생성형 인공지능(gen AI) 기술의 급속한 발전은 전 세계 산업에 변혁의 시대를 열었습니다. 지난 18개월 동안 기업들은 점점 더 생성형 AI를 운영에 통합하여 프로세스를 혁신하고 간소화할 수 있는 잠재력을 활용해 왔습니다. 고객 서비스 자동화부터 제품 개발 개선에 이르기까지 생성형 AI의 애플리케이션은 방대하고 영향력이 큽니다. 최근 IBM 보고서에 따르면 대기업의 약 42%가 AI를 채택했으며, 이 기술은 영업, 마케팅, 재무, 고객 서비스 등 다양한 부문에서 지식 작업 활동의 최대 30%를 자동화할 수 있습니다.
그러나 생성형 AI의 채택이 가속화되면 부정확성, 지적 재산권 문제 및 사이버 보안 위협과 같은 심각한 위험도 수반됩니다. 물론, 이것은 일련의 사례 중 하나일 뿐입니다. 많은 기업들이 클라우드 컴퓨팅과 같은 새로운 기술을 도입한 뒤에야, 보안 원칙을 처음부터 우선순위로 삼았어야 했다는 사실을 뒤늦게 깨닫곤 합니다. 이제 우리는 생성형 AI 기반 엔터프라이즈 애플리케이션을 개발하면서 과거의 실수에서 교훈을 얻고 설계 기반 보안 원칙을 조기에 채택할 수 있습니다.
최근의 클라우드 채택 물결은 기술 전환 초기에 보안의 우선순위를 정하는 데 대한 귀중한 통찰력을 제공합니다. 많은 조직이 비용 절감, 확장성, 재해 복구 등의 이점을 위해 클라우드 기술을 도입했습니다. 그러나 이러한 이점을 빠르게 얻으려는 과정에서 보안이 종종 간과되었고, 그 결과 설정 오류로 인한 대형 보안 침해 사건이 발생하곤 했습니다. 다음 차트는 이러한 잘못된 구성의 영향을 보여줍니다. 이는 초기 공격 벡터에 따른 데이터 침해의 비용과 빈도를 보여주는데, 클라우드 구성 오류로 인해 평균 398만 달러의 상당한 비용이 발생하는 것으로 나타났습니다.
2023년에 한 가지 주목할 만한 사건이 발생했습니다. 잘못 구성된 클라우드 스토리지 버킷으로 인해 이메일 주소 및 주민등록번호와 같은 개인 정보를 포함하여 여러 회사의 민감한 데이터가 노출되었습니다. 이번 침해는 부적절한 클라우드 스토리지 구성과 관련된 위험과 평판 손상으로 인한 재정적 영향을 강조했습니다.
마찬가지로 2023년에는 기업 업무 공간의 서비스형 소프트웨어(SaaS) 애플리케이션의 취약점으로 인해 보안되지 않은 계정을 통해 무단 액세스가 이루어지면서 대규모 데이터 유출 사고가 발생했습니다. 이를 통해 부적절한 계정 관리 및 모니터링의 영향이 드러났습니다. 이러한 사건(최근 발간된 IBM 데이터 유출 비용(CODB) 보고서 2024에서 캡처)은 특히 보안 조치가 처음부터 이러한 AI 채택 프로그램에 필수적임을 보장하는 Secure by Design 접근 방식의 중요한 필요성을 강조합니다.
기업이 생성형 AI를 운영에 빠르게 통합함에 따라 처음부터 보안 문제를 해결하는 것의 중요성은 아무리 강조해도 지나치지 않습니다. AI 기술은 혁신적이지만 새로운 보안 취약점을 야기합니다. AI 플랫폼과 관련된 최근 침해는 이러한 위험과 비즈니스에 대한 잠재적 영향을 보여줍니다.
다음은 지난 몇 달 동안 발생한 AI 관련 보안 침해의 몇 가지 예입니다.
1. 딥페이크 사기: 한 사례에서는 영국 에너지 회사의 CEO가 상사와 이야기하고 있다고 믿고 속아 미화 243,000달러를 송금했습니다. 이 사기에는 딥페이크 기술이 활용되었으며, 이는 AI 기반 사기의 가능성을 여실히 보여줍니다.
