봇 적발: AI 챗봇의 데이터 유출 혐의

AI 기반 챗봇은 질문에 대한 답변과 고객 서비스 지원부터 개인 업무 관리와 거래에 이르기까지 우리 생활의 거의 모든 측면에 완벽하게 통합되었습니다. 즉각적이고 개인화된 상호작용을 제공하는 챗봇의 기능 덕분에 우리는 민감한 데이터를 아무 생각 없이 자유롭게 공유하기도 합니다. 하지만 챗봇 서비스에서 데이터 유출 사고가 발생하면 개인의 프라이버시만 침해하는 것이 아니라 사용자가 이러한 기술에 대해 쌓아온 신뢰에 타격을 입게 됩니다. 이러한 AI 시스템과 교환되는 개인, 금융 및 대화 데이터의 양이 방대하기 때문에 유출 사고는 개인 보안부터 우리가 의존하게 된 AI 서비스의 신뢰성까지 모든 것에 영향을 미치는 광범위한 결과를 초래할 수 있습니다.

악명 높은 침해 포럼에 올라온 정보에 따르면 해커가 널리 사용되는 인공지능 챗봇 및 생산성 플랫폼인 OmniGPT에 침투했다고 주장한 것으로 알려졌습니다. 이 유출로 인해 이메일, 전화번호, 3,400만 회 이상의 대화 로그를 포함한 사용자 3만 명의 개인 데이터가 노출된 것으로 추정됩니다. 노출된 데이터에는 사용자 채팅 외에도 업로드된 파일 링크도 포함되어 있으며, 그 중에는 자격 증명, 결제 세부 정보, API 키와 같은 민감한 정보가 포함되어 있습니다.

사실, 인공지능 챗봇 서비스가 데이터 유출에 직면했다는 소식에 조금이라도 경각심을 갖지 않는 것은 어렵습니다. 특히 이러한 도구가 얼마나 빠르게 인기가 급상승했는지를 생각하면 더욱 그렇습니다. 저희는 창의적인 글쓰기, 브레인스토밍, 연구, 심지어 비즈니스 자동화에 이르기까지 다양한 기능에 챗봇을 활용하고 있습니다.

이러한 사고가 발생하는 이유는 무엇인가요?

AI 기반 챗봇과 크리에이티브 서비스의 접근성과 편의성으로 인해 챗봇은 일상 생활의 필수적인 부분이 되었지만, 여기서 가장 우려되는 점은 유출이 서비스 백엔드에서 발생했다는 점입니다. 즉, 사용자나 소비자가 이를 방지하기 위해 취할 수 있는 모든 조치를 완전히 벗어난 것입니다.

흔히 인공지능 챗봇을 모든 정보를 저장하는 단순한 저장소로 취급하는 경향이 있습니다. 그러나 실제로 이러한 플랫폼은 '블랙박스'처럼 작동하며, 사용자는 자신의 데이터가 어떻게 처리, 저장 또는 보호되는지에 대한 인사이트가 거의 없습니다. 이러한 인식과 현실 사이의 괴리는 이번 사례에서 볼 수 있듯이 업로드된 문서, API 키, 개인 정보와 같은 민감한 데이터가 유출될 경우 치명적인 결과를 초래할 수 있습니다.

마찬가지로 중요한 것은 사용자에 대한 지속적인 보안 인식 교육입니다. 많은 사람들이 여전히 AI 챗봇 서비스나 클라우드 플랫폼에 민감한 정보를 입력하는 것과 관련된 위험을 완전히 인식하지 못하고 있을 수 있습니다. 사용자에게 데이터 오용 가능성에 대해 교육하고 개인 정보나 기밀 데이터를 공유할 때 주의를 강조하는 것은 노출을 줄이는 데 큰 도움이 될 수 있습니다.

강력하고 종종 무료로 제공되는 AI가 강화된 서비스의 매력은 계속 커질 것이며, 보안에 대한 기존의 '두더지 잡기식' 접근 방식은 점점 더 쓸모없어질 것입니다. 매주 수백 개, 많게는 수천 개의 새로운 AI 서비스가 등장하면서 사이버 보안 팀은 이미 과부하가 걸려 그 속도를 따라잡을 수 없는 지경에 이르렀습니다.
"최근 들어 시간이 너무 많아졌어요"라고 말하는 사이버 보안 팀은 없습니다!

