그림자 AI가 기업 보안을 위협합니다

AI 기술이 빠르게 발전함에 따라, 조직들은 신종 보안 위협에 직면하게 되었습니다: 바로 그림자 AI 앱이라는 것입니다. 이들 무단 애플리케이션은 IT나 보안 감독 없이 직원들에 의해 개발되어 회사 내에 확산되고 있으며, 최근 VentureBeat 기사에서 강조하였듯이 대부분의 경우 눈에 띄지 않습니다.

VentureBeat는 많은 앱들이 고의적으로 악의적이지 않음에도 불구하고, 데이터 유출부터 법규 준수 위반에 이르기까지 기업 네트워크에 중대한 위험을 초래한다고 설명합니다.

그림자 AI 앱은 종종 직원들이 일상적인 작업을 자동화하거나 업무를 효율화하기 위해 만들어진 것입니다. 그들은 회사의 독점 데이터를 기반으로 훈련된 AI 모델을 사용합니다.

이러한 앱들은 OpenAI의 ChatGPT나 Google Gemini와 같은 생성적 AI 도구에 많이 의존하며, 필수적인 보호장치가 부족하여 보안 위협에 매우 취약합니다.

프롬프트 보안의 CEO인 이타마르 골란에 따르면, “이들 중 약 40%가 제공된 어떤 데이터에도 학습을 기본으로 하므로, 여러분의 지식재산이 그들의 모델의 일부가 될 수 있다”고 VentureBeat에서 보도했습니다.

그림자 AI의 매력은 명확합니다. 점점 더 타이트한 마감 시간을 맞추고 복잡한 업무 부담을 처리해야 하는 직원들이 생산성을 향상시키기 위해 이러한 도구를 사용하고 있습니다.

WinWire의 CTO인 Vineet Arora는 VentureBeats에게 “부서들이 무단으로 AI 솔루션을 도입하는 이유는 그 즉각적인 이점이 너무나 매력적이기 때문이다.”라고 언급했습니다. 그러나 이러한 도구들이 도입하게 되는 위험성은 심대합니다.

Golan은 그림자 AI를 스포츠에서의 성능 향상 약물에 비교하며, “프랑스 자전거 투어에서의 도핑과 같다. 사람들은 장기적인 결과를 인식하지 못한 채로 우위를 차지하려고 한다.”라고 VentureBeats에 보도했습니다.

그들의 장점에도 불구하고, 쉐도우 AI 앱들은 조직에게 다양한 취약점을 노출시킵니다. 그 중에는 기존의 보안 조치가 감지하지 못하는 실수로 인한 데이터 유출 및 즉각적인 인젝션 공격이 포함되어 있습니다.

문제의 규모는 충격적입니다. 고란은 자신의 회사가 매일 50 개의 새로운 AI 앱을 카탈로그에 등록하고 있으며, 현재 12,000 개 이상의 앱이 사용 중이라고 벤처비츠에 밝혔습니다. “츠나미를 멈출 수는 없지만, 배를 만들 수는 있습니다.” 고란은 많은 조직이 그들의 네트워크 내에서 쉐도우 AI 사용의 범위에 대해 빗나가고 있다는 사실을 지적하며 조언합니다.

예를 들어, 한 금융 회사는 10일간의 감사 과정에서 승인되지 않은 AI 도구 65개를 발견했는데, 이는 VentureBeats에 보고된 바와 같이 보안 팀이 예상했던 10개 미만의 도구보다 훨씬 많습니다.

그림자 AI의 위험성은 특히 규제된 부문에서 두드러집니다. 한번 소유권이 있는 데이터가 공개 AI 모델에 입력되면, 이를 통제하는 것이 어려워져, 이로 인해 규정 준수 문제가 발생할 수 있습니다.

골란은 “다가오는 EU AI 법안은 벌금에서 GDPR를 능가할 수 있다”고 경고하며, 아로라는 데이터 유출의 위협과 민감한 정보를 보호하지 못할 경우 조직이 직면할 수 있는 벌금을 강조합니다. 이는 VentureBeats에서 보도했습니다.

그림자 AI의 증가하는 문제를 해결하기 위해, 전문가들은 다면적인 접근법을 권장합니다. 아로라는 조직이 중앙집중형 AI 관리 구조를 만들고, 정기적으로 감사를 수행하며, AI 주도의 악용을 탐지할 수 있는 AI를 인식하는 보안 컨트롤을 배포하도록 제안합니다.

추가적으로, 기업들은 직원들에게 사전 승인된 AI 도구와 명확한 사용 정책을 제공하여 미승인 솔루션을 사용하려는 유혹을 줄여야 합니다.