[디지털데일리 이종현기자] 정보기술(IT) 업계의 메가 트렌드로 자리 잡은 생성형 인공지능(AI)와 관련된 보안 논의가 본격화됐다. 생성형 AI 자체가 악의적인 행위에 악용될 가능성부터 명령어(프롬프트) 입력 과정에서 정보 유·노출이 될 우려 등 포괄적인 주제로 논의가 진행됐다.

13일 과학기술정보통신부(이하 과기정통부) 박윤규 제2차관은 ‘챗GPT 등 생성형 AI 보안 위협 대응 방안 토론회’를 개최했다. 산·학·연 전문가를 모아 생성형 AI가 어떤 보안 위협으로 이어질 수 있는지, 어떻게 대응해야 하는지에 대해 토론했다.

토론회는 국내 최초로 챗GPT를 이용한 보안 서비스를 발표한 이글루코퍼레이션(이하 이글루) 사옥에서 열렸다. 이득춘 이글루 대표를 비롯해 소만사 최일훈 사장, 안랩 전성학 연구소장 등 AI 활용 보안기업을 비롯해 네이버클라우드, 카카오, LG CNS, KT, 삼성서울병원, 금융보안원 등 대규모언어모델(LLM) 개발 기업 및 AI 서비스 활용 기업들도 참여했다.

박 제2차관 및 정창림 정보보호네트워크정책관 등 과기정통부 관계자와 한국정보보호산업협회(KISIA) 윤두식 부회장(지란지교시큐리티 대표), 한국인공지능협회 김세현 센터장를 비롯해 고려대 이상근 교수, 아주대 곽진 교수, 숭실대 최대선 교수와 한국인터넷진흥원(KISA) 김정희 실장, 정보통신기획평가원(IITP) 정현철 PM 등도 함께했다.

◆기대와 우려 공존하는 생성형 AI··· 제도 논의 시작해야

토론화를 주재한 박 제2차관은 생성형 AI를 둘러싼 현 상황을 두고 “챗GPT와 같은 AI 기술의 발전은 경제, 사회 전반의 파괴적 혁신이라는 기대와 함께 기술이 내포하고 있는 한계와 잠재적 위험 요인이 공존하고 있다고 보는 것이 냉정한 현실”이라고 진단했다.

또 생성형 AI가 사회에 미친 파급력을 1980년대 인터넷 혁명, 2007년 아이폰의 등장에 비유하기도 했다. 패러다임을 전환하는 게임 체인저로서 생성형 AI가 대두되면서 대중화가 시작됐다는 설명이다.

그는 “챗GPT와 같은 AI 서비스가 일상 생활과 업무 영역에 폭넓게 활용되면서 여러 사회적 이슈가 대두되고 있다. 특히 보안 문제에 대한 우려의 목소리가 많다. 이로 인해 세계 각국 정부와 기업에서는 이러한 챗GPT와 같은 AI 서비스의 위험성에 대한 규제 논의를 본격적으로 검토하기에 이르렀다”며 한국 역시 논의를 시작해야 할 때임을 시사했다.

다만 기술 발전을 저해하는 방식의 규제는 아닐 것이라고 강조했다. 박 제2차관은 “과거에도 인터넷이나 스마트폰이 등장할 때 신기술의 부작용을 우려한 바 있지만 올바르게 기술을 적극 활용함으로써 새로운 경제적 기회를 창출하고 사회적 발전을 이뤄낸 경험도 있다. 우리는 생성형 AI를 적극적으로 활용해서 경제, 사회와 기술 발전을 촉진할 수 있도록 하는 한편 생성형 AI의 잠재적인 보안 위협에 선제적으로 대응할 필요가 있다”고 말했다.

◆핵심 논쟁거리, 개인정보침해

챗GPT는 사용자의 질의에 응답하는 범용 AI 서비스다. 놀라운 수준의 기술 진보를 보였으나 당장 챗GPT를 기업 환경에서 곧바로 적용하는 데는 한계가 있다. 활용을 위해 기업의 기밀정보를 입력했다가 유·노출될 수 있는 등의 문제다.

삼성전자 반도체 사업부문(DS)에서는 몇몇 임직원이 반도체 관련 프로그램에 대해 챗GPT에 오류 해결을 요청하며 정보를 입력한 사례가 내부 모니터링 과정에서 밝혀져 논란이 됐다. 이후 사내 게시판에 챗GPT 사용을 주의하라고 안내했는데, 글로벌 기업들은 챗GPT의 무분별한 사용에 제동을 걸고 있는 상황이다.

이탈리아의 경우 4월 한달간 국가 차원에서 챗GPT 사용을 차단 결정했다. 챗GPT가 이탈리아 개인정보보호 기준과 규정을 충족할 때까지 서비스를 하지 못하도록 한 조치다. 오픈AI가 챗GPT의 알고리즘 학습을 이유로 개인정보를 대량 수집·저장하는 데 대한 반발로, 오픈AI가 이탈리아 데이터보호 당국이 요청한 변경 사항을 반영해 서비스가 재개된 상태다.

이런 지적은 AI 서비스 자체와 이를 제공하는 기업에 대한 신뢰 문제로 직결된다. AI 학습에는 숱한 데이터가 활용될 수밖에 없는데, 서비스 이용자들이 자신들의 정보가 AI 학습에 활용될 수 있음을 잘 알리는 등의 조치가 필요하다는 의견도 제기됐다.

