글로벌 칼럼 | 생성형 AI, 더 새롭고 골치 아픈 섀도우 IT 시대를 열다

세계 어디를 가도 모두가 생성형 AI에 대해 이야기한다. 주식 시장, 보안 전문가가 모인 RSA 컨퍼런스, 그리고 기술 업계에서 생성형 AI는 2023년 최고의 화두임이 분명하다.
 

2023년에 출시 및 업데이트된 생성형 AI 툴은 일일이 살펴보기가 거의 불가능할 정도로 많다. 유명한 챗GPT와 바드부터 재미를 위한 수백 가지 툴, 그리고 개발자용 생성형 AI 툴에 이르기까지, 대부분 툴이 인터넷에서 브라우저를 통해 액세스할 수 있는 무료 버전을 제공한다.

필자가 걱정하는 부분은 다양성과 생산성 향상과 같은 생성형 AI가 주는 수많은 혜택이 아니라, 새로운 툴이 이제 기업에서 일종의 트로이 목마 역할을 할 수 있다는 점이다. 최종 사용자가 이런 앱을 활용하는 과정에서 승인되지 않은 앱 사용에 관한 정책과 절차를 무시하며 독단적으로 행동하고 있는가? 많은 기업에서 이런 질문에 대한 답은 ‘그렇다’로 귀결될 것이다. 

엄밀히 말하면 생성형 AI 사용 금지 정책이 없는 일부 기업에서는 최종 사용자가 어떤 규칙도 어기지 않는 상황일 수도 있다. 또한 허용 가능한 사용, 보안, 데이터 또는 개인정보 보호 정책을 느슨하게 시행하거나 이런 정책이 아예 없는 기업도 있다.

중요한 질문은 “지금 이 순간에도 들이닥치고 있는 생성형 AI 앱을 관리하기 위한 거버넌스 측면에서 CIO와 CISO가 무엇을 하고 있는가?”이다. 물론 모든 경영진은 효율성과 기타 혜택을 제공하는 새로운 기술의 ‘실현자’로서 혁신적인 모습을 보이고 싶어 한다.

미시간주 정부의 CISO인 필자는 20여 년 전에 와이파이 프로젝트에 반대했다가 거의 해고될 뻔하면서 ‘실현자’ 역할에 대해 배웠다. 현재 환경에서 생성형 AI에 반대하는 사람으로 보이기를 원하는 리더는 극소수일 것이다. 그렇다면 이런 상황에서 어떻게 대처해야 할까?

생성형 AI는 어떻게 섀도우 IT가 되는가?

현재 글로벌 기업에서 생성형 AI 툴 사용과 관련하여 무슨 일이 일어나고 있는지 본격적으로 살펴보기 전에, 섀도우 IT의 문제가 무엇인지부터 간단히 짚고 넘어갈 필요가 있다.

섀도우 IT의 위험을 보여주는 좋은 연구는 수십 가지가 있다. 이런 연구에서 우려하는 사항은 민감 데이터에 대한 통제력 저하, 공격 표면 증가, 데이터 손실 위험, 규정 준수 문제, 비효율적인 데이터 분석 등이다.

물론 섀도우 IT로 인해 발생할 수 있는 보안, 개인정보 보호 및 법률적 문제는 이외에도 많다. 그러나 필자가 가장 우려하는 점은 생성형 AI 앱의 놀라운 성장, 이런 앱이 엄청나게 빠른 속도로 도입되고 있다는 사실이다. 인터넷을 선과 악, 두 가지 모두를 가속하는 기술이라고 말한다면(필자는 적절한 표현이라고 생각한다), 생성형 AI는 가속의 정도를 비약적으로 높인다고 할 수 있다.

많은 사람이 생성형 AI 앱 도입을 인터넷 초창기에 비유하면서 전 세계적으로 유례가 없는 성장 잠재력이 있다고 말한다. 지금 분명한 점은 AI에 기회를 제공하는 기업이 가장 많은 관심을 받고 있고 도입을 가속화하고 있다는 것이다. 챗GPT는 최단기간 1억 명 사용자 돌파 기록을 세웠고 2023년 6월 챗GPT 웹사이트 방문 횟수는 16억 회에 달했다. 필자는 그 외에도 많은 기업이 전례를 찾아볼 수 없을 만큼 빠르게 생성형 AI를 도입하고 있음을 보여주는 연구 결과가 하반기에 나올 것으로 생각한다. 진정한 게임 체인저인 것이다.

생성형 AI와 보안에 대한 우려 확산

많은 경영진이 생성형 AI를 둘러싼 문제와 데이터 보안에 미칠 영향에 대해 생각하고 있다. 라이선스, 저작권, 법률, 지적 재산, 오정보 및 기타 문제를 유발할 수 있는 무료 생성형 AI 툴을 사용하는 데 대한 우려가 커지고 있다.

전체적인 최종 사용자 행동을 관리하는 어려움은 새로운 것이 아니다. 보안 및 기술 리더는 수십 년 동안 기업 최종 사용자의 업무를 지원하는 동시에 데이터를 관리하고 보호하기 위해 노력해 왔다. 그러나 누가 언제 어떤 데이터를 어떻게 보는가에 관한 통제권을 두고 끝없이 이어지는 줄다리기 속에서, 챗GPT와 기타 생성형 AI 앱은 업무 수행을 위해 기업이 인증한 애플리케이션을 벗어날 매력적인 새로운 이유가 된다.

