이점을 능가하는 공격성을 지닌 기술, 챗GPT의 실체
시사스크랩
기사 제목
“챗GPT 는 시작에 불과… 수면 위로 드러나는 ‘AI챗봇’의 안보 위협”
https://www.itworld.co.kr/news/288853
기사 요약
챗GPT 그리고 AI 챗봇이 그 이점만큼이나 위험성을 내포하고 있다는 것이 속속 드러나고 있다. 전 세계는 AI 챗봇이 초래할 위험을 고려하는 동시에 앞으로 다가올 미래를 걱정하기 시작했다.
최근 영국 국가사이버보안센터(NCSC)는 AI가 국가 안보에 미치는 위협을 경고했다. 곧이어 미국 국가안보국(NSA)의 사이버보안 책임자 롭 조이스도 비슷한 경고를 했다. 여러 국가에서 AI가 야기할 난제와 위협을 심각하게 우려하고 있다. NCSC는 쿼리가 보관된다는 점에서, AI 챗봇과 상호작용한 내용이 챗GPT 같은 AI 챗봇의 기반이 되는 대규모언어모델(LLM)의 일부가 될 수 있다고 지적했다. 이런 쿼리는 사용자의 관심 분야는 물론이고, 더 나아가 해당 사용자가 속한 조직까지 드러낼 수 있다. 조이스는 챗GPT 같은 챗봇이 특히 피싱에서 사용되는 장황하고 어색한 문구를 더 진짜 같고 그럴듯하게 보이도록 개선할 수 있기 때문에 사이버 범죄자의 범죄 능력을 향상시킬 수 있다고 주장했다.
쿼리를 통한 기밀 유출
때마침 삼성전자 반도체 부문에서 챗GPT 사용이 허가된 지 불과 20일 만에 정보 유출 사고가 발생했고, 삼성은 챗GPT 사용으로 기밀 정보가 불특정 다수에게 노출될 수 있다며 주의를 당부했다. 엔지니어들이 소스코드 오류 확인, 불량 설비 파악에 사용되는 코드 최적화, 녹취 전사본을 기반으로 한 회의록 작성을 위해 챗GPT를 사용했고, 이 과정에서 민감한 기업 정보가 사실상 제3자에게 넘겨져 회사의 통제를 벗어났다. 현재 삼성은 챗GPT 기밀 유출을 원천적으로 막기 위해 자체 AI 서비스 개발을 검토 중이다.
CODE42의 CISO 자디 한슨은 이번 삼성 사건을 언급하면서, 챗GPT는 유망한 기술이지만 폭발적으로 사용되면서 잠재적인 위험에 관한 우려가 촉발됐다. 기업에서 직원들이 챗GPT에 데이터를 제공하면 이런 위험은 더욱 커진다고 우려했다. 이에 따라 직원들은 챗GPT에 입력하기 적절한 데이터와 부적절한 데이터를 알아야 하고, 보안팀은 기업이 챗GPT에 전송하는 데이터에 대해 적절한 가시성을 확보해야 한다.
한 마디로, 입력한 정보는 ‘엔터’ 키를 누르는 순간 사라지고, 더 이상 통제할 수 없다. 영업 비밀로 간주되는 정보를 전송했다면 더 이상 비밀이라고 할 수 없다. 전송된 데이터는 이제 오픈 AI의 서버에 저장돼 있기 때문에 회수가 불가능하다. 따라서 삼성의 유출사고처럼, 경쟁이 치열한 반도체 업계에서는 어떤 종류의 데이터 유출도 재앙을 불러올 수 있다. 정부의 기밀 정보에 관한 쿼리가 국가 안보를 어떻게 위험에 빠뜨릴 수 있는지 추론하는 일은 그다지 어렵지 않을 것이다.
핵심 기술 및 비즈니스 소개
쿼리란?
