블로그 | CTO 사무실

퍼블릭 클라우드의 교훈을 바탕으로 AI를 허용하고 채택할 것인가

샘 비스비 썸네일
샘 비스비
2023년 4월 6일 게시

경쟁사보다 데이터를 더 잘 운용할 수 있는 능력은 기업에 있어서 승리의 이점으로 입증되었으므로, ChatGPT와 생성적 AI에 대한 끊임없는 논의가 "발사 준비 완료" 제품 출시와 초기 스타트업에 대한 자금 지원의 물결로 빠르게 확산되고 있습니다. 이러한 역량은 안전하고, 정확하고, 객관성을 가지고 작동하고 확장된다면, 몇 배나 큰 진전이 될 것입니다. 지금은 퍼블릭 클라우드의 초기 단계인 듯합니다. 과대광고와 기술적 이점 측면에서 모두 그렇지만, 이번에는 도약이 훨씬 더 크기 때문에 더 어려울 것입니다.

Amazon Web Services(AWS)는 2004년에 SQS를 출시했고, 이어 2006년에 S3와 EC2를 출시했습니다. 이것을 퍼블릭 클라우드 타임라인의 시작이나 널리 사용 가능해진 시점으로 받아들인다면, 지금까지 퍼블릭 클라우드를 도입하지 않은 기업은 20년 분의 기회 비용을 수용했다는 뜻이 됩니다. 2006년에는 퍼블릭 클라우드가 규제된 기업에겐 너무 위험했을 것입니다. 하지만 2016년이나 2026년에는 어떨까요? 우리는 금융 기관, 정부 및 기타 전통적으로 위험을 회피하는 조직이 일부 또는 모든 애플리케이션과 데이터에 퍼블릭 클라우드를 도입하는 것을 보았습니다. 데이터를 운영화하고 기반 기술을 동시에 확장하는 방법을 배우는 등의 이점이 너무 커서 아직 도입을 시작하지 않은 사람은 양도한 이점을 되찾기에는 너무 늦었을 수 있습니다. 

퍼블릭 클라우드와 달리 기업이 경쟁력을 유지하려면 AI와 같은 기능을 평가하고 도입할 시간이 수십 년이 주어지지 않습니다. AI 타임라인이 ChatGPT에서 시작되지 않기 때문에 이는 기업의 우려 사항입니다. 우주는 너무 빨리 움직이고 있으며, 그 기능은 단기적으로 대체 기술을 통해 얻을 수 있는 것보다 몇 배나 더 진보된 것으로 보입니다. ChatGPT와 같은 친숙한 사용자 인터페이스를 갖춘 대화형 AI는 퍼블릭 클라우드에서 그랬고 지금도 그렇듯이 전문 지식이 필요 없이 더 다양한 그룹의 사람들에게 더 빠르게 채택될 수 있게 했습니다. 새로 이 기술을 도입한 사람들은 이를 혁신적이라고 믿는 반면, 이미 이 분야에 뛰어든 사람들은 다른 발전을 지적하며 왜 이렇게 많은 사람이 갑자기 이 기술을 주목하는지 의아해합니다.

경쟁자보다 먼저 도입한 기업은 기술이 성공하면 압도적인 이점을 얻게 되고, 도입 초기에 실수를 했을 때는(실수할 경우가 아님) 관대한 처분을 받게 됩니다. "이 분야는 아직 진화의 초기 단계에 있으며 우리 모두가 배우고 있지만 <ACME>에서 우리는 이 흥미진진하고 경쟁적인 분야에서 선두 주자 역할을 계속하고 있습니다..." 생성 AI가 보도 자료를 작성할 가능성이 높고 시장은 많은 소비자 안전 및 데이터 침해 헤드라인과 같이 우리가 익숙해진 다음 반복을 보상하면서 연기가 자욱한 분화구를 금세 잊을 것입니다.

퍼블릭 클라우드와 마찬가지로 법률, IT, 보안 및 규정 준수와 관련된 우려와 관계없이 도입이 이루어질 것입니다. 선두 주자의 경우 AI를 직접 도입하여 프로세스와 제품에 AI를 내장하게 됩니다. 이는 "기다려보자"는 기업에 대한 간접적 채택을 촉진할 것입니다. 이들은 알고 있든 모르든 AI가 내장된 소프트웨어나 SaaS를 사용하게 될 것이기 때문입니다. 즉, 아직 데이터가 시스템에 입력되지 않았다면 데이터가 시스템에 입력될 것입니다. 기술 회사가 위험을 신속하게 수용하고 배포 후 결과를 평가하는 것처럼 이러한 위험 중 일부는 명확할 것입니다. 그러나 보안 프로그램이 관리하기 어려운 위험은 금융 및 보험에서 이미 본 것과 같은 수위 아래의 AI 응용 프로그램이 될 것입니다. 침해 분석에서 제3자 위험 관리가 수위선 아래의 다운스트림 데이터 사용 및 하위 서비스 제공업체를 적절히 조사하지 못한다는 증거가 지속적으로 확인되고 있습니다. 특히 GDPR 및 HIPAA와 같은 규정의 범위에 속하지 않는 규제가 덜한 데이터 분류의 경우 더욱 그렇습니다. 따라서 보안 프로그램에서도 공급업체 공급망에서 AI가 사용된다는 사실을 알지 못하거나 이해하지 못할 가능성이 큽니다.

