글로벌 사이버 보안 리더 66%, “생성형 AI 위험관리 변화 필요”

글로벌 기업 사이버 보안 리더 10명 중 약 7명이 기업 내 생성형 인공지능(AI) 관련 사이버 보안 등 위험관리에 변화가 필요하다고 생각하는 것으로 나타났다.

가트너가 최근 북미·유럽·중동·아프리카·아시아태평양 지역 글로벌 기업 사이버 보안 리더 302명을 대상으로 진행한 '사이버 보안 혁신을 위한 AI 위험관리와 활용' 설문조사 결과다.

응답자의 66%는 조직 내 공개 생성형 AI 툴(도구)와 관련된 사이버 보안 위험을 관리하기 위해 상당한 변화, 포괄적 변경이 필요하다고 생각하는 것으로 조사됐다. AI 기술·서비스 발전과 고도화에 따라 위험 관리를 강화해야 한다는 취지다.

기존 방화벽, 웹 프록시, 엔드포인트 탐지·대응 솔루션(EDR) 같은 사이버 보안 방식이 고위험 AI 애플리케이션을 차단하는 기본 역할은 하지만 특정 AI 위협이나 통제에 최적화돼 있지 않다는 의미다.

또 복잡하고 분산된 AI 애플리케이션 특성상 단일 보안 솔루션, 특정 기업 솔루션만으로 AI 사용을 완전히 감지하고 통제하기 어렵다는 데 주목했다.

가트너는 기업 내 AI 기술과 서비스를 급격히 도입함에 따라 통제 부족 현상이 일어나고 있다고 진단했다. 조직 내 승인된 AI 사용뿐만 아니라 직원 개별 계정 등 비공식적 사용을 통해 서드파티 AI 애플리케이션과 서비스 도입이 빠르게 이뤄지고 조직의 모니터링·관리 역량을 넘어서고 있다고 지적했다. AI 도입 속도가 통제 역량을 앞지르며 데이터 유출 위험이 주요 문제로 부상하고 있다고 판단했다.

가트너는 기업 내 AI 사용 통제에 앞서 조직의 위험 허용 범위를 정하고 외부 기업의 AI 기술·서비스 등 사용 범위를 포함한 기업 내 AI 거버넌스 전략 수립을 제안했다. 임직원 대상 위험성이 높은 AI 애플리케이션을 차단하고 보안 교육 필요성도 강조했다.

'AI 사용 제어(UC)' 솔루션 활용을 대안으로 제시했다. AI UC는 기업 내 관리·허용되지 않는 다른 기업의 AI 서비스 활용을 발견하고 조직의 보안 정책을 시행하는 솔루션이다. 위험 평가를 자동화하고 안전한 AI 도입과 실험을 촉진하며 민감 데이터를 보호할 수 있다.

존 왓츠 가트너 VP 애널리스트는 “AI UC는 네트워크 또는 엔드포인트 수준에서 AI 애플리케이션 사용을 발견하고 자체 거버넌스를 준수하는지 확인한다”며 “비정상적인 활용 등 이상탐지와 민감 데이터 검사와 보호를 지원할 수 있다”고 설명했다. 기업 내 안전한 AI 활용에 최적화된 서비스라는 의미다.

가트너는 현재 예산 등 이유로 10% 미만의 기업만 AI UC를 사용하지만, 기업 내 높은 AI 보안 수요 등으로 향후 채택률이 빠르게 증가할 것으로 예상했다.

박종진 기자 truth@etnews.com