최근 많은 사람들이 일상생활에서 챗GPT(ChatGPT)와 같은 생성형 인공지능(AI)을 사용하고 있다. 생성형 AI를 통해 텍스트뿐만 아니라 이미지, 음악, 동영상 등 새로운 콘텐츠를 생산하거나 기발한 아이디어를 얻기도 한다. 생성형 AI는 여러 분야에서 편리하게 활용될 수 있지만, 한편으로는 다양한 보안 이슈를 유발할 수 있다는 점도 간과해서는 안 된다. 생성형 AI 사용 시 지켜야 할 보안 사항으로는 어떤 것들이 있는지 살펴보자.

과거에는 자료 검색 또는 궁금한 사항들을 포털에서 검색했지만, 지금은 생성형 AI에게 물어보면 어렵지 않게 해답을 찾을 수 있다. 생성형 AI의 답변은 다양한 형태로 제공되며, 저작권도 걱정할 필요가 없다.

챗GPT를 시작으로 수많은 생성형 AI가 등장하고 있다. 빅테크 기업들이 내놓은 생성형 AI로는 마이크로소프트의 뉴빙(New Bing), 구글 바드(Bard)와 제미나이(Gemini), 바이두 어니봇(Ernie Bot), 네이버 클로바엑스(CLOVA X) 등이 대표적이다.

형태 별로 보면 대표적인 텍스트 생성형 AI는 오픈AI(OpenAI)의 GPT 시리즈, 클로드 3(Claude 3), 버트(BERT)이며, 이미지 생성 AI는 딥드림(DeepDream), 스테이블 디퓨전(Stable Diffusion), 미드저니(Midjourney), 달리3(DALL-E 3) 등을 포함한다. 음성 생성 AI로는 구글의 웨이브넷(WaveNet), 수노AI(SunoAI)와 로보AI(Robo AI), 바이두(Baidu) 딥 보이스(Deep Voice) 등이 있으며, 비디오 생성 AI로는 소라(Sora)가 대표적이다. 나아가, 멀티모달 AI 중에서는 GPT-4가 가장 많이 알려져 있다.

작년 돌풍을 일으켰던 챗GPT는 올해는 살짝 주춤해진 모양새다. 이는 바로 보안 문제 때문이다. 작년 대통령의 신년사 작성에 챗GPT를 활용해보기도 했지만, 그 과정에서 정부 대외비가 유출될 수 있다는 우려가 대두됐다. 따라서 정부는 내부적으로만 사용 가능한 초거대 AI 개발을 별도로 추진 중인 것으로 알려졌다.

삼성전자의 반도체사업부에서도 최근 챗GPT에 대한 접근을 허용했으나 일부 직원들이 반도체 관련 프로그램, 내부 회의록, 기타 개인정보 등 기밀 정보를 입력하는 등 보안 지침을 위반한 사실이 드러나면서 임직원 대상 보안 지침을 강화했다. 글로벌 보안기업 사이버헤이븐(Cyberhaven)은 고객사 직원 160만 명의 챗GPT 사용 현황을 분석한 결과, 6.5%가 기밀 정보, 고객 데이터, 소스 코드 및 기타 내부 정보를 챗GPT에 입력하는 것으로 나타났다고 밝혔다.

특히 국내 기업들은 챗GPT 보안에 골머리를 앓고 있다고 한다. 예를 들어, 일부 직원들은 2024년 회사 핵심 전략 및 영업 방향에 대해 작성된 문서를 파워포인트 발표 자료로 만들어 달라고 요청하거나, 잘못된 제품 개발 코딩을 고쳐달라며 프로그램 소스를 챗GPT에 업로드하기도 한다.

이처럼 생성형 AI에서 보안 문제점이 드러나자, 한국인터넷진흥원(KISA)의 사이버 침해예방 사이트인 보호나라에서는 챗GPT 이용 시 지켜야 할 몇 가지 주의사항을 권고했다.

첫째, 민감한 개인정보를 가급적 입력하지 않는다. 챗GPT와 대화할 때는 중요한 비밀번호나 신용카드 번호, 주민번호와 같은 개인정보는 절대 입력하지 않아야 한다. 챗GPT는 기계학습 알고리즘이기 때문에 사용자가 제공하는 개인정보가 모델 학습에 사용될 수 있기 때문이다.

둘째, 업무 기밀은 입력하면 안 된다. 최근 챗GPT 등 AI 기술 업무 활용 증가로 인해 정보 수집 및 데이터 유출 등 보안 우려가 지속해서 제기되고 있다. 직장인의 경우, 재직하는 회사의 외부 반출이 허락되지 않은 자료나 영업 기밀, 대외비 등은 절대 입력하면 안 된다.

셋째, 불확실하거나 거짓된 정보 역시 입력하지 않는 것이 바람직하다. 부적절한 혹은 거짓된 정보를 입력하면 챗GPT가 그럴 듯한 오답을 생성해 허위 정보 제작 및 유포에 악용할 수 있다. 따라서 챗GPT 등 생성형 AI를 사용할 때는 정확한 정보를 제공해야 한다.

최근 여러 민간 기업에서는 챗GPT에 질문할 수 있는 글자 수를 제한하거나 사내 인트라넷에서만 챗GPT를 사용하도록 규제하고, 사내 전용 챗GPT 메뉴를 신설하고 회당 전송 크기를 2KB로 제한하는 등의 정책을 시행하기도 한다. 공공기관에서는 사전에 검토 받는 내용만 챗GPT에 올릴 수 있도록 규정하고 있다.

또한, 요즘 해커들은 챗GPT의 다크웹 버전인 웜GPT(Worm GPT)와 AI 기반 피싱인 사기 GPT로 손쉽게 대량으로 악성코드를 제작해 사이버 공격을 시도하고 있다. 과거의 해커들이 보낸 이메일 문장들은 허술했지만, 이제는 AI를 활용해 문법과 문맥을 넘어 문체까지 완벽한 피싱 메일을 제작함으로써 공격 소요 시간도 과거보다 1/10로 줄었다.

챗GPT 사용 시 부주의로 인한 개인정보 유출이나 중요 정보 외부 유출과 같은 위협이 발생할 우려가 제기되자 부산은행은 챗GPT 사용시 보안 수칙 10계명을 정의하고 공개하기도 했다.

1.     업무 처리 과정에서 수집/처리하는 개인정보와 신용정보는 입력하지 않는다.

2.     의사결정이 완료되지 않거나 공표되지 않은 정보 등의 비공개 정보는 입력하지 않는다.

3.     외부 반출이 허용되지 않는 대외비 등의 중요 정보는 입력하지 않는다.

4.     챗GPT가 생성한 답변을 사실 여부 검증 없이 이용하지 않는다.

5.     챗GPT에서 생성된 답변을 사용할 경우 출처를 표시한다.

6.     챗GPT를 사용해 악의적 목적으로 사람을 현혹하거나 속이는 행위는 하지 않는다.

7.     챗GPT는 개인적인 용도로만 사용해야 하며, 상업적인 목적으로 사용 시 주의한다.

8.     인스타그램, 페이스북 등 SNS 사용 시 개인정보 노출을 최소화한다.

9.     SNS 서비스에 게시하는 모든 자료에 대해 조건부 공개 및 익명화를 생활화한다.

10.  챗GPT 사용 중 발생하는 이슈나 우려 사항은 즉시 보안 담당자에게 신고한다.