보안과 편의성에 대한 나의 생각
Background
이 글을 쓰는 이유는 보안 업무를 하면서 생긴 많은 고민들이 있습니다.
그 중 한가지는 보안 VS 편의성 어디까지 허용되어야 하는가 입니다.
Generative AI
가장 대표적인 예시로 생성형 AI다. 요즘 GPT를 안쓰는 사람은 없을꺼라고 생각한다. 하지만 업무를 보조하는데 사용하기에는 참 애매하다.
AI를 기업에서 사용하는 방식은 크게 보면 두 가지의 형태이다.
- 외부 AI API를 이용
- 자체 구축 AI
외부 AI를 이용한 방식이라면 입력 데이터에 대한 안전한지에 대한 보장을 받지 못한다.
개인정보와 같은 중요 데이터가 입력 값에 들어간다면 해당 데이터는 AI 서비스를 제공하는 업체에 손에 들어가게 된다.
서비스 업체에서 입력한 데이터를 별도로 저장하지 않고, 학습데이터로 사용하지 않는다고 하더라도 업체의 말을 곧이곧대로 믿는 사람은 없을 것이다.
시용하더라도 중요 정보가 입력되지 못하게 통제하고 사용자의 입력 값에 대한 검증하는 방식을 당연히 기업에서는 보안을 고려하여 사용할 것이다.
두번째 방식은 자체 구축을 통해 외부로 데이터를 나가지 않고 기업 내부에 구축된 AI 모델을 사용하는 것이다.
그러면 내부망에서 운영되는 AI에게는 중요 정보를 넣어도 될까? 라는 고민이 생긴다. 개인정보 같은 중요정보는 당연히 넣으면 안되겠지만 만약에 아무 정보나 입력할 수 있다고 생각해보자
데이터는 기업 내부에서만 돌기 때문에 안전하다고 생각할 것이다. 외부라는 단어가 들어가면 당연히 X라고 생각이 들지만 내부라는 단어가 들어가면 약간 말랑해짐을 느낄 수 있다.
그러나 보안의 관점으로 생각을 해보면 임직원들은 전부 신뢰해도 되는 걸까?, 신뢰를 한다면 어디까지 허용되어야 하는 것인가 라는 고민에 이르게된다.
Insider Threat
내부자 위협은 인가된 내부 사용자(임직원, 협력사등)에 대한 보안 위협을 말한다.
크게 3가지의 형태로 나타낼 수 있다.
- 부주의한 내부자
- 악의적인 내부자
- 자격 증명을 훔친 공격자
외부/내부 위협 통계를 보면 외부의 위협보다 내부에 대한 위협이 5배정도 높다고 나온다. 또한 내부 위협 비율을 보면 부주의가 56%, 악의적인 내부자가 26%, 자격증명도난이 18%으로 상당히 높은 비율로 악의적인 내부자가 존재한다는 것을 볼 수 있다.
Insider Threat AI Scenario
위의 AI 예시를 토대로 위협 시나리오를 구성을 해보았다.
A임직원이 AI에게 질문을 했는데 다른 B임직원이 질문한 중요 정보를 답변받았다.
-> 이 경우 부주의한 B임직원에 의한 내부 위협이라고 볼 수 있다.개발자가 AI에게 입력된 데이터를 정제하여 학습 데이터를 만드는데 여기서 입력된 중요 정보를 얻어 외부로 데이터를 유출까지 했다.
-> 이 경우 악의적인 내부자에 의한 내부 위협이라고 볼 수 있다.
내가 내리는 답은 내부자도 믿을 수 없고 항상 최악의 상황을 가정을 하고 보안을 해야한다는 것이다.
입력 데이터에 대한 검증이 필요할 것이고 나아가 개발자에 대한 모니터링 통제까지 이루어 져야 할 것이다. 그렇게되면 AI를 사용함에 있어서 결국 편리함은 내려간다.
그렇다고 기업에서는 보안 만을 위해 AI를 포기할 수는 없다. 업무 생산량에 있어서 압도적 차이가 많이나는 것이 실제로 분명하기 때문이다.
Conclusion
보안은 늘 어렵다
업무를 편하게 하고자 하는 것과 불편한 사항에 대해서 불만이 생기는 건 당연한 일이다. 보안과 편리함은 함께 갈 수 없는 성질을 지니기에 이를 적절하게 판단하여 임직원들이 업무를 보다 안전하고 잘할 수 있게 도와주는 것이 보안 담당자의 역할이라고 생각한다.