ChatGPT가 그 사용성과 성능으로 주목을 받고 있다는 점을 고려하면 직원이 회사의 독점 정보나 기밀 정보를 ChatGPT로 보냈을 확률은 100%에 가깝습니다. 축하합니다. 직원들에게 그렇게 하지 말라고 했더라도 여러분의 회사는 생성적 AI를 도입했습니다 . 이런 느낌은 익숙할 겁니다. 엔지니어링 팀의 누군가가 팀의 신규 애플리케이션을 퍼블릭 클라우드에 배포하기 위해 신용카드를 긁고 회사로부터 제품 출시 기간 단축, 혁신적인 접근 방식, 최첨단 기술 도입에 대한 보상을 받은 것을 본 순간 느꼈을 감정과 비슷하기 때문입니다. 오늘날 대부분 환경에서 기술 팀에 퍼블릭 클라우드를 사용하지 말라고 요청하는 것은 직원에게 일상 업무에서 Google 검색을 사용하지 말라고 요청하는 것과 마찬가지입니다.

보안 부서는 도입에 앞서 나가야 하며, 해당 분야의 전문 지식을 활용하여 타사와 규제 기관이 자체 접근 방식을 규정하기 전에 위험에 적합한 투자 이론, 성숙 모델 및 로드맵을 개발할 수 있도록 도와 위험에 적합한 경로로 도입을 안내해야 합니다. NIST의 인공지능 위험 관리 프레임워크(AI RMF 1.0) 에 대해 자세히 알아보고 현재 관행에 대한 갭 분석을 수행하기 전에 보안 팀이 내부적으로 그리고 동료와 함께 탐색해야 할 몇 가지 시작 대화 예시를 소개합니다.

  1. 약속된 가치 중 얼마가 실현 가능한지, 실현 불가능한지, 실현 불가능한지는 어떻게 판단할 수 있을까? 실험에 투자하기 전에, 제품 개발이나 더 큰 규모의 투자에 투자하기 전에 어떤 특성을 살펴봐야 할까요?
  2. 우리보다 경쟁사가 먼저 도입할 가능성은 얼마나 될까? 그들이 성공한다면, 후속 채택이 우리가 격차를 메울 수 있는 유일한 방법일까요, 아니면 그들은 극복할 수 없는 이점을 얻게 될까요?
  3. 이 결정은 일방통행인가, 양방향인가? 입양과 관련된 알려진 위험이 있나요? 우리가 새로운 위험을 받아들이고 발견한다면 물질적 영향은 어떻게 될까요?
  4. 우리는 어느 정도까지 이 기술을 내부적으로 소유하고, 데이터와 시스템을 긍정적으로 제어할 수 있을까? 우리는 필요한 인재를 가지고 있는가? 아니면 합리적으로 확보할 수 있는가? 이 기술을 위해 제3자 서비스 제공업체를 이용하는 것이 더 안전한가요?

이러한 질문 중 어느 것도 ChatGPT나 AI를 언급하지 않습니다. 이는 일반적으로 모든 위험 기반 보안 프로그램이 도입에 앞서 초기 기술을 평가하기 위한 합리적인 대화의 시작점입니다. BYOD(Bring Your Own Device), 퍼블릭 클라우드, 컨테이너, 머신 러닝 또는 결국 AI이든 상관없습니다. 이는 많은 팀이 퍼블릭 클라우드에 취한 접근 방식이 아니었고, 조직에서 직간접적으로 얼마나 많이 사용되는지 깨달았을 때 그들은 멍하니 서서 알지 못했습니다. 위협 행위자들은 대부분 소비자보다 더 빠르게 퍼블릭 클라우드의 속성을 배우고 악용하면서 적응하는 데 주저하지 않았습니다. 모든 기술은 이중 용도입니다.

기술의 방향과 도입을 예측하는 것은 어렵거나 불가능하지만, 기술이 계속해서 가속화될 것이라는 것은 예측할 수 있습니다 . 현재 또는 가까운 미래의 AI가 벽에 부딪혀 더 이상 발전하지 않거나, AI가 더 큰 기술적 규모에서 또는 비용상의 이유로 실행 불가능하다고 판명되면, AI는 이미 기업에서 사용 가능하고 투자 가능한 상태에 도달하게 됩니다. AI가 난관에 부딪히지 않는다면 AI는 예상되는 투자가 될 가능성이 높고, 데이터, 제품, 사업과 상호작용하는 수단이 될 것입니다. 이는 이미 영업, 마케팅, 의료, 금융 분야에서 일어난 일과 유사합니다. 따라서 보안팀이 이 기술에 대응하기 위해 데이터 보안 및 타사 위험 관리 관행을 어떻게 발전시킬지 고민해야 하는 것은 미래의 현실이 아니라 현재의 현실입니다. 그들은 이미 확대되고 있는 클라우드 도입을 따라잡고 앞서 나가야 하며, 그렇지 않으면 클라우드 보안을 앞지르는 퍼블릭 클라우드 경쟁을 다시 겪게 될 것입니다.