2. 데이터 중독 공격: 공격자는 학습 중에 악성 데이터를 도입하여 AI 모델을 손상시켜 잘못된 아웃풋을 초래할 수 있습니다. 이는 사이버 보안 회사의 머신 러닝 모델이 손상되어 위협 대응이 지연된 사례에서 볼 수 있습니다.
3. AI 모델 악용: 애플리케이션의 취약점으로 인해 민감한 데이터에 대한 무단 액세스 사고가 많이 발생했습니다. 이러한 침해는 AI 인터페이스에 대한 강력한 보안 조치의 필요성을 강조합니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
AI 보안 침해의 결과는 다음과 같이 다면적입니다.
기업이 생성형 AI 기술을 채택하기 위해 고객 대면 애플리케이션을 빠르게 채택함에 따라 사이버 공격자에 의해 비즈니스가 중단될 위험을 줄이기 위해 구조화된 접근 방식을 갖추는 것이 중요합니다.
생성형 AI 애플리케이션을 효과적으로 보호하려면 기업은 전체 AI 라이프사이클을 아우르는 포괄적인 보안 전략을 채택해야 합니다. 세 가지 주요 단계가 있습니다.
1. 데이터 수집 및 처리: 암호화 및 엄격한 액세스 제어를 포함하여 데이터의 안전한 수집 및 처리를 보장합니다.
2. 모델 개발 및 교육: AI 모델을 개발, 교육 및 미세 조정하는 동안 보안 관행을 구현하여 데이터 오염 및 기타 공격으로부터 보호합니다.
3. 모델 추론 및 실시간 사용: AI 시스템을 실시간으로 모니터링하고 지속적인 보안 평가를 보장하여 잠재적인 위협을 탐지하고 완화합니다.
이 세 단계는 일반적인 클라우드 기반 AI 플랫폼의 공동 책임 모델(아래 참조)과 함께 고려해야 합니다.
IBM® Framework for Securing Generative AI에서는 이 세 단계에 대한 상세한 설명과 따라야 할 보안 원칙들을 확인할 수 있습니다. 이러한 기능은 대규모 언어 모델과 애플리케이션을 실행하는 기본 인프라 계층의 클라우드 보안 제어와 결합됩니다.
생성형 AI로의 전환을 통해 기업은 비즈니스 애플리케이션의 혁신을 촉진하고 복잡한 작업을 자동화하며 효율성, 정확성 및 의사 결정을 개선하는 동시에 비용을 절감하고 비즈니스 프로세스의 속도와 민첩성을 높일 수 있습니다.
클라우드 채택 물결에서 볼 수 있듯이 처음부터 보안의 우선순위를 정하는 것이 중요합니다. AI 채택 프로세스에 보안 조치를 초기에 통합함으로써 기업은 과거의 실수를 중요한 이정표로 전환하고 정교한 사이버 위협으로부터 스스로를 보호할 수 있습니다. 이러한 사전 예방적 접근 방식은 빠르게 진화하는 AI 규제 요구 사항을 준수하고 기업과 고객의 민감한 데이터를 보호하며 이해관계자의 신뢰를 유지합니다. 이를 통해 기업은 안전하고 지속 가능한 방식으로 AI 전략 목표를 달성할 수 있습니다.
IBM은 기업이 AI 기술을 안전하게 채택할 수 있도록 지원하는 포괄적인 솔루션을 제공합니다. IBM은 컨설팅, 보안 서비스 및 강력한 AI 보안 프레임워크를 통해 조직이 대규모로 AI 애플리케이션을 구축하고 배포하여 투명성, 윤리 및 규정 준수를 보장할 수 있도록 지원합니다. IBM의 AI Security Discovery 워크숍은 고객이 AI 도입 여정 초기에 보안 위험을 식별하고 완화할 수 있도록 지원하는 중요한 첫 단계입니다.
자세한 내용은 다음 리소스를 확인하세요.