생성형 인공지능 보안 수칙을 소개하는 포스팅을 하겠습니다. 최근 많은 사람이 챗GPT 같은 생성형 인공지능을 많이 사용하고 있습니다. 생성형 인공지능은 텍스트뿐만 아니라 이미지, 동영상, 음악 등의 콘텐츠를 생산할 수 있습니다. 생성형 인공지능은 여러 분야에서 사용할 수 있지만, 다양한 보안 이슈를 유발할 수 있다는 점을 주의해야 합니다. 생성형 인공지능을 사용할 때 알아두어야 할 보안 수칙에는 어떤 것이 있는지 살펴보겠습니다.
챗GPT를 시작으로 생성형 인공지능이 등장하고 있습니다. 빅테크 기업들이 내놓은 생성형 인공지능은 마이크로소프트의 뉴빙(New Bing), 구글의 제미나이(Gemini)와 바드(Bard), 바이두의 어니봇(Ernie Bot), 네이버의 클로바엑스(CLOVA X)가 대표적입니다.
2023년에 돌풍을 일으킨 챗GPT는 2024년에 살짝 주춤해진 모양새입니다. 이는 생성형 인공지능의 보안 이슈 때문입니다. 2023년 대통령의 신년사 작성에 챗GPT를 활용해 보았지만, 그 과정에서 정부의 대외비가 유출될 수 있다는 우려가 대두되었습니다. 그래서 정부에서는 내부적으로만 사용할 수 있는 초거대 AI 개발을 별도로 추진 중입니다.
삼성전자의 반도체사업부도 최근 챗GPT에 대한 접근을 허용했으나 일부 직원들이 반도체 관련 프로그램, 기타 개인 정보, 내부 회의록 등 기밀 정보를 입력하는 등 보안 수칙을 위반한 사실이 드러나면서 임직원 대상 보안 지침을 강화하기도 했습니다. 글로벌 보안업체 사이버헤이브(Cyberhaven)은 고객사 직원 160만 명의 챗GPT 사용 현황을 분석한 결과, 6.5%가 기밀 정보, 소스 코드, 고객 데이터 및 기타 내부정보를 챗GPT에 입력하는 것으로 나타났습니다.
특히 국내 기업들은 챗GPT 보안에 골머리를 앓고 있습니다. 예를 들어 일부 직원들은 2024년 회사 핵심 전략 및 영업 방향에 대해 작성한 문서를 파워포인트 발표 자료로 만들어달라고 요청하거나, 잘못된 제품 개발 코딩을 고쳐 달라며 소스 코드를 챗GPT에 업로드하기도 했습니다.
이같이 생성형 인공지능 관련 보안 문제점이 드러나자, 한국인터넷진흥원이 보호나라에서 챗GPT 이용 시 지켜야 할 보안 수칙을 게재하였습니다.
아래는 한국인터넷진흥원이 게재한 생성형 인공지능 보안 수칙입니다.
1. 민감한 개인 정보를 되도록 입력하지 않습니다. 챗GPT와 대화할 때는 중요한 비밀번호, 신용카드 번호, 주민등록 번호 같은 개인 정보는 절대 입력하지 않아야 합니다. 챗GPT는 기계학습 알고리즘이기 때문에 사용자가 제공하는 개인 정보가 모델 학습에 사용할 수 있기 때문입니다.
2. 업무 기밀은 입력하지 않습니다. 최근 챗GPT 등 AI 기술 업무 활용 증가로 인해 정보 수집 및 데이터 유출 등 보안 우려가 지속해서 제기되고 있습니다. 직장인의 경우 재직하는 회사의 외부 반출이 허락되지 않은 자료, 대외비, 영업 기밀 등은 절대 입력하면 안 됩니다.
3. 불확실하거나 거짓된 정보 역시 입력하지 않는 것이 바람직합니다. 부적절한 혹은 거짓된 정보를 입력하면 챗GPT가 그럴듯한 오답을 생성해 허위 정보 제작과 유포에 악용할 수 있습니다. 따라서 챗GPT 등 생성형 AI를 사용할 때는 정확한 정보를 제공해야 합니다.
최근 여러 민간기업에서는 챗GPT에 질문할 수 있는 글자 수를 제한 하거나 사내 인트라넷에서만 챗GPT를 사용하도록 규제하고 있습니다. 사내 전용 챗GPT 메뉴를 신설하고 회당 전송 크기를 2KB로 제한하는 등의 정책을 시행하기도 합니다. 공공기관에서는 사전에 검토받는 내용만 챗GPT에 올릴 수 있도록 규정하고 있습니다.
요즘 해커들은 챗GPT의 다크웹 버전인 웜 GPT(Worm GPT)와 AI 기반 피싱인 사기 GPT로 손쉽게 대량으로 악성코드를 제작해 사이버 공격을 시도하고 있습니다. 과거의 해커들이 보낸 이메일 문장들은 허술했지만, 이제는 AI를 활용해 문맥과 문법을 넘어 문체까지 완벽한 피싱 메일을 제작함으로써 공격 소요 시간도 과거보다 1/10로 줄었습니다.
아래는 부산은행의 챗GPT 사용 시 보안 수칙 10계명입니다.
1. 업무 처리 과정에서 수집, 처리하는 개인 정보와 신용정보는 입력하지 않습니다.
2. 의사결정이 완료되지 않거나 공표되지 않은 정보 등의 비공개 정보는 입력하지 않습니다.
3. 챗GPT가 생성한 답변을 사실 여부 검증 없이 이용하지 않습니다.
4. 외부 반출이 허용되지 않는 대외비 등의 중요 정보는 입력하지 않습니다.
5. 챗GPT에서 생성한 답변을 사용할 때 출처표시를 합니다.
6. 챗GPT를 사용해 악의적 목적으로 사람을 현혹하거나 속이는 행위는 하지 않습니다.
7. 챗GPT는 개인적인 용도로만 사용해야 하며, 상업적인 목적으로 사용 시 주의해야 합니다.
8. 페이스북, 인스타그램 등 SNS 사용 시 개인 정보 노출을 최소화합니다.
9. SNS 서비스에 게시하는 모든 자료에 대해 조건부 공개 및 익명화를 생활화합니다.
10. 챗GPT 사용 중 발생하는 이슈나 우려 사항은 즉시 보안 담당자에게 신고합니다.
이상 생성형 인공지능 보안 수칙을 소개하는 포스팅을 하였습니다. 회사의 경우 위의 내용을 토대로 보안 수칙 만드시고 교육하시면 될듯합니다. 번창하시길 기원합니다.