AI 시대에 보안 담당자로 살아가기
안녕하세요, 에디터 푸린입니다.
여러가지 기술이 발전하는데 그 중 명실상부 탑은 AI 기술이겠죠. 저도 업무상 AI에 관련된 일에 많이 연관이 되곤 하는데 제가 진행하는 업무들을 자세히 말하긴 어렵겠지만 어떤 부분에 대해서 보안담당자들이 AI부분에 대해서 고민을 하고 있는지에 대해 써봐도 좋을 것 같아 한번 일기처럼 작성해보았습니다! 업무를 하시는 많은 분들이 각자의 역할에 충실하신 것이 대단하다는 생각이 들면서 이제 점점 많은 부분에 대해서 더 자세히 알아야 하는데 나는 어떤 포지션을 잡아야 하는지 고민이 들기도 하네요. 모두들 더운 날씨에 화이팅하시고 각자의 자리에서 묵묵하게 일하시는 분들 응원합니다!
여행 준비를 하면서 처음으로 AI를 써봤다. 부끄러운 이야기이지만 나는 이 전에 테스트용으로 ChatGPT를 팀 공용계정으로 시도해본 것 이외에 AI를 직접적으로 사용해본 적이 없었다 (검색할 때 브라우저에서 자동으로 제공해주는 요약기능 등 제외). 아니, 사실 부끄럽지 않았다. 어찌보면 직업병이라고 할 수 있는데 AI를 믿을 수도 없고 무엇보다 AI에 질려버려서 사용하고 싶지가 않았던 것이니 그저 개인의 선호도라고 볼 수 있겠다.
그렇다고 AI를 멀리하는 것은 아니긴 하다. 사실 내가 개인적으로 사용을 지양하는 것 뿐이지 현대 사회에서 어찌 멀리할 수 있겠는가. 특히 보안담당자로서 수없이 쏟아지는 AI 관련 업무에 대해서 대응하려면 멀리한다는 마음 자체를 안드로메다로 보내야 할 지도. 한가지 확실해진 것은, AI가 얼마나 대단하느냐를 떠나서 개인적인 감상으로는 매우 싫어한다는 것….마지 이과생들이 뉴턴을 증오하는 것과 비슷한 마음이라고 보면 되겠다. 인간 세상 전반적으로 보면 대단한 발견이지만 내 일을 늘려준 주범이니까.
그래서 무슨 일을 늘려주냐면, 우선은 두 가지 측면이 있다.
하나는 AI를 사용하는 것에 대한 대응 (사용 허가 및 승인, 이력 관리), 그리고 다른 하나는 새로운 AI 서비스에 대한 회사 차원에서의 정식 도입 건에 대한 대응이다.
언뜻 보면 두 개가 무슨 차이인가 할 수 있다. 가장 큰 차이점은 테넌트가 분리되느냐, 그리고 후자의 경우 퍼블릭이 아닌 엔터프라이즈용 사용이다보니 정보에 대한 통제(데이터가 모델에 feed 되어서 학습되는가 등)가 적절히 이뤄지는지 등에 대한 확인이 이뤄져야 하기 때문에 여러가지 고려할 것들이 많다. 그리고 이 부분은 기존에 시장에 나와있는 완성된 서비스를 사용하는 것에만 대한 것이지 AI 개발 등은 또 다른 문제이다. 한 마디로 말하자면, 가지치기의 영역이 끝도 없다는 것이다.
뭐 그러면 보안 측면에서는 안전한지만 보면 되는거 아닌가? 회사 정보만 안넘어가면 되나? 라고 생각할 수 있다. 그러면 좋겠지만 그 외 고려해야 하는 법과 관련 권리 조항들이 또 엮여있어서 쉬운 문제가 아니다. 회사 정보, 즉 영업비밀의 경우는 그 회사 자체의 문제가 될 수 있지만 다른 회사의 정보를 활용하다가 타사의 영업비밀 침해로 이어질 수 있고, 인지가 부족한 상태에서 엑셀 파일을 통채로 올렸는데 그 안에 개인정보가 잔뜩 들어가 있다면? CCTV 정보를 통해 적합한 사람만 골라내는 기술을 개발한다고 치면, 지정된 다른 사람들에 대한 정보도 포함되어서 허용X의 카테고리로 학습된다는 것인데 그러면 그들의 초상권은? 인터넷에서 무심코 다운로드 받은 문서를 활용하여 내가 만든 문서로 재창조하는데 출처 표기를 제대로 안했고, 유료 구매 문서를 발췌하여 내가 퍼블리시 하는 공용 문서에 포함시킨다면? 그러면 지적재산권의 침해다. 대충만 고려한 게 이정도인데, 이를 자세히 파고들어서 더 제대로 검토하고 이를 임직원들에게 인식 개선 프로그램으로 배포하려면 또 얼마나 큰 일이겠는가.
개인정보 가이드 설명회를 다녀왔는데, 사전 등록을 안하고 선착순 참석으로 기재해뒀길래 왜일까 했는데, 설명회에서 개인정보보호위원회에서 사전등록하면 개인정보 수집을 해야 하기 때문에 아예 번거로운 일을 없애기 위해 사전 등록을 안받았다고 한다. 새삼 관련 업무들이 얼마나 손이 많이가는지 알 수 있는 대목이지 않을까 싶다.
그리고 이 모든 것들에 대한 기본 전제는, AI 모델에 임직원들이 입력하는 질문 및 업로드하는 파일이 일체 외부에 저장되거나 활용되지 않는다는 것이다. 외부로 데이터가 넘어가지 않아야 하는 것은 물론이거와, 특정 회사 내부에서 데이터를 소화하기 위해서 회사 외부 혹은 외부인의 데이터가 들어간다면 거기에 엑스트라로 더 고려해야 할 권리들이 산더미같이 있다는 것. 이쯤되면 AI혐오증이 걸릴만한 것이 인정될지 모르겠다. 생산성의 증가 이러한 권리들을 다 무시해도 될 정도다 싶다면 당신은 도덕적 해이에 대한 상담을 받아보는 것도 좋을 듯 하다.
결국 어떠한 새롭고 획기적인 기술이 나온다고 할지라도 결국에는 그것을 사용하는 것은 인간이며, 인간은 완벽하지 않다. 이무리 이를 위해 이런 저런 대비를 해놓는다고 할 지라도 모든 구멍을 다 막기란 불가능할 지다. 기술공부도 중요한데 늘 common sense라는 기초적 상식과 도덕 공부가 중요하다고 여기는 이유이다. 아직 인간의 감정과 양심 등 비물질적인 가치에 대해서는 AI가 인간을 따라오지 못한다고 하는 것이 과연 향후에 어떤 성장 양상을 보일지 조심스럽고 궁금하기도 하다.