[Daily IT News] AI거버넌스/규제, 2023보안트렌드

신기술이 나오게 되면 우리는 항상 무분별한 사용 때문에 거버넌스라는 것을 만들고, 규제라는 것을 만들고 윤리라는 것들을 만들고 있습니다. 그렇지만 이러한 제도적인 툴 역시 완벽하지 않기 때문에 시간이 지나면서 점점 바뀌고 있는 것 같은데요, AI 의 확산과 거버넌스, 규제에 대해서 한 번 생각해 볼 시기가 아닌가 하는 생각입니다.

금일(2022.12.16. 금) 신문리뷰 입니다

---

● 전자신문

구분	헤드라인	설명
(AI) AI 기본	AI에 대한 올바른 접근법	새로운 기술은 사람과 기존 비즈니스에 영향을 미칠 뿐만 아니라 남용되고 오용될 가능성이 있다. 따라서 새로운 규제가 도입되기도 하고, 관련 규제 기관과 프레임워크 자체가 새롭게 만들어지기도 한다. 인공지능(AI)은 최신 기술 가운데에서도 잠재력이 무한하며, 이에 대한 거버넌스와 규제는 여러 논의의 중심에 있다. AI의 모든 긍정적 가능성에는 컴퓨터, 클라우드, BYOD 같은 이전 엔터프라이즈 기술과는 다른 유형의 위험이 수반된다. 클라우드에는 주로 개인 정보 보호와 보안 우려가 존재했다. AI는 사람의 인지적 추론이 필요한 영역에서 인간 전문가와 동등한 작업을 수행하는 솔루션을 개발하는 데 사용된다. 이 때문에 이전 기술과는 다른 차원의 새로운 우려가 제기된다. 의료 분야에서 AI 비서가 12개월 이내 사망을 예측한다면 이를 어떻게 처리할 것인가. 자율주행차의 안전성이 인간을 넘어선다면 사회는 이를 어떻게 다룰 것인가. AI가 사람의 일을 대체하면서 정말 새로운 직업이 대거 등장할 것인가. 이 때문에 AI 거버넌스가 비즈니스 관건이 돼야 한다. 주니퍼 네트웍스가 AI와 머신러닝(ML) 분야 리더 대상으로 실시한 조사에 따르면 AI 도입이 증가하고 있는 상황에서 응답자의 63%가 계획된 AI 도입 목표를 '거의' 달성했다고 답했다. 반면에 성숙한 AI 거버넌스 체계를 수립했다고 답한 기업은 9%에 불과했다. 완전히 새로운 기술을 위해 새로운 규제를 만들고 새로운 거버넌스 프레임워크를 설정하거나 기존 프레임워크를 활용하려면 시간, 인력, 자본이 필요하다. 그럼에도 오늘날 기업이 튼튼한 AI 거버넌스 구조를 만들기 위해 얼마를 지출하든 그 투자는 결과적인 이점에 비하면 사소한 수준이 될 수밖에 없다. 매킨지(McKinsey)의 최근 연구 결과에서도 79%의 기업이 AI로 인해 10% 이상 비용 절감을 경험한 것으로 나타났다. 많은 AI 리더는 정부 규제에 앞서 나가기 위해서도 AI 거버넌스가 필요하다는 데 동의했다. 유럽연합(EU)은 유럽에서 AI 관련 규정을 빠르게 강화했다. 개인정보보호규정(GDPR)을 통해 최초 AI 법률 가운데 일부를 시행하고 있다. 2023년 의결 예정인 EU AI 법 초안은 위험도를 기준으로 AI 애플리케이션을 분류한 다음 해당 범주에 따라 엄격한 준수 기준을 적용한다. 비단 유럽 기업에만 해당하는 사안이 아니다. 법은 EU에서 사업하는 기업 모두에 적용된다. 미국에서는 조 바이든 행정부에서 AI 규제 강화가 이뤄지고 있다. FDA와 연방거래위원회 같은 정부 기관이 AI 차별, 사기, 데이터 오용에 관한 규정 마련을 시작했다. AI 거버넌스는 보안 및 규제 준수를 위한 것만이 아니다. AI 거버넌스는 또한 기업이 기술을 효과적으로 활용할 수 있도록 해 준다. 성공적인 AI 전략의 확실한 이점 가운데 하나는 직원이 비전략적 업무에서 해방돼 진짜 중요한 작업, 하기를 원하는 작업에 더 집중할 수 있도록 만들어 준다는 점이다. 주니퍼 네트웍스 설문조사에 참여한 거의 모든 응답자(97%)가 운영 업무 일부를 AI로 대체한 이후 직원 만족도가 상승했다고 답했다. 노동 시장 경쟁이 갈수록 심화하고 세계적으로 '대퇴직시대'라는 신조어가 유행인 상황에서 최고 직원을 놓치지 않는 것은 무엇보다 중요하다. 그리고 IT와 AI가 여기에 중요한 역할을 할 수 있다. 거버넌스는 기업에서 AI 이점을 한 방에 실현할 수 있는 만병통치약이 아니다. 하지만 성공적인 AI 활용으로 나아가는 과정에서 발생할 문제를 최소화하기 위해서는 올바른 거버넌스가 필수다. IT팀은 이러한 AI 거버넌스를 담당함으로써 회사에서 훨씬 더 전략적인 위치에 설 수 있다. 경영진과 일반 부서가 AI 거버넌스와 리스크 완화 전략에 익숙해지면 AI 기술에 대한 망설임을 버리고 AI 가치를 제대로 실현할 수 있게 될 것이다.