쿼리, 즉 query라는 단어의 뜻은 ‘문의하다, 질문하다’라는 뜻이다. 프로그래밍에서 이러한 문의는 곧 ‘데이터베이스에 정보를 요청하는 일’을 말한다. 쿼리(Query)는 웹 서버에 특정한 정보를 보여달라는 웹 클라이언트 요청(주로 문자열을 기반으로 한 요청)에 의한 처리이다. 쿼리(Query)는 대개 데이터베이스로부터 특정한 주제어나 어귀를 찾기 위해 사용된다. 주제어가 검색엔진의 검색필드 내에 입력된 다음, 그 내용이 웹 서버로 넘겨진다.
간단한 홈페이지를 개발할 경우 대부분의 홈페이지는 게시판 혹은 방명록 정도의 데이터를 보관할 수 있는 형태의 DB를 구축하게 된다. 이러한 DB는 개발자의 의도에 따라 약간씩 다르기는 하지만 대부분 유사한 형태의 구조를 가지는 테이블을 포함하게 되는데, 여기서 사용자 혹은 관리자들은 이러한 테이블에서 특정 조건에 해당하는 자료를 조회하거나 출력하는 등의 작업을 한다. 이렇게 데이터가 입력된 DB에서 원하는 조건의 데이터를 가져오려면 특정한 구조의 프로그램언어(DB언어)를 사용하게 되는데 이러한 DB용 언어를 SQL이라고 한다. 이러한 언어로서 특정 DB에서 원하는 조건의 데이터를 조작하는 언어의 집합(문장)을 쿼리(Query)라고 하며, 이러한 쿼리(Query)는 DB를 조작하는 여러 가지 형태로 표현될 수 있으며 데이터를 다루는 프로그램에서는 필수적인 요소이다.
쿼리란 데이터베이스에 정보를 요청하는 것이다. 쿼리를 하는 데에는 일반적으로 3가지 방법이 있다.
1. 매개변수 제시: DB에서 사용자가 사용할 수 있는 매개변수목록을 제시해 준다. 이미 사용할 목록이 제시되어 있어서 간단하지만 유연성이 떨어지는 방법이기도 하다.
2. QBE: query by example의 약자로 예제를 통해 쿼리를 제시한다는 것이다. 이 방법은 비어있는 record를 보여주고, 사용자가 비어있는 필드값을 채워 query를 정의하도록 한다.
3. Query 언어 사용: 이 방법은 사용자가 언어를 직접 사용하여 요청을 하는 방식이다. 사용자가 언어를 배워야 한다는 어려움이 있지만 유연성이 높다고 할 수 있다.
기사의 시사점 및 본인의 인사이트
챗GPT의 보안문제는 기업 기밀 유출뿐 아니라 정부의 안보 문제로 이어진다. 특히 앞으로 책 GPT를 능가하는 오토 GPT(Auto GPT)가 상용화되면 공격 효율이 훨씬 높아진다. 공격자가 오토 GPT에 작업을 지시하면 목표 달성을 할 때까지 끊임없이 작업을 수행하기 때문이다. 맬웨어가 스스로 작동하게 된다면, 해킹과 같은 사이버 공격이 매우 빠른 시간 안에 빈번하게 진행되어 기밀이 유출되기 쉽다. 특히 챗 GPT는 개인 사용자가 접근하기도 쉽기 때문에 기업 또는 정부 관계자가 기밀을 챗 GPT 혹은 오토 GPT에 제공하지 못하도록 감시하기도 쉽지 않을 것이라고 생각된다.
이러한 보안 문제를 방지하기 위해 군사적 차원의 대응이 필요하고, 법적 규제가 마련되어야 한다. AI 기술 통제에 대한 가이드라인을 통해 보안 위험을 낮추려는 움직임이 시급해 보인다.
함께 생각해 볼 만한 논점
Q1. 챗GPT의 등장으로 글을 직접 작문하거나, 생각을 써 내려가는 등의 활동들이 진정성을 잃고 있다. 대학 수업에서도 당분간 에세이 과제를 내지 않겠다는 교수가 있을 정도로 완벽히 파악되지 못한 챗GPT의 가능성과 한계로 인해 기존의 공부 및 연구 방식이 보류되고 있다. 이런 상황에서 챗GPT의 등장으로 우리의 일상생활은 어떻게 변화하게 될까?
Q2. 챗GPT의 보안 문제를 해결하기 위한 사회/기술적 예방방안에는 어떤 것이 있을까?