◆“챗GPT로 악성코드 생성하거나 취약점 찾아낼 수도 있어”

토론회에서는 챗GPT를 사이버 범죄자가 악의적으로 활용할 수 있다는 우려도 언급됐다. 글로벌 사이버보안 기업 체크포인트는 지난 1월 다크웹 등에서 챗GPT를 사용해 새로운 악성코드 등을 제작할 수 있는 사이버공격 도구 생성 시도를 발견했다고 보고한 바 있다.

오픈AI의 경우 챗GPT가 악용되지 않도록 기술적 보호조치를 한 상태다. 범죄에 악용될 법한 요청을 받을 경우 이를 수행하지 않는 방식이다. 하지만 이글루 정일옥 기술위원은 “아이폰의 탈옥, 안드로이드폰의 루팅처럼 보호조치를 우회하는 방법이 있다”며 안심할 수는 없다고 말했다.

실제 다크웹 등지에서는 이미 챗GPT를 통해 악성코드를 생성하는 등의 작업이 목격되고 있다고도 전했다. 알려진 악성코드가 아니다 보니 전통적인 보안 시스템을 우회할 수도 있고, 이를 막기 위해서는 보안 기업들도 AI를 적극적으로 활용해야 한다고도 피력했다.

챗GPT로 인한 보안 위협이 너무 성급하다는 비판도 나왔다. 아주대 곽진 교수는 “모든 시스템, 시설, 환경에서 보안 위협이나 취약점, 문제점은 존재할 수밖에 없다. 그런데 그게 직접적인 위협으로 다가올 수 있느냐에 대한 고민도 필요하다. 생성형 AI가 잘 모르는 사람이 손쉽게 악의적인 목적을 달성할 수 있도록 도움을 줄 수는 있지만, 이것이 정말 엄청나게 위험할지에 대해서는 냉정하게 생각해봤으면 한다”고 밝혔다.

숭실대 최대선 교수는 “챗GPT가 아니더라도 챗GPT 80~90% 수준의 성능을 가진 오픈소스 모델들이 굉장히 많이 공개돼 있다. 실험실에서 하나 설치해 보니 이 AI는 아무런 제한 없이 다 만들어준다. 이것을 조금만 변형하면 얼마든지 탐지하기 어려운 공격들이 많이 만들어질 수 있다. 현재 수준에서는 심각하지 않게 받아들일 수 있지만 향후에 심각한 위협이 될 것이라고 생각한다”고 반론했다.

◆생성형 AI 기술 발전 저해 안 된다는 데는 한 목소리

갖가지 의견이 개진된 가운데 하나에 대해서는 분명한 합의점이 마련됐다. 생성형 AI 발전 및 사용을 저해하는 방향의 규제·제도 마련은 피해야 한다는 것이다.

박 제2차관은 AI와 관련된 정부 차원의 규제 계획이 있느냐는 질문에 “없다”고 선을 그었다. 지난 4월 국회 과학기술정보방송통신위원회(이하 과방위)에 제출된 AI 산업 육성 및 신뢰 기반 조성에 관한 법률(이하 AI 기본법)에는 민간 영역에서 자율적으로 검·인증 제도를 할 수 있는 근거 규정이 포함돼 있는데, 철저하게 민간 자율규제 방식을 취하겠다는 입장이다.

윤두식 KISIA 부회장은 “사고가 나면 누군가 책임져야 하는 상황이 만들어지기 때문에 발생할 수 있는 사고에 대해서는 미리 고민을 해야 한다고 본다. 하지만 차단 만이 능사는 아니다. 생성형 AI를 조금 더 양성화해서 더 잘 관리될 수 있도록 하는 방향의 논의가 지속돼야 한다고 생각한다”고 말했다.

IITP 정현철 PM은 “AI는 전통적인 보안 서비스의 고도화에도 활용될 것으로 보인다. 앞으로는 AI를 잘 활용하는 기업과 활용하지 못하는 기업으로 나눠질 수도 있다”며 “해외에서는 많은 자본을 바탕으로 한 신기술을 내놓고 있다. 정부도 연구개발(R&D) 자금을 활용해서 산업계와 학계, 연구계가 같이 손잡고 개발하는 식으로 대응했으면 한다”고 전했다.

◆소규모 언어모델(sLLM) 내세운 이글루, 빅테크 속 ‘블루오션’ 개척

마이크로소프트(MS), 구글과 같은 빅테크 기업들이 LLM을 기반으로 한 혁신 AI 서비스를 연거푸 내놓는 가운데 이글루 이득춘 대표는 소규모 언어모델(sLLM)이라는 새로운 화두를 제시했다.

챗GPT와 같은 LLM의 경우 하루 운영비용이 10만달러, 한화로 약 1억3000만원에 달한다. 고성능의 인프라가 필요한 탓에 운영비용이 클 수밖에 없다. 중소·중견 기업이 LLM을 개발하는 것은 현실적으로 무리라는 설명이다.

그는 “이글루는 지난 24년간 보안관제 사업을 하면서 양질의 보안 데이터를 많이 축적해왔다. 보안 분야의 경우 특성상 폐쇄된 환경, 데이터 유출 우려로 구축형 AI를 선호할 수밖에 없는데 보안에 특화된 sLLM을 개발해 제공하면 경쟁력이 있을 것으로 생각한다. 한국뿐만 아니라 아시아, 나아가 글로벌 수출까지도 가능할 것”이라고 청사진을 공유했다.

국내 기업들의 점프를 위한 정부 지원도 요청했다. 주목도가 높은 대기업과 스타트업과 달리 보안기업의 경우 엄격한 규제를 받고 있지만 정부 지원 등에서는 빠지는 경우가 많은데, 정책적으로 보안에 대한 지속적인 관심과 지원이 필요하다고 촉구했다.