[Info] 생성형 AI 시대에 CISO와 CTO가 해야할 일 3가지

 

 

---

 

 

 

해커스 첫텝스 350+ 목표달성패스

 

 

---

출처 : 보안뉴스 (2024.3.11)

​

 

최근 몇 년 동안 생성형 인공지능과 같은 최첨단 기술이 대중의 관심을 끌었다.

 

매일 새로운 인공지능 기반 챗봇, 인공지능 기반 확장 프로그램, 인공지능 기반 앱이 전 세계 사용자들을 유혹한다.

 

가트너에 의하면 기업들의 55%가 생성형 인공지능을 적극 실험하고 있거나 실제로 운영하고 있다고 한다. 1년 전만 해도 ‘생성형 인공지능’이라는 단어조차 생성했던 걸 생각하면 어마어마한 속도의 발전이라고 할 수 있다.

​

​

하지만 모든 게 좋을 수만은 없다. 각종 편리를 제공하는 만큼 생성형 인공지능에는 리스크가 따라붙는다. 블랙베리(BlackBerry)의 조사에 따르면 전 세계 기업들의 75%가 챗GPT 등 각종 생성형 인공지능의 업무상 사용을 금지시키고 있거나, 금지 조치를 고려하고 있다고 한다. 데이터 보안과 개인정보 유출의 위험을 우려하고 있기 때문이다.

​

인공지능의 데이터 보안 문제는, 사용자가 입력하는 내용과 인공지능이 출력하는 내용이 인공지능의 학습에 지속적으로 활용되기 때문에 발생한다. 그래서 사용자가 챗봇에 기업의 기밀 데이터를 공유하면 그 정보가 모델에 통합되며, 다음 사용자들에게 그 정보가 공개될 수 있다. 그래서 기업들은 대부분 CISO와 CTO에게 이러한 문제를 완화시킬 것을 요구하고 있다.

​

CISO와 CTO들이 인공지능이 야기하는 문제를 완화시키기 위해 할 수 있는 일은 크게 세 가지인데, 이를 소개하자면 다음과 같다.

​

​

■ 전사 교육

​

생성형 인공지능을 통해 데이터가 노출될 수 있으며, 이것이 보안 및 규정적 리스크를 가져다주는 게 당연하니 많은 기업이 당장은 생성형 인공지능 사용을 금지할 수밖에 없다.

 

실제로 많은 CISO와 CTO들이 그러한 결정을 내린다.

 

그러나 이런 단기적인 조치는 장기적으로 혁신을 저해할 수 있기 때문에 오히려 손해일 수 있다.

 

그러므로 허용 가능한 사용자 정책을 수립하고, 안전한 생성형 인공지능 사용법을 개발하여 임직원들에게 알리는 것이 중요하다. 이렇게 함으로써 위험 가능성을 낮추고 혁신을 촉진시킬 수 있다.

​

 

​

■ 소스코드 저장소 격리 및 보호

​

지적재산 등 민감한 정보가 인공지능 모델에 한 번 입력된다면, 그것을 찾아 제거하기가 사실상 불가능하다.

 

불가능에 가까울 정도로 복잡하고 어려운 과정을 거쳐야만 하기 때문이다.

 

그러므로 소스코드나 각종 리포지터리에 대한 접근을 아무나 할 수 없도록 처음부터 제어해야 하고, 그런 정보들은 아무나 긁어갈 수 없도록 해야 한다.

 

정보에 대한 권한 설정을 꼼꼼하고 미세하게 해야 한다는 뜻이다.

​

 

​

​

■ 사용자 선택 옵션 제공

​

사용자가 직접 선택할 수 있도록 하는 것은 신뢰와 투명성을 이룩하는 데 있어 꼭 필요하다.

 

‘내가 나의 정보를 나의 선택으로 보호할 수 있다’는 건 자신이 존중받고 보호받는다는 느낌을 주기 때문이다.

 

그리고 이 느낌은 인공지능을 사용할 때 보다 책임감을 갖게 해 준다.

 

CISO와 CTO는 인공지능에 대한 기술적 이해도를 바탕으로 사용자가 어떤 부분에서 직접 선택을 해도 되며, 그렇게 해야 하는지를 결정할 수 있다.

 

사실, 사용자와 인공지능 간 ‘이상적인 상호작용'이 무엇인지 결정하고 기획할 사람은 CISO와 CTO들 뿐이다.

