계속되는 개인정보 유출 사례, 이제 생성형 AI ChatGPT도 위험하다

OOO 대학교, 해커에 의해 학생 개인정보 수만 건 탈취당해···

OO 기관 직원, 개인정보 무단으로 열람하다 적발···

OO 기업 개인정보 유출로 억대 과징금 부과···

 

최근 3년 간 조직에서 유출된 누적 개인정보 건수가 6,500만건에 달한다고 합니다. 매년 1,000만건 이상의 유출 사고가 발생했다고 하는데요. 현재 서울시의 인구가 약 940만명이라는 걸 생각해 볼 때, 현 상황의 심각성이 더욱 크게 느껴지는 것 같습니다.

또한, 개인정보보호위원회가 3년 간 개인정보 보호 관련 기업에 부과한 과징금 및 과태료의 누적액은 약 1,400억원에 달하며, 이는 해마다 점점 증가 추세에 있습니다. 비즈니스 영역에서 개인정보의 가치가 점점 더 중요해지고 있는 만큼, 이를 지키기 위한 강력한 보호 대책 마련의 목소리가 점점 더 커지고 있습니다.

 

 

출처 : 개인정보보호위원회

 

사실 개인정보 유출 사례는 보안 관련 뉴스에서 랜섬웨어 만큼 흔하게 볼 수 있는 사건입니다. 이는 일반기업 뿐만 아니라 공공기관까지 산업군을 막론하고 여러 분야에서 발생하고 있는데요. 단순 직원의 실수, 해커의 공격, 시스템 상의 오류 등 그 이유도 정말 다양합니다.

 

단순 유출 사건과 더불어, 유명인이나 지인의 개인정보를 내부에서 무단으로 열람하는 개인정보 침해 사례나 불법 취득한 정보를 금전적 이득을 위해 외부로 팔아 넘기는 행위들도 빈번하게 발생하고 있습니다.

 

다양한 개인정보 유출 및 침해 사례

 

여기에 더해, 최근 개인정보 유출과 관련한 이슈가 하나 더 있습니다. 요즘 핫한 기술이죠. 바로 ChatGPT로 대표되는 생성형 AI를 통해 발생하는 유출 사고입니다. 이는 이미 국내에서도 몇 차례 발생 했었는데요.

 

대표적으로 특정 기업의 엔지니어가 시스템 오류를 수정하기 위해 생성형 AI에 기밀 소스코드를 입력했다가 해당 정보를 인공지능이 학습하게 된 케이스입니다. 또한, 임직원이 음성 애플리케이션을 활용해 중요 회의를 녹취한 뒤, 회의록 작성을 위해 이를 그대로 생성형 AI에 입력한 경우도 있습니다.

 

이런 케이스를 통해 알 수 있듯, 생성형 AI는 그 접근성과 활용도가 높은 만큼 사용자의 서비스 오남용으로 인한 정보 유출 리스크가 존재할 수 밖에 없는데요. 이에 현재 생성형 AI를 아예 사내에서 사용하지 못하게 하는 극단적인 조치를 취하고 있는 기업들도 생겨나고 있습니다.

 

생성형 AI를 통한 정보 유출 리스크

 

하지만 생성형 AI는 앞으로의 비즈니스 환경에서 미래 경쟁력을 확보하기 위해 반드시 필요한 도구 중 하나입니다. 그렇기에 무조건적인 규제가 아닌 올바른 사용 환경을 조성해 그 활용도를 극대화할 수 있는 방안이 필요한데요.

 

우선적으로 별도 보안 교육 및 가이드라인 수립을 통해 서비스 사용자들의 보안 의식을 제고해야 합니다. 이를 위해 지난 2023년 6월, 국정원은 생성형 AI 활용 보안 가이드라인을 배포하기도 했죠. 자체적으로 교육을 진행하거나 가이드라인을 수립하는 조직들도 생겨나고 있습니다.

 

보안 의식 제고와 함께 필요한 사항이 하나 더 있습니다. 바로 안전한 생성형 AI 활용 환경의 구축인데요. 교육이나 가이드라인을 통해 위험 요소들을 파악했다고 해도, 한 번의 방심이 큰 사고로 이어질 가능성이 존재하기에 이를 미연에 방지할 수 있는 보안 체계 구축은 반드시 필요합니다.

 

안전한 생성형 AI 활용 환경 조성의 필요성

 

파수의 AI-R DLP (에어 디엘피, AI Radar Data Loss Prevention)는 생성형 AI를 통한 정보 유출을 방지하기 위해 고안된 솔루션입니다. 즉, 임직원의 생성형 AI 서비스 접근을 관리하고, 입력되는 데이터에 포함된 개인정보 및 민감정보를 검출해 차단한다고 생각하시면 되는데요.

 

쉽게 예를 들자면, 관리자는 특정 임직원만 ChatGPT 서비스에 접근할 수 있도록 설정할 수 있으며, 일반적으로 해당 임직원이 ChatGPT를 활용해 개인정보 및 민감정보를 입력할 때 별도 메시지 팝업을 띄워 안내하고, 정책에 따라 이를 사전에 차단한다고 생각하시면 되겠습니다.

 

https://www.fasoo.com/products/fasoo-ai-r-dlp

Fasoo AI-R DLP

 

특정 IP나 데이터 크기를 비롯해 주민등록번호, 여권번호 등의 정규식 기반과 문맥을 통해 정보를 파악하는 딥러닝 태그 등 다양한 차단 정책이 존재하기에, 관리자는 조직 환경에 맞는 유연한 정책을 적용할 수 있습니다.

 

또한, 임직원들의 AI 서비스 접근 이력, 실제 전송 데이터, 처리 결과 등의 모든 로그를 관리자 페이지를 통해 한 눈에 파악할 수 있어 사내 생성형 AI 관련 모든 이슈의 통합적인 관리를 지원합니다. 민감 정보 확인 시 관리자에게 별도 알림 기능 설정도 가능해 다양한 유출 이슈에 발 빠르게 대응할 수 있습니다.

 

AI-R DLP를 통한 안전한 생성형 AI 활용 환경 구축

 

파수는 다가오는 11월 9일, 여의도 콘래드 호텔에서 한국정보보호산업협회(KISIA) 및 금융보안원이 주최하는 금융정보보호 컨퍼런스 FISCON 2023에 참여하는데요.

 

부스를 통해 위에 설명 드린 생성형 AI 정보유출 방지 솔루션, AI-R DLP를 선보일 예정이며, 개인정보보호 솔루션, 악성메일 모의훈련 서비스, 개인정보 비식별화 솔루션 등 여러 정보보안 솔루션 및 서비스를 소개할 예정입니다. 꼭 파수 부스에 방문 하셔서 사은품도 받아 가시고 많은 얘기 나눴으면 좋겠습니다. ^^

 

안전한 생성형 AI 활용 역시, 파수와 함께라면 문제 없습니다!

 

https://www.fasoo.com/event/upcoming/20230911

금융정보보호 컨퍼런스 FISCON 2023