 

● 보안 뉴스

구분	헤드라인	설명
(SE) 2023년 보안 트렌드	머신러닝 알고리즘도 멀웨어 담는 그릇으로 활용 가능하다	다가오는 새해에 전 세계 기업 리더들이 꼭 챙겨야 할 보안으로 △사이버 회복력(Cyber Resilience) △스피어 피싱(Spear Phishing)과 소셜 엔지니어링(Social Engineering) 공격 △소프트웨어 공급망 불안정성 △의존도 높은 클라우드 벤더의 취약점 등이 주목받고 있다. 마이클 아담스(Michael Adams) 줌 비디오 커뮤니케이션즈(이하 줌) 정보보호최고책임자(CISO)는 내년도 기업 리더들이 주목해야 할 주요 보안 전망 4가지를 공유했다. 먼저, 전 세계 보안 리더들은 ‘사이버 회복력(Cyber Resilience)’에 집중하고 있다. 사이버 보안 리더들은 사이버 위협으로부터 조직을 보호하는 보안 프로그램과 함께 보안 위협 상황에서의 복원력과 비즈니스 연속성을 유지할 수 있는 사이버 회복력에 더 큰 관심을 가질 것으로 보인다. 사이버 위협으로부터 조직을 보호하기 위해서는 관련 자원에 투자하는 것은 물론, 사이버 위협의 영향력을 완화하고 사업 운영을 지속하기 위해 관련 인력, 과정, 기술에도 투자해야 한다. 두 번째로 더욱 정교해진 ‘스피어 피싱(Spear Phishing)’과 ‘소셜 엔지니어링(Social Engineering) 공격’에 대비해 보안대책을 강화해야 한다. 최근 많이 보이는 스피어 피싱과 사람의 심리를 악용해 권한을 확보하는 소셜 엔지니어링 공격 기법은 갈수록 정교해지고 있다. 이 때문에 공격자를 파악하기가 어려워 기업들이 이러한 공격에 맞서 제대로 대비하는 것 또한 쉽지 않다. 내년에는 딥페이크와 AI 기술을 활용한 소셜 엔지니어링 공격도 더욱 늘어날 것으로 보인다. 다음으로 대규모 공격의 여지를 만드는 ‘소프트웨어 공급망 불안정성’ 문제도 짚어봐야 한다. 전 세계는 지난 몇 년간 대규모 공급망 공격을 직접 목격해 왔지만, 소프트웨어 공급망의 중요도는 더욱 커져만 가고 있다. 최근 미국 백악관에서 연방기관을 대상으로 발표한 행정명령은 이러한 소프트웨어 공급망의 중요도를 고려한 적절한 조처의 예시로 볼 수 있다. 기업들은 이와 함께 제로트러스트(Zero-Trust) 방식을 도입해 코드 서명, 공개키(Public Key Infrastructure, PKI), 보안 릴리스 과정 강화 등 인프라 서비스와 관련된 보안책을 강화해야 할 것으로 보인다. 또한, 기업은 늘어나는 서드파티 의존도를 고려해 △서드파티 리스크 평가 △ID 및 액세스 관리 △재빠른 패치 적용 등 소프트웨어 공급망 전반의 보안 제어에 집중해야 한다. 마지막으로 취약점 확대로 이어질 수 있는 높은 ‘클라우드 벤더 의존도’에 주목해야 한다고 마이클 아담스 줌 CISO는 강조했다. 많은 기업은 클라우드가 제공하는 유연성으로 클라우드 기술을 새로운 곳에 접목하거나 이를 활용해 신규 활용 사례를 만드는 등 여러 방면에서 활용하고 있다. 이는 공격 취약점 역시 확대된다는 것을 의미하며 클라우드 보안 기술과 보호 전략을 구현할 수 있는 신규 전략이 요구된다. IT 리더들은 벤더를 평가할 수 있는 견고한 평가 과정을 마련하고 벤더들이 백엔드에서 사용하는 기술을 파악하고 이해하고 있어야 한다.

---

금일 주목할 기사는 2023년 보안 트렌드 관련 기사입니다.

매년 해가 바뀌어 갈 시점인 12월 즈음에는 많은 곳에서 내년도의 트렌드를 제공하고 있는데요, 줌에서는 내년도 보안 트렌드를 '사이버 회복력', '스피어 피싱', '소셜 엔지니어링 공격', '소프트웨어 공급망 불완전성', '제로트러스트 방식', '클라우드 벤더 의존도' 등을 이야기 하였습니다. 모든 것이 맞다고 할 수는 없지만 대략적인 흐름은 인지를 하고 있어야 할 것 같습니다.