‘생성AI 대중화’ 직원 AI툴, “해킹 위험 커”

[중소기업투데이 이상영 기자] 생성AI가 급속히 대중화되면서, 기업체 등 직장인들이 이를 회사 허가없이 임의로 활용하는 사례가 늘어나고 있어 문제가 되고 있다. 주로 업무 편의를 위해 개인적으로 챗GPT나 바드, 미드저니, 깃허브 코파일럿, 혹은 캐릭터a.i 등 AI툴을 임의로 활용하는 경우가 대부분이다.

그러나 이는 업무 편의라는 의도와는 달리, 외부 해킹의 표적이 되기 싶다는 지적이다.이같은 사례는 비단 국내 뿐 아니라 해외에서도 문제가 되고 있다. 그래서 실리콘밸리에선 이를 ‘숨겨두고 사용하는 AI’라는 개념으로 ‘섀도우 AI’(Shadow AI)라고 부르기도 한다.

국내에서도 주로 생성AI 역량이 미비한 중소기업이나 개인사업체 등의 근로자들에게 이런 사례가 많다. 반복적인 앱 개발이나, 이메일 작성, 고객 상담, 마케팅 자료 등의 기안이나 공문 작성 등의 목적으로 자의적으로 AI툴을 많이 쓰고 있는 실정이다.

회사 모르게 업무 편의 위해 남용

국내 사이버보안업계의 한 관계자는 “보통 직원들과 생성 AI에 대한 논의나 대화를 제대로 하지 않거나, 업무에 꼭 필요한데도 불구하고 이를 도입하지 않을 때 생기는 일”이라며 “특히 실시간 애플리케이션 개발을 위한 플랫폼에선 흔히 있는 일인데, 최소한 IT 부서에 알리지도 않은 채 LLM을 사용하는 바람에 위험을 초래하고 있다”고 지적했다.

실제로 지난해 국내에선 코파일럿을 개인적으로 남용하다가 문제가 된 적도 있다. 당시 많은 사용자들이 코드를 생성하기 위해 자의적으로 즐겨 사용하고 있었다. 그러나 그 과정에서 취약점이 포함된 코드를 대거 생성, 문제가 되었다.

이처럼 직장인들이 회사에서 생성AI툴을 허가없이 무심코 개인적으로 남용하거나, 심지어 몰래 사용할 경우 사이버 공격에 노출될 가능성이 크다는 지적이다. 특정 직원만이 아는, 감독을 전혀 받지 않는 AI 도구를 통해 데이터가 대거 유출될 위험도 크다.

그 때문에 작년에 삼성은 특정 엔지니어가 코드 생성을 위해 챗GPT를 사용, 소스 코드를 유출한 후 역시 같은 조치를 취했다. 해외에서도 애플의 경우 작년부터 직원들이 임의의 ‘섀도우 생성AI’를 통해 회사의 중요한 정보를 실수로 노출할 수 있다고 우려, 사내 챗GPT 사용을 제한했다.

생성AI 툴, ‘사용금지’만이 해결책 아냐

그러나 생성 AI를 아예 금지한다고 해서 해결될 문제가 아니라는게 전문가들의 지적이다. “이런 접근 방식을 취하면 생성AI를 숨어서 몰래 사용하는 빈도가 더 많아질 수도 있다”는 얘기다.

글로벌 보안업체 ‘캐스퍼스키’도 ‘숨겨둔 AI’를 우려하는 한편, “엄연히 존재하는 AI를 금지하는 것만 능사가 아니다”면서 “차라리 공식적으로 허용하고 관리한다면 그 사용법이나 문제점을 한층 체계적으로 알려줄 수 있고, 결국은 개방적인 기업 문화를 조성하는데도 도움이 될 수 있다”고 조언했다. 생성 AI의 가치와 이점, 생산성을 향상하면서 피로도를 줄일 수 있는 방법을 모색하는게 바람직하다는 것이다.

또 전사적 차원에서 AI툴을 관리할 팀을 두는 것도 중요하다는 권고다. 특히 교육도 필요하다. 안전한 생성 AI 활용 사례를 교육하고, 챗봇을 직장에서 안전하게 사용할 수 있는 경우와, 사용할 수 없는 경우에 대한 명확한 지침을 제공해야 한다는 주문이다.

특히 허용 가능한 AI 도구에 대한 정의를 회사의 AI 정책에 명시되어야 한다는 목소리도 높다. 이를 통해 직원이나 조직 구성원이 악의적인 의도를 갖고 있지 않더라도 이미 개인적으로 사용 중인 AI를 제재하거나, 관리를 철저히 해야 한다. 이미 회사의 기술 스택에 있을 수 있는 AI 솔루션의 경우도 마찬가지다.

이에 더해 AI툴에 대한 가드레일을 만들고, 회사가 보유한 각종 데이터별로 권한을 승인받은 직원에게만 엑세스를 허용할 필요가 있다. 또한 “섣불리 민감한 데이터를 LLM에 누설하지 않도록 라벨을 지정하고 암호화할 필요도 있다”는 조언이다.