[김대환 소만사 대표 칼럼] 생성형AI를 통한 개인정보 유출통제 : AI DLP < 칼럼&기고 < 오피니언 < 기사본문 – 데일리시큐
데일리시큐 길민권 기자 | 이메일 mkgil@dailysecu.com
김대환 소만사 대표이사
요즘 10대는 인터넷을, 구글·네이버 같은 검색엔진이 아닌 챗지피티(ChatGPT) 같은 생성형 AI서비스로 가장 먼저 만나게 된다고 한다.
세상에 태어나 가장 먼저 만나는 사람이 엄마인 것처럼, 인터넷에서는 생성형 AI서비스로 첫번째 접촉이 이루어지는 것이다.
인터넷 서비스의 세대교체는 보안분야에도 변화를 가져왔다.
그 결과, DLP 분야에서도 ‘AI DLP’라는 새로운 솔루션의 탄생을 필연적으로 낳게 되었다.
1. DLP의 역사
DLP(Data Loss Prevention, 내부정보 유출방지)의 역사는 인터넷 서비스 발전과 그 궤적을 같이한다.
DLP 솔루션은 초창기 웹메일 서비스 활성화와 함께 탄생했다.
1997년, 핫메일(Hotmail)·한메일 같은 웹메일 서비스가 천만 가입자를 확보하며 대중화되었다.
하지만 빛이 있으면 그림자가 있듯, 편리함의 이면에서는 기업의 기밀정보나 고객개인정보가 외부로 유출되는 사건들이 발생하기 시작했다.
편리한 웹메일 서비스가 정보유출의 통로가 되기도 한 것이다.
이러한 배경 속에서 네트워크 DLP 솔루션이 세상에 첫 선을 보였다.
회사외부로 발송되는 웹메일, 첨부파일의 감사로그를 확보하는 것이 네트워크 DLP의 핵심기능이었다.
2000년대 초반에는 MSN, 네이트온(NateOn) 등 인스턴트 메신저 서비스가 폭발적으로 성장했다.
20년 전 국민 메신저는 네이트온이었다.
이에 따라 메신저를 통한 파일전송 통제가 고객사가 요구하는 DLP의 주요기능이기도 했다.
그리고 기가바이트(GB) 단위의 값싼 USB가 대중화되면서 이를 통한 자료유출을 막는 ‘매체제어’ 기능이 중요해졌다.
이는 네트워크가 아닌 PC에서 통제해야 했기에 엔드포인트 DLP 솔루션이 개발되었다.
그 후 우리는 구글 드라이브를 필두로 한 웹드라이브(웹하드), 유튜브와 같은 동영상 스트리밍 서비스, 카카오톡 같은 모바일 메신저 서비스 시대를 거쳐왔으며,
이제 인터넷의 서비스의 진화는 챗지피티(ChatGPT), 제미나이(Gemini), 클로드, 그록과 같은 생성형 AI 서비스에 이르렀다.
챗지피티만 하더라도 국내 사용자가 벌써 1천만명을 넘어섰다.
전세계에서 유료 사용자가 두번째로 많은 나라가 한국이니, 인구 수 대비 사용비율로는 세계 1등이다.
생성형 AI는 번역, 음성인식, 회의록 요약은 물론이고, 회사 전략수립, 변호사 소장작성, 의료영상 질병진단, 소프트웨어 개발, 음악·미술창작 등 지식노동자가 일하는 방식을 학습하며 모든 분야에서 혁신하고 있다.
DLP 입장에서는 ‘AI DLP’의 시대가 도래한 것이다.
2. AI DLP의 기본(1) : 감사로그 확보
DLP(내부정보 유출방지)의 기본은 ‘원본 감사로그를 확보’하는 것이다.
이는 CCTV의 역할과 동일하다.
대부분 감사로그 확보만으로도 충분한 통제효과를 기대할 수 있다.
CCTV가 설치된 곳에서 대놓고 위법 행위를 하는 사람이 거의 없는 것과 같은 이치이다.
물론 주민등록번호 전송과 같은 명백한 위반행위는 반드시 실시간으로 차단해야 한다.
하지만 지나치게 광범위한 사전통제는 사용자들의 불필요한 반발을 사기 쉽다.
또한, 사용자가 이것저것 시도하다가 특정 경로가 차단되지 않는 것을 발견하면 “이 채널은 관리가 안 되는구나”라는 잘못된 인식을 심어주는 부작용도 있다.
이 때문에 실제 운영환경에서는 차단보다는 감사로그 확보를 통한 모니터링 방식을 더 선호하며, 권장하기도 한다.
정보유출 방법은 다양하다. 주민등록번호를 숫자가 아닌 한글로 치환하기도 한다.
데이터를 암호화하고, 스테가노그래피(Steganography)처럼 이미지나 동영상에 정보를 숨겨서 반출하려는 시도도 종종 보인다.
따라서 추후 정밀분석을 위해서라도 원본데이터를 실시간 확보하는 것은 DLP의 기본 중의 기본이다.
AI DLP는 기술적 관점에서 웹메일보다 메신저에 가깝다.
사용자가 생성형 AI에게 보낸 프롬프트(명령어)와 AI의 리스폰스(응답값)까지 모두 감사로그를 확보해야 한다.
