HR 업무 AI 활용과 보안 위협
들어가며
본격적인 AI 시대가 도래함에 따라 각 조직은 경쟁력 강화를 위해 AI 전략을 빠르게 수립하고 있다. 딜로이트의 세계 경영진 대상 설문 결과에 따르면, 2025년까지 AI가 노동 생산성을 37% 향상시킬 것이며, 향후 2~4년간 기술이 더욱 큰 성과를 낼 수 있을 것으로 예상된다(데이터넷, 2024). 그러나 이러한 긍정적인 기대와 함께 AI 활용으로 인한 문제 발생 가능성도 공존한다. 대표적으로, 적절한 해결책 없이 AI를 과도하게 도입할 경우 보안 위협 및 개인정보 유출 등의 문제가 발생할 수 있다. 이러한 부작용을 예방하기 위해 각 조직은 AI 보안 위협과 개인정보 유출 가능성을 인지하고, 이를 방지하기 위해 지속적으로 노력해야 한다.
1. 개인정보 유출 위험성 증가
HR에 AI 도입이 확산되면서 가장 우려되는 부분은 조직구성원 개인정보 유출 가능성이 높아진다는 점이다. AI 시스템은 학습과 예측을 위해 방대한 양의 데이터를 필요로 하는데, 여기에는 인사정보, 경력, 평가, 건강정보 등 개인의 민감한 정보가 포함될 수 있다. 만약 이러한 정보가 외부로 유출된다면, 심각한 프라이버시 침해 사고로 이어질 수 있다. 실제로 2015년 미국 연방인사관리처(OPM) 전산망 해킹 사건으로 인해 미국 연방정부 공무원과 시민 2,150만 명의 개인 신상정보가 유출된 바 있다(조철환, 2015).
HR 업무에서 다루는 직원들의 개인정보는 그 민감성으로 인해 해커들의 주요 표적이 될 수 있다. 최근에는 랜섬웨어 공격을 통해 중요 데이터를 암호화한 뒤 금전을 요구하는 사례도 빈번히 발생하고 있다. 따라서 HR 담당자는 AI 시스템에 입력되는 직원 정보를 안전하게 관리하고, 수집된 정보의 활용 범위를 최소화하며, 엄격한 접근 통제와 암호화 등의 보안 조치를 취해야 한다. 아울러 직원들에게 개인정보 제공에 대한 충분한 고지를 하고 동의를 받는 절차도 반드시 이행되어야 한다.
2. AI 알고리즘 및 데이터 해킹 위험 증가
HR 업무에 AI를 활용하면 AI 알고리즘의 취약점을 노린 해킹 공격이 증가할 수 있다. '적대적 공격(Adversarial Attack)'이라고 불리는 이 기법은 입력 데이터를 조작하여 AI를 교란시키거나 오작동을 유도한다. 해커는 AI 시스템 알고리즘을 조작하여 시스템이 잘못된 결정을 내리도록 만들 수 있다(LG CNS, 2020). 예를 들어, 채용 과정에서 AI가 사용하는 알고리즘을 조작하여 특정 후보자를 선호하게 하거나, 평가 AI가 특정 피평가자에게 유리한 방향으로 점수를 조작하는 것이 가능하다. HR 업무에서 AI가 해킹에 노출될 경우 조직 내 인사의 공정성과 신뢰도가 심각하게 훼손될 수 있다.
AI 알고리즘은 데이터에 매우 민감한 특성이 있다. 따라서 편향되거나 조작된 데이터가 학습에 사용될 경우, 편파적이고 부정확한 결과를 초래할 수 있다. 최근에는 생성적 적대 신경망(GAN)을 활용하여 이력서나 증명사진과 같은 가짜 데이터를 생성하는 사례도 발견되고 있다. 채용 과정에서 이러한 가짜 데이터가 유입되면 AI 시스템은 잘못된 판단을 내리게 된다. 이를 방지하기 위해서는 입력 데이터에 대한 검증 절차를 강화하고, AI 모델 개발 시 다양한 보안 취약점 테스트를 수행해야 한다. 또한 지속적으로 데이터와 알고리즘을 모니터링하여 이상 징후를 조기에 발견하고 신속하게 대응할 수 있어야 한다.
3. 안전한 AI 활용을 위한 보안정책 방향
HR 업무에서 AI를 활용할 때 보안 위협에 효과적으로 대응하기 위해서는 포괄적인 정보보안 정책과 거버넌스 체계 구축이 무엇보다 중요하다. 이를 위해 HR 업무에서 AI를 다루는 모든 관계자가 지켜야 할 행동 강령과 절차를 명확히 문서화하고, 관련 내용을 철저히 준수할 수 있도록 해야 한다. 아울러 AI 시스템을 활용할 때 ISMS(Information Security Management System) 등 체계적인 보안관리 체계를 수립하고 관리할 전담 조직과 인력을 갖추는 것도 필수적이다.
