‘GPT 정보 유출’ 경고… 안전한 보안환경 필요해

[IT동아 정연호 기자] 오픈AI의 챗GPT(Generative Pre-trained Transfomer)를 쓸 때 프롬프트(명령어)에 중요한 정보를 입력하지 말라는 경고가 나온다. 오픈AI가 이용자 프롬프트를 저장하고, 이 데이터를 GPT 학습에 활용하고 있어서다. 정보 유출을 우려한 기업들은 직원들이 업무 중 챗GPT를 쓰지 못하도록 막고 있다. 이에 보안 업계는 “업무 생산성을 높이기 위해서, 기업들은 챗GPT 사용을 완전히 금지하는 대신 정보 유출을 막는 환경을 만드는 것에 집중해야 한다.”라고 말한다.

GPT는 이용자의 프롬프트에 따라 문장을 작성하는 오픈AI의 인공지능(이하 AI) 대형언어모델이다. 인터넷에 공개된 언론사 기사, 블로그 포스트, 위키피디아 자료 등을 학습하고 그 결과로 문장을 작성한다. 이 과정에서 이용자의 프롬프트를 다시 활용하기도 한다. 오픈AI는 개인정보 보호정책에서 “우리는 필요에 따라 이용자 정보(프롬프트, 업로드 파일, 피드백)를 수집하며, GPT가 이를 학습하게 한다.”라고 안내한다.

이러한 오픈AI의 개인정보 보호정책에 대해 여러 비판이 나온다. 가장 큰 문제는 오픈AI가 이용자의 동의를 받지 않은 채 정보를 수집하고, 다른 기업에게 이러한 정보를 제공한다는 것이다. 게다가 이용자는 어떤 정보가 수집되고, 어떤 기업이 이 정보에 접근하는지도 알 수 없다.

오픈AI는 이러한 지적에 대해 “우리는 유럽연합(EU)의 일반개인정보보호법(General Data Protection Regulation)이 적법하다고 규정한 방식으로만 이용자 정보를 수집, 사용한다.”라고 주장하고 있다.

오픈AI의 해명에도 불구하고 챗GPT를 통한 정보 유출에 대한 우려는 그대로다. 실제로 기밀 정보가 챗GPT를 통해 회사 밖으로 흘러 나간 사례가 있어서다.

지난 3월, 삼성전자 반도체 사업을 담당하는 디바이스 솔루션(DS)부문의 엔지니어가 챗GPT 프롬프트에 중요한 소스코드를 입력했는데, 이 소스코드는 외부에 유출된 것으로 알려졌다.

결국, 정보 유출 우려는 GPT에 대한 불신으로 이어졌다. 이에 정보 보안에 민감한 기업들은 직원들의 GPT 사용을 제한하기 시작했다. 아마존, JP모건 체이스, 뱅크오브아메리카 등의 미국 기업은 직원들이 업무 중 챗GPT를 사용하지 못하도록 막았다.

국내에서도 삼성전자와 SK하이닉스가 직원들의 챗GPT 사용을 제한한다. 삼성전자는 디바이스경험(DX) 부문의 직원들이 챗GPT를 사용하지 못하도록 했다. SK하이닉스도 챗GPT 사용을 금지했으나, 필요한 경우 내부 검토를 통해 허용한다.

그리고, 지난 3일에는 국가정보원이 각 정부 부처에 ‘챗GPT 등 언어모델 활용 시 보안 유의사항 안내’ 공문을 보내기도 했다. 민감 정보가 아닌 공개된 정보만을 GPT에 활용하라고 당부하기 위해서였다. 또한, 국가정보원은 “챗GPT나 GPT-4 응용프로그램 인터페이스(API)를 활용하려면 국정원의 사전 보안성 검토를 받아야 한다”고 했다.

정보 유출 우려를 해소하기 위해서 기업들은 다양한 대책을 내놓고 있다. 먼저, 오픈AI는 ‘챗GPT 비즈니스’ 구독 모델을 준비 중이다. 이 서비스에 가입한 기업의 데이터는 GPT가 학습하지 않는다.

주요 서비스에 GPT를 접목하고 있는 마이크로소프트(MS)도 곧 ‘프라이빗 챗 GPT’를 출시할 계획이다. GPT를 사용하는 기업들의 데이터를 분리해 따로 저장하는 방식이다. 이를 통해 정보 유출을 막을 수 있다는 것이다.

국내 보안 기업들도 GPT를 안전하게 쓸 환경을 구축하는 걸 돕는다. LG CNS는 MS와 협력해 고객들이 애저 오픈AI(오픈AI의 최신 AI 시스템을 제공하는 클라우드 서비스)를 쓸 수 있도록 맞춤형 보안 환경을 설계, 구축한다.

데이터보호 전문기업 지란지교 데이터는 챗GPT 프롬프트를 모니터링하는 보안 솔루션 ‘AI필터’를 공개했다. 이를 활용하면, 직원들이 입력하는 챗GPT 프롬프트를 모니터링해서, 사내 주요 정보가 유출되는 것을 차단할 수 있다.

지란지교 데이터 관계자는 “최근엔 기업들이 챗GPT 사용 가이드라인을 제작해 직원들에게 배포하기도 하지만, 이러한 가이드라인이 정보 유출을 완전히 막지는 못한다. 직원들이 실수로 기밀 정보를 챗GPT 프롬프트에 입력하는 경우도 있기 때문이다. 실수로 인한 정보 유출도 막으려면, AI 필터처럼 적절한 보안 환경을 구축해야 한다.”라고 전했다.

글 / IT동아 정연호 (hoho@itdonga.com)