그래야만 전체적인 대화 맥락을 파악하고 정보유출 의도를 정확히 이해할 수 있기 때문이다.
Figure 1. AI DLP 솔루션 작동 메커니즘 소개(실시간 차단과 감사로그 확보)
──────────────────────────────────────────────
3. AI DLP의 기본(2) : 서비스, 부서, 계정별 활용통제
생성형 AI 서비스는 지금 시점에도 우후죽순으로 생겨나고 있다.
대표적인 것은 챗지피티, 제미나이, 그록, 퍼플렉시티, 딥시크, 클로드, 코파일럿이지만 하루가 멀다 하고 새로운 생성형 AI서비스가 새롭게 탄생하고 있다.
시장 점유율이 미비한 서비스까지 포함하면 수천 개 이상이다.
회사에서는 이 모든 서비스를 제한없이 다 허용하면서 동시에 적절한 보호대책을 구축하는 것은 사실상 불가능한 일이다.
따라서 업무에 반드시 필요한 서비스는 허용하되, 그 외 서비스는 통제하면서 운영하는 방식이 보편적이다.
회사에서 개발, 전략기획 그룹 등 업무에 생성형 AI서비스 활용이 반드시 필요한 부서는 모든 시간대에 허용하고,
이외 부서는 업무 외 시간에만 사용하도록 설정하는 것도 방안이 될 수 있다.
생성형 AI 서비스로 투자를 위해 가상화폐 종목을 추천받고, 부동산 대출방법을 물어보며, 심리상담을 요청하는 등
생성형AI 서비스의 사적인 활용도 적지 않다.
따라서 회사 업무시간 내 활용하는 것은 업무목적 중심이어야 함은 기본이다.
아울러 회사에서 공식적으로 ‘유료 구매한 계정’으로 생성형 AI서비스를 활용해야 할 것이다.
해당계정을 통해서는 사내데이터를 활용하는 것이 원칙적으로 가능하다.
유료계정에 업로드한 데이터는 생성형 AI 서비스 자체의 학습데이터로 활용되지 않는 것이 보편적이기 때문이다.
개인의 사적 계정활용은 때때로 통제 대상이 되기도 한다.
이에 특정 기업/기관에서는 서비스 내 계정별 통제를 요청하기도 한다.
──────────────────────────────────────────────
4. One More Thing : AI DLP는 개인정보유출 위험도를 판단한다.
AI DLP는 단순히 생성형AI 서비스 감사기록을 남기는데 국한되지 않는다.
한 걸음 더 나아가, AI DLP 내 탑재된 인공지능 분석시스템(AI)이 축적된 로그를 직접 분석하여
데이터유출 위험도를 선제적으로 판단하는 단계까지 포함한다.
과거 몇몇 대기업에서는 기밀정보 유출통제와 개인정보보호를 위해 DLP 로그를 직접 감사하는 전담부서를 구성, 운영한 적이 있었다.
동종산업군에서 수천 억 규모의 산업기밀 유출피해를 보거나, 수백만 명의 개인정보 유출사고가 발생했기 때문이다.
다만 하루에도 수 십 기가이상 누적되는 수많은 로그를 수작업으로 확인하는 단조로운 업무는
담당자에게 회의감이 들게 할 만큼 동기부여가 쉽지 않은 일이었다.
이는 결국 잦은 이직과 전문성 확보의 어려움으로 귀결됐다.
AI DLP 솔루션은 인공지능 분석시스템(AI)이 DLP 로그를 분석하여 개인정보 유출위험도를 자동 분석한다.
물론 아직 시작단계이지만, 앞으로 해당 위험도 분석기술은 더욱 고도화될 것이다.
이는 DLP 운영 생산성을 높이는 동시에, 치명적인 대형유출사고를 미연에 방지하는 핵심적인 역할을 하게 될 것이다.
──────────────────────────────────────────────
마치며
1995년, ‘윈도우 95’의 출시와 함께 인터넷 대중화의 시대가 열렸다.
30여 년 동안 수억 명의 마음을 사로잡은 슈퍼스타, ‘인터넷 서비스’는 끊임없이 새로워졌다.
새로운 기술로, 새로운 모습으로 진화하며 우리의 삶 속에 깊이 스며들었다.
슈퍼스타의 탄생은 곧, 이에 대응하는 보안 솔루션의 진화를 촉발한다.
생성형 AI 시대의 도래와 함께 AI 보안솔루션, 그 중에서도 AI DLP 솔루션의 진화는 꾸준히 이어지고 있다.
한국은 전 세계에서 생성형 AI 서비스에 대응하는 보안솔루션을 가장 빠르고 신속하게 개발해온 국가 중 하나다.
특히 현 정부의 ‘AI 3대 강국’ 기조에 힘입어, 공공기관의 AI 활용 또한 한층 가속화되고 있다.
아직 세계적인 생성형 AI 서비스 제공에는 다다르지 못했지만, AI DLP 솔루션만큼은 이미 세계 수준에 올라 있다.
──────────────────────────────────────────────
출처:
[김대환 소만사 대표 칼럼] 생성형AI를 통한 개인정보 유출통제 : AI DLP < 칼럼&기고 < 오피니언 < 기사본문 – 데일리시큐
