구글 클라우드 보안 전문가의 AI에 대한 경고

생성형 인공지능(genAI) 도구의 차이점 및 쉐도우 AI 대응 전략

구글 클라우드의 CISO 사무실 보안 고문인 안톤 추바킨(Anton Chuvakin)은 소비자용과 기업용 생성 인공지능(genAI) 도구 간의 미묘한 차이점, 쉐도우 AI의 등장 현상, 그리고 조직이 관련 위험을 완화하기 위해 취할 수 있는 전략에 대해 설명했습니다. 추바킨은 비즈니스 목적으로 소비자용 AI 챗봇을 채택하는 것에 대한 최근 고객들의 우려를 언급하며, 기업 환경에서 캐주얼하게 사용하기 위해 설계된 도구를 사용하는 것의 내재된 위험을 강조했습니다. 그는 "올바른 접근법은 기업용 AI를 사용하는 것"이라고 말했습니다.

소비자용과 기업용 AI 도구의 차이점

• 소비자용 AI: 주로 재미나 개인적 용도로 설계되어 프롬프트에서 학습하고 시간이 지남에 따라 개선될 것으로 기대됩니다.
• 기업용 AI: 민감한 정보를 보호하기 위해 프롬프트에서 학습하는 것에 대한 제한이 필요하며, 학습 과정에 대한 세밀한 제어가 필요합니다. 기업용 AI는 이용 가능한 데이터가 아닌 제어된 및 규범적인 출처에서 학습해야 합니다. 

쉐도우 AI와 관련된 위험 완화 전략

• 쉐도우 AI의 위험: 미승인된 접근으로 인한 민감한 데이터의 위험, 데이터 유출 위험, AI 기반 사이버 공격 등이 포함됩니다.
• 위험 완화 전략: 쉐도우 AI와 관련된 위험을 완화하기 위해 전략과 도구를 채택하고 AI 기술의 안전한 채택을 보장합니다. 

기업 환경에서 AI 도구를 안전하고 효과적으로 사용하기 위해서는 기업용 AI의 중요성을 인식하고 쉐도우 AI의 위험을 관리하는 전략을 마련하는 것이 중요합니다. 

 

쉐도우 AI 위험 및 안전 조치

안톤 추바킨은 회사 업무용으로 일반 소비자용 생성형 인공지능(genAI) 도구를 사용하는 것이 기업의 데이터 보안, 준수 및 개인 정보 보호에 대해 심각한 질문을 제기할 것이라고 말했습니다. 구글 클라우드는 민감한 데이터 유출 및 무단 데이터 접근을 포함한 잠재적 쉐도우 AI 위험 유형을 발견했지만, 직장에서 genAI 도구를 금지하는 것이 해결책이 아니라고 지적했습니다.

쉐도우 AI의 잠재적 위험

• 민감한 데이터 유출: 기업의 중요한 정보가 외부로 유출될 수 있습니다. 
• 부정확한 결과: AI가 잘못된 정보를 학습하여 부정확한 결과를 생성할 수 있습니다. 
• 무단 데이터 접근: 무단 사용자가 기업 데이터에 접근할 수 있는 위험입니다. 

관리 및 대응방안

• 직원 교육 및 인식 제고: genAI 도구의 위험에 대해 직원들을 교육하고 인식을 높이는 것이 중요합니다. 
• genAI 사용 및 안전 규칙 강화: 단순한 집행만으로는 충분하지 않으며, 때로는 반대의 효과를 낼 수도 있습니다. 
• 보안 기술 활용: 클라우드 액세스 보안 브로커(CASB)와 같은 기존 네트워크 및 클라우드 보안 도구를 활용하는 것이 좋습니다. 
• 데이터 사용에 대한 신중한 고려: genAI 도구를 사용할 때는 사용되는 데이터를 신중하게 고려해야 합니다. 사용자는 도구에 자신의 데이터를 제공할 수 있습니다. 
• 잠재적 위협 개요: genAI 도구에 의해 제기될 수 있는 잠재적 위협에 대한 지침 마련.
• 직원 사용 지침 또는 정책 생성: 직원이 genAI를 사용할 때 오용을 방지하고 책임 위험을 줄이기 위해 지침이나 공식 정책을 만드는 것이 좋습니다. 
• 공개적으로 사용 가능한 genAI 인스턴스 사용에 대한 지침: ChatGPT, Bard, Bing AI와 같이 공개적으로 사용 가능한 genAI 인스턴스를 사용할 때의 지침 마련.

추바킨은 소비자용과 기업용 genAI 도구 간의 더 큰 명확성과 차별화를 예상하며, 이는 혼란을 줄이고 도구 선택을 특정 비즈니스 요구와 더 밀접하게 맞출 것입니다. 기업은 다양한 보안 수준을 충족시키기 위해 추가 도구를 구축할 것이며, 이는 소규모 비즈니스부터 대규모 규제된 기업에 이르기까지 다양한 제어 수준을 필요로 합니다. 🛡️

 

구글 클라우드의 genAI 위험 및 쉐도우 AI 대응 방안

구글 클라우드는 민감한 데이터 유출 및 무단 데이터 접근과 같은 잠재적 쉐도우 AI 위험을 식별했습니다. 안톤 추바킨은 Google이 자체 소비자용 및 기업용 genAI 도구를 주의 깊게 다루며 특정 유형의 기업 데이터를 처리하는 방법에 대한 지침을 제공한다고 언급했습니다.

구글 클라우드의 접근 방식

• 기술 접근성: Google은 대부분의 기술을 직접 구축했기 때문에 더 통제된 환경에서 최신 기술에 쉽게 접근할 수 있는 이점이 있습니다. 
• 문제 해결: Google은 특정 격차와 큰 문제를 항상 관찰할 수 있으며, 이를 해결하기 위해 코드를 작성할 것입니다. 
• 모델 관리: Google은 많은 모델의 첫 번째 당사자이므로, 모델이 특정 작업을 수행할지 여부를 항상 물어볼 수 있습니다. 

쉐도우 AI에 대한 대응

• 신뢰와 투명성: Google Cloud는 AI에서 신뢰와 투명성을 강조하며 위험한 AI 관행에 대응하기 위한 지침을 제공합니다. 
• 데이터 리터러시: 쉐도우 IT와 쉐도우 AI의 등장으로 인해 개인 정보 보호와 보안을 보호하기 위해 데이터 리터러시가 중요합니다. 

Google Cloud는 기업용 AI 도구 사용이 위험할 수 있는 소비자용 AI 도구 사용과 같은 철학적 도전을 인식하고 있습니다. 그러나 Google은 자체 기술에 대한 깊은 이해와 직접적인 관리를 통해 이러한 위험을 최소화하고자 노력하고 있습니다.