이제 생성 AI가 전 세계 모든 이사회와 비즈니스 리더의 관심을 끌었다고 해도 과언이 아니다. 한때는 사용하기 어려웠고 마스터하기도 어려웠던 주변 기술이었던 생성 AI에 대한 문이 이제 ChatGPT 또는 DALL-E와 같은 애플리케이션 덕분에 활짝 열렸다. 이제 우리는 직원들이 기술을 활용하여 이점을 얻을 수 있는 방법을 모색함에 따라 모든 산업 및 연령 그룹에 걸쳐 생성 AI가 대대적으로 수용되는 것을 목격하고 있다.
최근 설문조사에 따르면 Z세대의 29%, X세대의 28%, 밀레니얼 세대 응답자의 27%가 이제 일상 업무의 일부로 생성 AI 도구를 사용하는 것으로 나타났다. 2022년 대규모 생성 AI 채택률은 23%였으며, 이 수치는 2025년까지 두 배인 46%로 증가할 것으로 예상된다.
생성 AI는 훈련된 모델을 활용하여 서면 텍스트와 이미지부터 비디오, 음악, 심지어 소프트웨어 코드에 이르기까지 다양한 형태의 원본 콘텐츠를 생성하는 초기 단계이지만 빠르게 발전하는 기술이다. 이 기술은 대규모 언어 모델(LLM)과 막대한 데이터 세트를 사용하여 사람의 작업과 거의 구별할 수 없으며 많은 경우 더 정확하고 설득력 있는 고유한 콘텐츠를 즉시 생성할 수 있다.
그러나 일상 업무를 지원하기 위해 생성 AI를 사용하는 기업이 점점 늘어나고 직원들도 빠르게 활용하고 있지만 채택 속도와 규제 부족으로 인해 상당한 사이버 보안 및 규제 준수에 대한 우려가 제기되었다.
일반 대중을 대상으로 한 한 설문 조사에 따르면 80% 이상의 사람들이 ChatGPT와 생성 AI로 인한 보안 위험에 대해 우려하고 있으며, 설문 조사에 참여한 사람 중 52%는 규제가 따라잡을 수 있도록 생성 AI 개발을 일시 중지하기를 원했다. 이러한 폭넓은 정서는 기업 자체에서도 반영되었으며, 고위 IT 리더의 65%는 보안 문제로 인해 생성 AI 도구에 원활하게 액세스하는 것을 용납하지 않았다.
생성 AI는 아직 알려지지 않은 분야
생성 AI 도구는 데이터를 기반으로 한다. ChatGPT 및 DALL-E에서 사용되는 모델과 같은 모델은 외부 데이터 또는 인터넷에서 무료로 사용할 수 있는 데이터에 대해 교육을 받지만 이러한 도구를 최대한 활용하려면 사용자가 매우 구체적인 데이터를 공유해야 한다. ChatGPT와 같은 도구를 사용할 때 사용자는 정확하고 균형 잡힌 결과를 얻기 위해 중요한 비즈니스 정보를 공유하는 경우가 많다. 이로 인해 기업에는 알려지지 않은 것들이 많이 생성된다. 무료로 제공되는 생성 AI 도구를 사용할 때 무단 액세스 또는 민감한 정보의 의도하지 않은 공개 위험이 "내재되어 있다".
이러한 위험 자체가 반드시 나쁜 것은 아니다. 문제는 이러한 위험이 아직 제대로 조사되지 않았다는 것이다. 현재까지 널리 사용 가능한 생성 AI 도구 사용에 대한 실제 비즈니스 영향 분석은 없었으며, 생성 AI 사용에 관한 글로벌 법률 및 규제 프레임워크는 아직 어떤 형태로든 성숙도에 도달하지 못했다.
규제는 아직 진행 중
규제 기관은 이미 개인 정보 보호, 데이터 보안 및 생성되는 데이터의 무결성 측면에서 생성 AI 도구를 평가하고 있다. 그러나 신흥 기술의 경우 흔히 그렇듯이, 그 사용을 지원하고 관리하는 규제 장치는 몇 단계 뒤쳐져 있다. 기업과 직원들이 광범위하게 기술을 사용하고 있지만 규제 프레임워크는 여전히 설계 단계에 있다.
이는 현재로서는 심각하게 받아들여지지 않는 기업에 분명하고 현존하는 위험을 초래한다. 경영진은 당연히 이러한 플랫폼이 자동화 및 성장 기회와 같은 실질적인 비즈니스 이익을 어떻게 가져올지 관심을 갖고 있지만, 위험 관리자는 이 기술이 어떻게 규제될 것인지, 궁극적으로 법적 영향은 무엇일지, 회사 데이터가 어떻게 손상되거나 노출될 수 있는지 묻고 있다. 이러한 도구 중 상당수는 브라우저와 인터넷 연결이 있는 모든 사용자가 무료로 사용할 수 있으므로 규제가 따라잡을 때까지 기다리는 동안 기업은 생성 AI 사용과 관련된 자체 "내부 규칙"에 대해 매우 신중하게 생각해야 한다.
생성 AI 관리에서 CISO의 역할
규제 프레임워크가 여전히 부족한 상황에서 CISO(최고 정보 보안 책임자)는 조직 내에서 생성 AI 사용을 관리하는 데 앞장서 중요한 역할을 수행해야 한다. 누가 기술을 어떤 목적으로 사용하는지, 직원이 생성 AI 도구와 상호 작용할 때 기업 정보를 보호하는 방법, 기본 기술의 보안 위험을 관리하는 방법, 기술이 제공하는 가치와 보안 상충관계의 균형을 맞추는 방법을 설명한다.
이것은 쉬운 일이 아니다. 첫째, 공식적인 역량으로 기술을 배포하고, 둘째, 직원들이 감독 없이 무료로 사용할 수 있는 도구를 사용할 수 있도록 허용함으로써 부정적인 결과와 긍정적인 결과를 모두 결정하기 위해 상세한 위험 평가를 수행해야 한다. 생성 AI 애플리케이션의 쉬운 액세스 특성을 고려할 때 CISO는 해당 애플리케이션 사용과 관련된 회사 정책에 대해 신중하게 생각해야 한다. 직원들이 업무를 더 쉽게 하기 위해 ChatGPT 또는 DALL-E와 같은 도구를 자유롭게 활용할 수 있어야 할까? 아니면 이러한 도구에 대한 액세스를 사용 방법에 대한 내부 지침 및 프레임워크를 통해 어떤 방식으로든 제한하거나 조정해야 할까? 한 가지 분명한 문제는 내부 사용 지침이 만들어지더라도 기술이 발전하는 속도를 고려할 때 최종적으로 완성될 때쯤에는 쓸모없게 될 수도 있다는 것이다.
이 문제를 해결하는 한 가지 방법은 실제로 생성 AI 도구 자체에서 초점을 옮기고 대신 데이터 분류 및 보호에 초점을 맞추는 것일 수 있다. 데이터 분류는 항상 데이터 침해 또는 유출로부터 데이터를 보호하는 핵심 측면이었으며 이는 이 특정 사용 사례에서도 마찬가지이다. 여기에는 데이터의 민감도 수준을 지정하여 데이터 처리 방법을 결정하는 작업이 포함된다. 암호화해야 할까? 봉쇄하려면 차단해야 할까? 알려야 할까? 누가 액세스할 수 있어야 하며 어디에서 공유가 허용될까? 도구 자체보다는 데이터 흐름에 초점을 맞춤으로써 CISO와 보안 담당자는 언급된 위험 중 일부를 완화할 수 있는 훨씬 더 큰 기회를 갖게 될 것이다.