정보 보안을 위해서는 기술적, 관리적, 물리적 측면에서 다각도로 접근해야 한다. 기술적으로는 시스템 접근 권한 제어, 데이터 암호화를 통한 안전한 저장, 바이러스 보안 등을 위해 다양한 보안 솔루션을 도입하고, 지속적인 보안 위협 모니터링과 대응 체계를 갖추어야 한다. 관리적 측면에서는 정보 보안 정책 수립, 임직원 대상 정보보호 교육 실시, 정보보호에 대한 감사 및 위반 시 징계 등을 통해 보안 의식을 제고해야 한다. 물리적으로는 보안 구역 설정, 출입 통제, 문서 및 저장매체 관리 강화 등을 통해 정보 유출을 사전에 차단해야 한다(정구헌. 정승렬, 2011).
이와 더불어 AI 활용 과정에서 수집, 저장, 처리되는 개인정보 보호를 위한 대책 마련도 필수적이다. 특히 HR 영역은 개인정보와 성과평가 기록 등 민감한 정보를 다루는 경우가 많아 각별한 주의가 요구된다. 사이버 공격으로부터 이러한 정보를 안전하게 보호하기 위해서는 개인정보 처리에 관한 법률과 규정을 철저히 준수하고, 정보 주체의 동의를 얻어 개인정보를 수집 및 활용해야 한다(한국경제, 2024). 아울러 암호화, 비식별화 등의 기술적 보호조치를 통해 개인정보 유출 및 오남용 위험을 최소화하는 것도 중요하다. 나아가 AI 개발과 활용 전반에 걸쳐 프라이버시 보호, 차별 금지, 투명성 확보 등 윤리적 원칙을 담은 AI 윤리 가이드라인을 수립하고 실천해 나가야 할 것이다.
나가며
AI 기술이 HR 업무에 빠르게 도입되면서 효율성과 생산성 향상이 기대되는 한편, 앞서 살펴본바와 같이 보안 위협과 개인정보 유출 위험성도 높아지고 있다. HR 담당자는 이러한 위험 요인을 사전에 인지하고 철저한 보안 대책을 수립해야 한다. 포괄적인 정보보안 정책과 거버넌스 체계를 구축하고, 기술적, 관리적, 물리적 측면에서 다각도로 접근하여 정보 유출과 오남용을 방지해야 한다. 아울러 AI 활용 과정에서 개인정보 보호를 위한 법적, 윤리적 기준을 준수하고, 인간 중심의 가치와 윤리 원칙을 토대로 신뢰할 수 있는 AI 시스템을 구축하여 안전하게 활용할 수 있는 방안을 모색해야 할 것이다. 이러한 노력을 통해 AI를 조직과 구성원의 성장과 발전을 이끄는 긍정적인 변화의 동력으로 만들 수 있을 것이다.
"향후 이 글을 수정, 보완하여 단행본 원고로 활용할 예정입니다. 따라서 이 글은 무단 전재 및 복제, 재배포가 불가합니다. 이점 양해해 주시기 바랍니다. 감사합니다"
Reference
조철환. (2015). “美 OPM 해킹으로 2150만명 정보 유출”. 한국일보 기사.https://www.hankookilbo.com/News/Read/201507101595293580
김선애. (2024). “빨라지는 AI중심 시대...높아지는 보안위협”. 데이터넷 기사. https://www.datanet.co.kr/news/articleView.html?idxno=190291
김도원. 김성훈. 이재광. 박정훈. 김병재. 정태인. 최은아 (2023). “ChatGPT(챗GPT) 보안 위협과 시사점”. KISA INSIGHT DGITAL & SECURITY POLICY Vol. 3
LG CNS 보안컨설팅팀. (2020). “머신러닝 보안 취약점! 적대적 공격의 4가지 유형”. LGC NS 블로그. https://www.lgcns.com/blog/cns-tech/ai-data/9616/
석대건. (2021). “‘제가 왜 2등급이죠?’...확산되는 AI 인사 관리 ‘설명가능한 AI’ 필요성 커져”. tech42 인사이트 42. https://www.tech42.co.kr/%EC%A0%9C%EA%B0%80-%EC%99%9C-2%EB%93%B1%EA%B8%89%EC%9D%B4%EC%A3%A0-%ED%99%95%EC%82%B0%EB%90%98%EB%8A%94-ai-%EC%9D%B8%EC%82%AC-%EA%B4%80%EB%A6%AC-%EC%84%A4%EB%AA%85%EA%B0%80%EB%8A%A5%ED%95%9C/
정구헌.정승렬(2011). “정보보호 통제활동이 조직유효성에 미치는 영향 : 정보활용의 조절효과를 중심으로”. 지능정보연구. 17(1). pp.71~pp.90.
백승현.(2024).“채용·성과관리·교육… HR이 AI를 만났을 때”. 한경 CHO Insight. https://www.hankyung.com/article/202402269602i