생성형 AI 앱이 섀도우 IT에 해당하는지 여부를 묻는다면 답은 언제나 그렇듯이 ‘상황에 따라 다르다’이다. 애플리케이션이 적절히 라이선스되고 모든 데이터가 기업의 보안 통제 범위 내에 유지된다면 생성형 AI는 인증된 엔터프라이즈 앱 포트폴리오에 말끔하게 통합될 수 있다. 예를 들어, 구글이 판매하는 버텍스(Vertex) AI에서는 모든 공개 및 비공개 섹터 데이터가 기업 내에만 머물도록 구성할 수 있다. 다른 기업도 비슷한 기능을 제공한다.

그러나 여기서 이야기하는 것은 구매한 애플리케이션이 아니다. 구글 바드 또는 오픈AI 챗GPT와 같은 무료 버전의 생성형 AI 앱에는 별도의 사용 약관이 있는데, 이런 약관의 조항은 기업 법률팀에서 좋아하지 않을 만한 내용으로 구성돼 있다. 또한 시스템에 입력된 데이터는 어떻게 보호되는지, AI가 생성한 작업의 저작권이나 소유권이 누구에게 있는지가 불투명하다. 이런 상황에서 생성형 AI의 결과를 비즈니스 프로세스에 어떻게 사용할 수 있을까?

필자의 논점은 인터넷에서 최종 사용자가 사용할 수 있는 무료 생성형 AI 앱에 국한된다. “제품이 마음에 든다면 기업 버전 라이선스를 구매하면 되지 않는가”라고 생각할 수 있다. 구글 바드 대신 구글 버텍스 AI를 사용하는 것이다. 물론 맞는 말이다. 그러나 대부분 기업은 적어도 초기에는 그렇게 접근하지 않을 것이다.

간단히 말하자면, 무료 버전의 매력이 그만큼 크다. 대부분 기업은 새로운 기술을 도입할 때 느리게 움직이므로 예산과 배포 프로세스에 몇 개월에서 몇 년이 걸릴 수 있다. 이미 무료 생성형 AI 툴을 사용하면서 정책을 위반하고 있을 가능성이 높은 최종 사용자들이 기업 CTO(또는 다른 경영진)에게 장기적으로 수백만 달러가 들 수도 있는 새로운 제품을 구매하라고 단체로 종용하는 경우는 드물다. 몇 년 정도 지나면 ROI가 실현될 수 있지만, 그 사이에는 무료 버전으로 실험을 한다. 모두가 그렇게 하고 있기 때문이다.

생성형 AI 시대의 데이터 관리 방안

필자는 이런 문제를 해결할 몇 가지 솔루션을 제안하고자 한다. 독자들 중 일부는 이것이 전형적인 CASB(Cloud Access Security Broker) 문제이며, 이미 몇 년 전에 이런 섀도우 IT 문제를 해결했다고 생각할 수 있다. 대체로 맞는 말이다. 제품군에 CASB 솔루션을 제공하는 것으로 알려진 넷스코프(Netskope), 지스케일러(Zscaler)와 같은 기업은 생성형 AI 앱을 관리하기 위한 엔터프라이즈 정책 관리 툴셋을 제공한다.

물론 주요 CASB 솔루션 업체가 제공하는 다른 제품도 생성형 AI 앱 관리에 도움이 될 수 있으며, CASB 솔루션도 거버넌스에 도움이 되기 위해서는 적절한 배포와 구성이 필요하다.

확실한 점은 CASB 툴셋이 모든 생성형 AI 앱 문제를 해결하지는 못한다는 것이다. 기업은 라이선스, 앱 난립, 보안 및 개인정보 보호 정책, 절차 등에 관련된 다른 문제에 대처해야 한다. 또한 교육과 관련된 사항, 제품 평가 및 비즈니스 워크플로우 관리도 고려해야 한다. 간단히 말하면, 다양한 옵션을 조사하고 공공 또는 민간 분야 조직 또는 특정 비즈니스 영역에 가장 적합한 생성형 AI 접근 방식을 최적화하는 일은 누구의 업무인가의 문제다.

더욱 커진 보안 의사 결정의 중요성 

그럼에도 불구하고 CASB 툴셋은 생성형 AI 앱 사용에 허용되는 정책 및 절차를 시행하기 위한 기반을 제공할 수 있다. 필자가 우려하는 점은 많은 공공 및 민간 조직에서 긴 시간이 소비되는 이런 거버넌스 작업을 신중하게 실행하지 않거나 아예 하고 있지 않다는 점이다. 필자가 보기에 지금은 최종 사용자가 생성형 AI에 경탄하는 단계에 진입했으며, 아마 이런 단계는 상당히 오래 지속할 것이다. 최종 사용자는 비즈니스 생산성에 비약적인 변화를 가져올 실체적 가능성을 지닌 다양한 무료 생성형 AI 툴로 실험을 하고 있으며 이 과정에서 보안, 개인정보 보호 등과 관련하여 발생할 수 있는 부정적 결과에 대해서는 그다지 고민하지 않는다.

역사는 반복된다. 과거의 보안 리더가 와이파이 네트워크, 클라우드 컴퓨팅, BYOD 정책 및 IoT 같은 새로운 기술에 대처했듯이, 새로운 생성형 AI 기술과 관련하여 좋은 부분은 실현하고 나쁜 부분은 막고자 하는 보안 전문가는 이런 과제를 해결해야 한다. 무엇이 허용되고 허용되지 않는지에 관한 결정을 누가 내려야 하는지는 각 조직이 해결해야 하는 비즈니스 의사 결정이다. 분명한 것은 그 중요성이 어느 때보다 크다는 점이다.
editor@itworld.co.kr