모든 AI 도구를 쫓는 대신 근본적인 위험에 초점을 맞춰야 합니다. 즉, 공유되는 서비스에 관계없이 민감한 데이터의 보호에 우선순위를 두어야 합니다. 합법적으로 보이는 AI 플랫폼이든 다른 섀도 IT 리소스이든, 데이터 상호 작용을 제한하고 강력한 보안 조치를 구현하는 것이 계속 확장되는 AI 도구 환경을 통제하는 것보다 훨씬 더 효과적일 것입니다. 최근의 사건에서 알 수 있듯이, 견고해 보이는 서비스도 정교한 위협 행위자의 표적이 될 수 있습니다.

무엇을 할 수 있나요?

AI는 산업과 일상을 무수히 많은 방식으로 변화시키는 혁신적인 기술임에 틀림없습니다. 그러나 순수한 기술적 관점에서 볼 때, 특히 웹과 클라우드를 통해 액세스하는 AI 서비스는 기본적으로 웹사이트나 클라우드 플랫폼에 불과합니다. 이러한 서비스의 기반 기술은 놀랍도록 강력하고 혁신적이지만 사이버 보안 관점에서 보면 데이터 유출과 무단 액세스의 또 다른 잠재적 경로가 될 수 있습니다. 시민 기록, PII, 소스 코드와 같은 민감한 조직 데이터를 보호해야 하는 보안 전문가의 경우 섀도 IT라는 렌즈를 통해 AI 서비스를 바라보아야 합니다.

AI는 효율성과 혁신을 주도하지만 데이터 유출, 규정 위반, 섀도우 AI 사용과 같은 문제도 야기합니다. AI의 빠른 도입은 종종 거버넌스를 앞지르며, 적절한 보안 조치 없이 조직은 평판, 재무 및 법적 위험에 취약하게 됩니다.

섀도 IT는 기업의 사용 및 데이터 거래에 대해 명시적으로 승인 또는 허가되지 않은 모든 서비스를 포괄하는 개념입니다. AI 서비스를 섀도 IT로 간주하면 관련 위험이 명확해집니다. 민감한 고객 데이터가 승인되지 않은 웹사이트에 입력되는 것을 허용하시겠습니까? 기밀 첨부 파일을 알 수 없는 클라우드 서비스에 업로드하는 것을 허용하시겠습니까? 직원들이 데이터 보호 관행이 의심스러운 관할 지역에서 호스팅되는 플랫폼을 사용하는 것을 묵인하시겠습니까? 이 모든 질문에 대한 답은 '아니오'여야 합니다.

AI 서비스를 섀도 IT로 취급하면 관점의 전환이 필요합니다. 조직은 기술의 기능에 현혹되지 말고 다른 승인되지 않은 서비스와 동일한 엄격한 보안 표준을 적용해야 합니다. 여기에는 데이터 상호 작용을 제한하고 액세스를 제한하며 강력한 모니터링을 구현하여 관리되지 않는 외부 플랫폼이 아무리 혁신적이거나 유용해 보일지라도 민감한 정보가 내재된 위험에 노출되는 것을 방지하는 것이 포함됩니다.

현재의 데이터 보호 규칙을 AI 앱까지 포함하도록 확장해야 하며, 승인된 앱, 승인되지 않은 앱, 심지어 내부 앱까지 모든 앱에 적용되는 하나의 규칙이 필요합니다.

보안 실무자로서 특정 서비스/기업과 관련된 위험을 파악한 후에는 궁극적으로 세 가지 질문을 던져야 합니다:

• 이 사이트를 탐색하거나 사용한 사용자가 있나요? 있다면 몇 명인가요? 정확히 누구인가요?
• 웹 및 클라우드 인프라의 일부가 이 서비스에 액세스한 적이 있나요?
• 처음 두 질문 중 하나라도 "예"라고 답한 경우, 조직과 해당 서비스 간에 거래된 데이터의 양은 얼마인가요?