​

 

 

---

 

 

 

​

글로벌 사이버 보안기업 트렐릭스(Trellix)의 CEO 브라이언 팔마(Bryan Palma)는 “CISO는 테크 업계에서 가장 외로운 직책”이라면서, “선과 악의 행위자 모두 AI를 활용하는 지금이야말로 보안 운영전략 혁신을 세워 사이버 범죄와 맞서야 할 때”라고 말했다. 이어 “사이버 범죄와의 싸움에서 항상 승리하기 위해서는 CISO의 역량 강화는 필수적”이라고 강조했다.

​

트렐릭스는 영국 시장조사업체 밴슨 본(Vanson Bourne)과 함께 미국, 영국을 포함한 9개국의 글로벌 CISO 500명을 대상으로△CISO가 주로 겪는 어려움 △보안 유지에 장애가 되는 비즈니스 요소들 △성공적인 보안 유지를 위한 요건 등에 대한 연구·조사를 진행했다. 그 결과, 조직 내 글로벌 CISO가 주로 겪고 있는 어려운 점은 크게 3가지를 나눠볼 수 있었다.

​

첫째, ‘지원 부족’이다

 

CISO의 96%가 경영진으로부터 보안 유지에 필요한 지원을 받는 데 어려움을 겪고 있다고 대답했다. 확실한 지원을 받기 위해서는 조직 내 모든 직원이 사이버 보안 문제의 심각성을 공감하는 것이 가장 중요하다고 강조했다. CEO를 포함한 모든 조직 구성원들이 사이버 보안의 중요성을 충분히 인식한다면 CISO들이 업무를 보다 효율적으로 수행할 수 있다는 것이다. 나머지 의견으로는 ‘숙련된 인재 부족’이 해결해야 할 과제로 나왔다.

​

둘째, ‘과중한 부담감’이다

 

조사에 따르면, CISO 10명 중 4명은 2번 이상의 중대한 사이버 보안 사고를 처리한 경험이 있는데 그 중 80%는 전적으로 또는 대부분의 책임이 CISO 자신에게 있다고 생각한다고 대답했다. 그만큼 CISO들은 철두철미한 보안을 위해 남다른 사명감을 갖고 있는 것으로 나타났다.

​

그러나 조직 내 발생하는 보안사고의 책임은 비단 CISO에게만 있는 것이 아니다. 실제로 CISO가 아닌 CEO를 포함한 다른 구성원 중 누군가가 사이버 공격에 의해 회사 기밀정보나 데이터·파일 등을 유출하는 경우가 허다하다. 그럼에도 불구하고 보안사고의 모든 책임을 과실을 저지른 당사자가 아닌 CISO에게 전부 넘기는 것은 다수의 과실을 공공의 책임이 아닌 어느 한 개인이 짊어져야 할 무거운 짐으로 가중되므로 옳지 않다는 의견이 모아졌다.

​

공격자는 하나의 공격만 성공시키면 되지만, CISO는 다수의 공격을 모두 방어해야 한다는 측면에서 상당한 압박감을 느낀다는 것이다. 따라서, 조직 내 건강한 사이버보안 문화 정착을 위해서는 CISO의 독립적인 노력 뿐만 아니라 경영진 전반에 걸친 조직 구성원 모두가 협력하는 ‘공동 책임’ 문화 정착이 필요하다는 것을 알 수 있는 대목이다.

​

셋째, ‘통합 솔루션의 부재’, 가장 큰 장애물은 ‘넘쳐나는 부적절한 솔루션’

 

조사에 응한 CISO의 30% 이상은 지나치게 많고 복잡한 솔루션을 문제점으로 꼽았는데 실제로 단일 소스 없이 너무 많은 기술을 활용해야 하는 상황이 불필요한 경우가 많다고 했다.

​

미국의 한 공공기관의 CISO는 “우리는 보안 툴에 막대한 비용을 투자하고 있음에도 불구하고, 일부 영역에서는 고갈 현상이 발생하고 있으며 심지어 25% 정도만 제대로 사용되고 있다”면서, “보안담당자, CISO, 분석가, 그리고 엔지니어가 특정 사안에 대한 일상 업무와 활동을 이해하고, 이를 기반으로 구축한 통합보안 툴 부재가 가장 큰 문제라고 생각한다”고 설명했다.

​

CISO의 94%에 달하는 인원이 효율적이고 효과적인 업무 수행을 위해 적합한 툴을 사용하는 것이 필수라고 응답했다. 보안 투자 극대화를 위해 단일 통합 엔터프라이즈 사용을 희망하는 것으로 나타났다.

 

 

---

 

어려운 용어일 수 있지만 조금씩 배워가다 보면 미래시대를 준비하는 새로운 도전이 될 수 있습니다.

조금이라도 도움이 되시길 바랍니다.

​

 

 

VEROMO 남자 초경량 다이얼 운동화 - 운동화 | 쿠팡

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."