는 않지만, 저희는 CASB API 기능을 사용하여 대역 외 프로세스에서 기업 테넌트의 민감한 데이터를 스캔하고 수정할 수 있는 기회를 계속 모색할 것입니다.
마찬가지로 ChatGPT가 타사 ID 공급자의 싱글사인온(SSO)을 사용할 수 있는 기능을 제공한다면 Skyhigh Security의 CASB 기술이 가치를 제공할 수 있을 것입니다. ChatGPT와 타사 ID 공급자 간의 SAML 핸드오프 프로세스에 연결함으로써 CASB는 전 세계 모든 디바이스가 ChatGPT 테넌트를 인증할 수 있도록 인라인으로 연결하고 디바이스 액세스 제어를 수행할 수 있습니다. 이러한 방식으로 신뢰할 수 있는 장치만 액세스하도록 조직의 ChatGPT에 대한 액세스를 제한할 수 있습니다. 이 글을 쓰는 시점에서 OpenAI가 SSO를 제공할 계획인지는 아직 확인되지 않았지만, 인증 및 계정 관리를 위한 일반적인 접근 방식이므로 가능성이 높습니다.
Skyhigh Security 에서 근무하는 제 동료들에게 방금 논의한 내용은 고객과의 일상적인 대화를 간략하게 요약한 것처럼 들릴 것입니다. 이것이 바로 우리가 하는 일입니다. AI 챗봇, 특히 ChatGPT는 데이터 손실 위험에 새로운 변화를 가져올 수 있지만, 데이터 보안 전문가에게는 여전히 동일한 도구와 동일한 위험이 수반되는 동일한 업무입니다. 이러한 도구 중 상당수는 이미 준비되어 있을 가능성이 높지만, 보안 관리가 미흡하다고 생각된다면 저희가 도와드릴 수 있는 방법을 알려주세요. 고객의 데이터를 보호하는 것이 바로 우리가 매일 하는 일이기 때문입니다.
Skyhigh Security 에 대해 자세히 알아보려면 지금 바로 문의하세요.
블로그로 돌아가기