직장인 B씨는 챗GPT와 같은 생성형 AI를 업무에 잘 활용한다. 새로운 기획안을 짜거나 보고서를 쓸 때 챗GPT를 통해 아이디어를 얻기도 하고, AI가 생성한 초안을 수정해 완성할 때가 많다. 그 결과 B씨의 업무 효율성이 몇 배 올랐다.

일반적인 관점으로 볼 때 A씨와 B씨는 아주 일을 잘 하는 직장인이다. 최신 기술을 이용해 업무를 더 효율적으로 수행하고 있기 때문이다.

하지만 다른 관점으로 보면 A씨와 B씨는 회사의 내부 정보를 외부에 유출했다. 구글 번역, 챗GPT라는 외부의 서비스에 내부의 문서나 정보를 올렸기 때문이다.

이처럼 현대의 비즈니스 환경에서 직장인들은 효율적인 업무 처리를 위해 기업 외부에 있는 다양한 서비스를 이용한다. 일부 서비스는 회사 IT부서에서 막기도 하지만, 수십만 개에 달하는 서비스를 IT부서가 일일이 검토할 수는 없는 노릇이다.

클라우드 기반 SASE(Security Access Service Edge) 전문기업 넷스코프 남인우 지사장은 이런 쉐도우IT(Shadow IT)의 문제가 심각하다고 지적했다. 쉐도우IT는 IT 부서가 인지하지 못해 관리 밖에 있는 디바이스, 애플리케이션, 서비스 등을 말한다.

남 지사장은 “사용자도 인지하지 못한 채 부지불식간에 벌어지는 정보유출”의 위험성을 지적했다. 번역기나 파일 변환 플랫폼, 생성형 AI 등 사용자도 인지하지 못하는 사이에 민감 정보를 외부로 전송할 수 있는 주요 경로가 많다는 설명이다. 남 지사장은 “기존의 정보유출방지(DLP) 솔루션은 USB, 외장하드, 온프레미스 스토리지 등 제한적인 환경에서의 정보 흐름을 통제하는 데 중점을 뒀다”면서 기존 관점의 솔루션으로는 이런 부지불식간에 벌어지는 정보유출을 막기 힘들다고 지적했다.

기업들은 정보유출 방지를 위해 전통적으로 DLP(Data Loss Prevention, 데이터 유출 방지)라는 기술을 활용해 왔다. 이미 조직 내에는 이메일 등을 통해 전송되는 데이터를 모니터링(네트워크 DLP), PC 등 단말기 내 행동 감시(엔드포인트 DLP), 파일 저장소에서 민감 정보 탐지(스토리지 DLP) 등을 위한 다양한 DLP가 있다.

그는 “AI가 적용된 최신 보안 기술도 중요하지만, 기존 DLP의 핵심 기법들도 여전히 유효하며, 이들 간의 정교한 조합이야말로 현실적인 대응책”이라고 말했다. “보안의 기본기가 살아 있어야 AI가 빛을 발할 수 있다”는 것이 그의 주장이다.

남 지사장에 따르면, 넷스코프는 이러한 관점을 기반으로 엔드포인트부터 클라우드까지 포괄하는 DLP와 DSPM(Data Security Posture Management, 데이터 보안 태세 관리)까지 모두 제공한다. 사용자의 접속 형태 및 환경에 따라 애플리케이션을 분리 제어하는 ‘인스턴스 구분 정책’, 생성형 AI 서비스 내에서의 데이터 흐름을 통제하는 ‘행위 기반 프롬프트 모니터링’, 민감 정보 포함 여부에 따른 자동 경고 및 차단 기능 등을 통해 실시간 유출 방지를 실현하고 있다.

더 자세한 내용은 기사 원문에서 확인해주시기 바랍니다.