[디지털데일리 이종현기자] “보안 관점에서 봤을 때 챗GPT는 위험하면서도 유용하다는 인상을 품게 된다. 어떻게 활용하느냐에 따라 사이버 위협이 되기도 하고, 보안을 강화하는 재료가 되는 양날의 검이다.”(정일옥 이글루코퍼레이션 기술위원)

13일 이글루코퍼레이션(이하 이글루) 정일옥 기술위원은 자사 사옥에서 진행된 과학기술정보통신부(이하 과기정통부)의 ‘챗GPT 등 생성형 AI 보안 위협 대응 방안 토론회’의 발표자로 나서서 이같이 밝혔다.

그는 지난 4월 개최된 세계 최대 사이버보안 행사 ‘RSA 콘퍼런스 2023(RSAC 2023)’에서의 말을 인용하며 “편의성을 중시하는 모바일·클라우드 시대에서 보안을 중요시하는 인공지능(AI)·데이터의 시대로 넘어가고 있다”고 말했다. 현실에서 예측 불가능성을 극대화시킨 코로나19의 역할을 사이버에서 AI가 할 수도 있다는 지적이다.

정 위원이 지적한 사이버보안 위협 주요 사례는 사이버 범죄자들이 챗GPT를 이용해 사회공학적 공격을 수행하리라는 점이다. 사회공학적 공격은 사회적으로 주목도가 높은 키워드를 이용해 피싱메일을 발송하는 등의 수법이다. 오픈AI와 같은 기업들이 서비스 악용을 막기 위해 조치를 취하고 있지만 ‘아이폰 탈옥’, ‘안드로이드 루팅’과 같은 방법으로 보안을 우회해 악용하려는 시도는 지속적으로 이뤄지고 있다.

또 명령어(프롬프트) 유·노출 우려도 제기된다. 지난 2월 마이크로소프트(MS)의 AI 챗봇 서비스 ‘빙챗’에 사용된 명령어가 노출되는 ‘시드니(Sydney)’ 사태가 대표적이다. 국내 대기업 직원이 기밀정보를 챗GPT에 질의함에 따라 기밀 정보가 유출될 것을 걱정해 사용을 제재하기도 했다.

정 위원은 “이처럼 생성형 AI가 보안 위협을 키우는 측면이 분명히 있음에도 불구하고, 보안 분야에서도 생성형 AI를 활용코자 하는 시도가 이어지고 있다. 대표적인 것이 MS와 구글과 같은 빅테크 기업이 선보이고 있는 생성형 AI 서비스다. MS는 자사 오피스 소프트웨어(SW)에 ‘코파일럿(Copilot)’이라는 AI를 선보였고 보안에 특화된 ‘시큐리티 코파일럿’도 발표했다”고 전했다.

이 분야에서 국내 선두를 달리고 있는 것은 이글루다. 이글루는 지난 3월 국내 최초로 챗GPT를 이용한 보안 서비스를 발표했다. 이글루가 개발해온 설명 가능한 AI(eXplainable AI, 이하 XAI) 기술과 챗GPT를 결합시킨 ‘이글루 XAI(가칭)’이다.

보안관제 과정에서 발생한 이벤트에 대해 악성 행위인지 정상 행위인지에 대한 판별을 AI에 맡기는 것은 드문 일이 아니다. 다만 보안 현장에서는 AI의 판별이 정확한가, 신뢰할 수 있는가에 대한 이슈가 존재해 왔다. 이에 그래프나 표와 같은, AI의 판단 기준을 제시하는 XAI 기술을 적용했는데 여기에 챗GPT까지 더함으로써 신뢰성을 더 높였다고 설명했다.

그는 생성형 AI가 보안 분야에 적용되기 위해서는 AI에 대한 신뢰성과 안전성 보장이 선행돼야 하며, AI 학습을 위한 데이터 생태계 조성 및 생성형 AI 서비스 자체와 입력되는 명령어, 네트워크 등에 대한 보안이 담보되어야 할 것이라고 강조했다.

정 위원은 “이글루가 처음 AI 보안 모델을 선보인 7년 전에는 어떻게 이 어린아이를 더 학습시키고 성장시킬 수 있을지 고민했었다. 그런데 지금의 챗GPT는 괴물과 같다. 너무 많이 알고, 통제할 수 있을지에 대한 두려움까지 느끼게 한다. 이에 대응하려면 하나의 기업, 몇 개 규제로는 어려울 듯하다. 어떻게 AI로 업무를 효율화하고 보안을 강화할 것인지에 대한 논의가 지속하면 좋은 결과가 나오지 않을까 싶다”고 밝혔다.