AI 만능시대? 생성형 방벽 불감증은···신기술 환상 쫓다 데이터 홀린다

[사진=링크드인, 그래픽=고선호 기자]

[이뉴스투데이 고선호 기자] 하루가 다르게 성장하는 인공지능(AI) 기술을 통해 IT분야의 비약적 발전이 이뤄지고 있지만, 생성형AI와 같은 주요 기술들이 각종 데이터 유출 및 범죄의 도구로 악용되며 보안에 비상이 걸렸다.

기업과 개인정보를 노린 각종 피싱 범죄 등 다양한 형태의 악용 사례가 급증하고 있는 가운데 최근 시장을 강타한 중국의 ‘딥시크’ AI에서 대규모 데이터 유출 사고가 발생하는 등 AI 보안을 둘러싼 논란이 점차 커지고 있다.

26일 글로벌 보안기업 사이버헤븐이 발표한 지난해 상반기 AI 도입 및 위험 보고서에 따르면 대상자 300만명의 실제 AI 사용 패턴을 기반으로 조사한 결과, 직장 내 챗GPT 사용의 약 74%가 기업 외 계정을 통해 이뤄지고 있었다. 또한 구글 제미나이 및 바드 사용 작업자의 경우 94% 이상이 기업 외 계정에서 사용하는 것으로 나타났다.

사이버헤븐은 잠재적으로 AI가 해당 데이터를 사용하거나 학습할 수 있는 가능성으로 이어진다고 내다봤다. 종합적으로 AI 도구로 공유되는 모든 법률 문서의 약 83%가 기업 외 계정을 통해 전달되고 있으며, △소스 코드 △R&D 자료 △인사 및 직원 기록의 약 절반이 승인되지 않은 AI에 전달되고 있다는 것을 의미한다.

AI를 통해 입력되는 데이터 규모 자체도 크게 증가하고 있는 추세다. 2023년 3월부터 지난해 3월까지 약 1년 1개월간 각종 AI 도구에 입력되는 데이터의 양이 5배 가까이 증가한 것으로 조사됐다.

AI 및 클라우드 보안 전문가들은 기업의 기밀 또는 민감한 정보를 공개적으로 사용 가능한 AI와 공유하는 시도 자체에 위험 정도을 평가하기 어렵다는 입장이지만, 이를 통해 발생할 수 있는 데이터 유출 등의 사고 발생 가능성을 고려할 때 이에 대한 사전 대응 체계 마련이 필요하다고 지적한다.

실제 생성형AI를 통한 데이터 유출 사고가 발생하면서 우려는 더욱 증폭되고 있다. 사이버보안 업체 위즈 리서치(Wiz Research)는 지난 1월 29일 인증 절차 없이 접근 가능한 상태로 방치된 클릭하우스(ClickHouse) 데이터베이스를 발견했다고 밝힌 바 있다. 유출된 정보에는 개인 대화 기록, 시스템 운영 데이터, API 인증 키, 내부 운영 기록 등이 포함된 것으로 확인됐다.

이에 딥시크 측은 성명을 통해 “데이터베이스 유출 사실을 통보받은 즉시 보안 설정을 강화했으며, 영향을 받은 사용자들에게 개별 통지를 진행하고 있다”며 입장을 내놨다.

해당 유출 사례를 보면 보안 설정이 되지 않은 데이터베이스를 인터넷에 노출하면서 100만건 이상의 민감 데이터가 외부에 공개됐다. 딥시크 AI의 데이터베이스는 클라우드 상에서 공개된 상태였으며, HTTP 인터페이스를 통해 웹브라우저에서 직접 SQL 쿼리를 실행할 수 있도록 설정돼 있었다. 이를 통해 해커들은 내부 데이터에 접근할 수 있었을 뿐만 아니라, 데이터베이스 자체를 조작할 수도 있었다.

위즈 연구원은 “AI 서비스의 급속한 확산이 보안 대비 없이 이루어질 경우 심각한 위험을 초래할 수 있다”며 “AI 보안이 주로 미래의 위협에 초점을 맞추고 있지만, 실제 위험은 데이터베이스의 우발적인 외부 노출과 같은 기본적인 보안 문제에서 발생하는 경우가 많다”고 지적했다.

[그래픽=고선호 기자]

만약 기업이나 개인의 데이터와 민감 정보가 외부로 유출될 경우 발생하게 될 피해는 상상을 초월한다. 특히 거대언어모델(LLM)을 통해 실시간으로 막대한 양의 데이터를 수집·저장·편집하는 생성형AI 특성에 따라 기업의 경우 대규모 기밀 유출까지 우려할 수도 있는 상황이다.

이 경우 기업은 막대한 금전적 손해를 볼 수밖에 없다. 최근까지 발생한 기업 서버 데이터 유출 피해 정도를 감안하면 실제 피해규모가 더욱 커질 수 있다.

전 세계 604개 기업을 대상으로 실시된 ‘2024 데이터 유출 비용 연구 보고서’를 보면 기업의 데이터 유출 사고로 발생하는 제반 비용이 전 세계 평균 488만 달러(한화 약 67억6100만원)로 역대 최고치에 달하는 것으로 집계됐다.

국내 평균은 이보다 낮은 평균 48억3300만원인 것으로 집계됐지만, 해당 조사에 우리나라가 포함된 지난 7년간으로 보면 사상 최고치인 수준이다. 국내 기업의 데이터 유출로 비용 부담이 컸던 산업군은 법무, 회계, 컨설팅 등 전문 서비스, 금융, 제조 산업 순이었다.

승인되지 않은 기업 또는 고객 데이터는 AI 서비스와 공유 자체를 차단해야 한다는 목소리가 커지고 있다. 특히 대기업과 IT관련 기업군에서는 접속 차단은 물론, 자국 및 자사 AI 서비스를 이용하는 움직임이 본격화하는 양상이다.

삼성전자와 LG전자는 딥시크의 안전성 논란 직후 곧바로 자체 개발한 생성형 AI인 ‘가우스’와 ‘엑사원’을 사용하도록 하고 있으며, 임직원들을 대상으로 딥시크 이용을 금지하는 권고를 내렸다. 네이버와 SK텔레콤도 외부 서버로 회사 데이터가 넘어갈 수 있는 AI의 이용을 막고 있다. 카카오 역시 임직원들에게 딥시크 이용을 지양할 것을 권고했다.

통신업계 역시 마찬가지다. LG유플러스는 딥시크 주소 접근 자체를 원천 차단했고, KT 또한 빅데이터·AI 파트너십을 체결한 MS의 ‘코파일럿’만 접속을 허용 중이다.

업계 관계자는 “생성형AI는 누구나 사용할 수 있는 높은 접근성이 강점이자 문제로 대두되고 있다. 더군다나 딥시크와 같은 일부 AI의 경우 프로그램 코드를 공개하는 ‘오프소스’ 방식으로 운영하고 있어 보안에 취약하다는 얘기가 나온다”며 “만약 AI가 데이터 유출의 터널로 악용된다면 해당 기업의 피해는 상상을 초월할 것”이라고 설명했다.