생성형 AI 보안 가이드라인 for 앱개발

2022년 OpenAI에서 공개한 ChatGPT(챗지피티)는 바야흐로 ‘생성형 AI의 시대’를 열었습니다. 이후 메타, 구글, 네이버 등 국내외 대기업에서는 챗지피티와 유사한 서비스를 서둘러 출시했고, 수많은 챗봇은 물론 인공지능 기술을 활용한 앱들이 등장했죠. 아마 이 글을 읽는 분들 중에서도 생성형 AI를 이용하는 어플을 기획한 분들이 있을 텐데요. 여기서 한 가지 주의할 점이 있습니다. 바로 생성형 AI ‘보안’ 문제입니다.

‍

생성형 AI는 기존의 빅데이터를 활용해 답변을 생성합니다. 태생적으로 보안에 취약할 수밖에 없습니다. 요즘은 어플을 개발하면서, 특히 어플 개발 업체에서 일부 작업에 생성형 AI 활용도가 높아지고 있습니다. 대부분 ‘편리함’이라는 이유로 AI를 쓰지만, 구체적으로 어떻게 활용해야 완전한지 그 ‘보안상 가이드라인’까지 제대로 알고 있는 이해하는 분들은 많지 않죠.

‍

✍️ 이 글의 순서

• 생성형 AI의 대표적인 보안 문제 4가지
• 생성형 AI 보안 가이드라인
• 사소한 부분까지 꼼꼼하게 ‘위시켓’

‍

생생생성형 AI 대표적인 보안 문제 4가지

생성형 AI의 작동 원리를 알면 왜 생성형 AI가 보안에 취약한지 그 이유를 이해할 수 있습니다. 생성형 AI의 대표 주자, ChatGPT(Generative Pre-trained Transformer)는 그 이름 자체로 어떻게 구동되는지 원리를 알려주고 있는데요. 바로 도서, 웹 문서 등에서 수집한 방대한(Generative) 텍스트 데이터베이스를 기반으로 학습한(Pre-trained) 언어의 통계적 패턴을 모방하여 문장을 생성(Transformer)하는 체계입니다. 이런 기반에서 생길 수 있는 보안 위협 요소는 크게 4가지로 나눌 수 있죠.

‍

1. 잘못된 정보 제공

• 편향
• 최신 데이터 학습 부족
• 환각(illumination)

‍

2. AI 모델 악용

• 적대적인 시스템 메시지(가짜뉴스 생성, 피싱, 보안 위협 코드)

‍

3. 데이터 유출

• 훈련 데이터, 기밀 유출
• 대화 기록 유출
• 대화 과정에서 개인정보 작성

‍

4. 플러그인, 확장 프로그램, API 취약점

• 취약점 있는 플러그인/프로그램과 연결
• 서비스 제공 업체의 미흡한 보안 조치
• API 키 탈취 등 시스템 공격
• 악의적 프롬프트 주입

‍

잘못된 정보를 제공하거나 일부러 AI 모델을 악용하는 것은 어플의 서비스 신뢰도에 큰 영향을 미칩니다. 또 데이터 유출이나 각종 취약점은 고객에게 크나큰 피해를 입힐 수 있습니다. 결과적으로 어플 개발 업체가 생성형 AI를 이용해 어플, 서비스를 개발한다면 반드시 나름의 보안 가이드라인, 최소한 기준은 세워 개발 업체에 제공해야 합니다.

‍

‍

생성형 AI 보안 가이드라인

1. 생성형 AI 사용 ‘일반’ 주의사항

서비스 사용 주의사항은 ‘접근’과 ‘계정관리’로 나눌 수 있습니다. 서비스에 접근할 때는 반드시 공식 사이트를 이용해야 하며, 암호화된 Wi-Fi 등 안전한 네트워크 환경을 확보하고 웹 브라우저 보안도 체크합니다. 또한 서비스를 사용하기 전에 계정 보안을 강화해야 하는데요. 강력한 비밀번호를 설정하게 하고, 이메일과 이중 인증 설정을 통해 인증을 강화합니다.

‍

2. 생성형 AI ‘사용 시’ 주의사항

서비스와 대화를 나눌 때에도 ‘답변 검증’을 꼭 거치는 습관이 필요합니다. 생성형 AI는 정확한 정보를 제공한다고 보장할 수 없습니다. 반드시 다양한 출처 참조로 답변의 정확성을 검증하고, 가능한 한 공식 문서와 정책, 그리고 최신 데이터를 병행 확인하도록 하세요.

‍

결과물에 대해 지속적으로 검토도 중요합니다. 특히 생성형 AI는 프롬프트를 통하여 사용자 정의 필터링이 가능하기 때문에 이를 활용하도록 합니다. 여기에 더해 사용자 신고 기능을 활성화하고, 꼭 지켜야 할 법률과 규정도 숙지하도록 합니다.

‍

가장 민감한 부분인 ‘데이터’는 특별히 신경 써야 합니다. 데이터 제어 설정을 통해 채팅 기록과 모델 학습을 비활성화하고, 개인정보나 민감 정보, 인증 정보를 입력하지 않도록 합니다.

‍

‍

3. AI 모델 ‘플러그인, 확장 프로그램’ 사용 주의사항

먼저, 신뢰할 수 있는 공식 출처에서만 다운로드하는 게 핵심입니다. 출처의 신뢰성을 반드시 확인해야 합니다. 플러그인이 요구하는 권한도 꼼꼼히 검토하고, 불필요한 권한은 제한하세요. 개인정보 보호를 위해 플러그인이 수집하는 데이터와 그 사용 방식을 명확히 이해해야 합니다. 이때 민감한 정보는 가능한 입력하지 않으며, 데이터 암호화 여부도 확인해야 합니다. 나아가 정기적인 업데이트는 취약한 보안을 강화하는 데 도움이 되고, 사용하지 않는 플러그인은 즉시 제거하는 것이 좋습니다.

‍

구분	핵심 내용	가이드라인
일반 가이드라인	접근	• 서비스 공식 사이트 접속 • 안전한 네트워크 환경 확보 • 최신 웹 브라우저 사용, 정기적 업데이트
일반 가이드라인	계정관리	• 강력한 비밀번호 설정 • 이메일, 이중 인증 등 계정 인증 강화
2. 대화 가이드라인	답변 검증	• 인터넷 검색, 전문가 의견 등 다양한 출처 참조 • 공식 문서 및 정책 참조 • 최신 데이터 확인
	유해성 회피	• 결과물 검토 • 사용자 정의 필터, 사용자 필터링 설정 • 사용자 신고 기능 활용 • 법률 및 규정, 지적재산권 숙지
	데이터 처리	• 채팅 기록 및 모델 학습 비활성화 • 개인정보, 민감 정보, 금융 정보, 인증 정보 등 입력 금지 • 보안 관련 질문 시 답변 자제
	데이터 관리	• 데이터 보관 및 삭제 정책 준수 • 데이터 보안 메커니즘 사용 • 데이터 백업, 복원 방안 마련 • 데이터 사용/이동에 대한 로그 기록 및 감사 추적 기능 제공 • 데이터 유출 등 침해 사고 발생 시 대응 방안 수립
3. 플러그인, 확장 프로그램	플러그인	• 신뢰 가능한 플러그인 설치 • 제공 업체 신뢰성 확인 및 업데이트 확인 • 권한 확인 및 부적절한 권한 거부
	확장 프로그램	• 믿을 수 있는 출처에서 확장 프로그램 설치 • 제공 업체 신뢰성 확인 및 업데이트 확인 • 권한 확인 및 부적절한 권한 거부 • 보안 소프트웨어와 함께 사용
	데이터 공유	• 데이터 처리 방식 확인 • 데이터 접근 권한 제한 • 개인정보 보호 조치 및 처리 방침 준수

‍

사소한 부분까지 꼼꼼하게 ‘위시켓’

위 지침은 지난 해 국가정보원 산하의 ‘국가기술보호연구소’에서 발간한 ‘챗GPT 등 생성형 AI 활용 보안 가이드라인’에 기초해 작성되었습니다. 모든 어플 개발 업체가 이런 보안 준수사항을 알아서 찾아보고 실무에 적용하는 건 아닙니다. 그래서 클라이언트도 우리 어플이 어떤 방식으로 어떻게 개발되는지 관심을 가지고 직간접적으로 관여할 필요가 있죠.

‍

만약 전문성, 경험이 많지 않아 직접적인 관리와 소통이 부담스럽다면 어플 개발 프로젝트를 위시켓으로 진행하시는 방법을 권장드립니다. 위시켓에서는 모든 프로젝트에 1:1로 전담 매니저가 배정되어 클라이언트에게 부족한 점을 채워 드리고 있습니다. 또 국내 거의 모든 개발사와 연결되어 있어, 일일이 업체를 찾고 비교하는 수고를 심플하게 덜어 드립니다.

‍

지금 위시켓에서 안전한 AI 도입을 시작해 보세요!

‍