
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- AI는 사이버 보안 팀과 사이버 범죄자 모두에게 힘을 실어주고 있습니다.
- Consultancy EY는 CISO가 위험을 최소화하기 위해 적극적으로 노력할 것을 촉구합니다.
- 회사는 새로운 보고서에서 12가지 안전 팁을 공유합니다.
AI를 양날의 검으로 묘사하는 것은 다소 진부해졌지만, 그렇다고 해서 그 표현이 사실이 아닌 것은 아닙니다.
사이버보안 전문가들은 이 점에 대해 특히 목소리를 높였습니다. 컨설팅 회사 EY는 이달 초 발표한 “AI와 사이버 보안: 비즈니스 탄력성의 새로운 개척지”라는 보고서에서 “AI는 더 빠른 탐지 및 대응을 통해 방어력을 강화하는 동시에 공격 비용과 복잡성을 낮춥니다”라고 썼습니다.
보고서는 “방어자들은 위협을 식별하기 위해 AI를 사용하는 반면, 적들은 속임수를 위해 동일한 기술을 활용한다”고 밝혔습니다.
또한: AI를 출시하시나요? 비즈니스에서 실수할 수 없는 5가지 보안 전술과 그 이유
즉, 사이버 보안 방어를 더욱 강력하게 만드는 기술은 이러한 보호를 뚫으려는 사이버 범죄자에게도 힘을 실어주고 있습니다. 토르와 로키, 또는 배트맨과 조커처럼, 두 적들은 끊임없이 서로를 앞지르며, 아마도 끝없는 군비 경쟁을 벌이게 될 것입니다. (관련 메모에서 OpenAI와 같은 AI 개발자는 자체적인 보안 경쟁을 벌이고 있습니다. 모델이 신속한 주입 공격으로부터 더 잘 보호할수록 해당 공격은 더 교활해집니다.)
그러나 일부 전문가들은 반직관적으로 사이버 보안 시스템에 대한 가장 심각한 AI 기반 위협은 외부 해커가 아니라고 말합니다. 대신 가장 큰 위협은 직원이 적절한 내부 가드레일 없이 기술을 사용할 때 조직 자체에서 발생합니다.
작년에 분수령이 된 MIT 연구에서 10개 기업 중 9개 이상의 기업이 의미 있는 결과를 내지 못한 것으로 나타났습니다. 기술에 대한 하향식 접근 방식(조직 리더가 직원의 사용 방법을 제어하는 방식)과 상향식 접근 방식(직원에게 다양한 도구를 더 자유롭게 실험할 수 있는 방식)의 가치에 대해 많은 논쟁이 있었습니다. 그리고 EY의 글로벌 사이버 최고 기술 책임자인 Dan Mellen에 따르면 AI 시대에 사이버 보안에 대해 상향식 접근 방식을 취하는 것은 문제를 야기합니다.
또한: AI가 사이버 보안을 쓸모없게 만들까요, 아니면 실리콘 밸리가 다시 조립하고 있습니까?
Mellen은 ZDNET에 “조직은 직원의 AI 사용에 대한 보안 가드레일을 구현하기 위해 절대적으로 하향식 접근 방식을 취해야 합니다.”라고 말했습니다. Mellen은 신속한 주입 공격과 같은 외부 위협과 비교할 때 “내부자가 관리하지 않는 지능형 도구를 사용하는 것은 기업에 훨씬 더 큰 위험을 안겨줍니다.”라고 말했습니다.
EY의 새 보고서는 AI 에이전트가 직원의 생산성 향상 도구로 기업에 판매되고 있는 시점에 출시되었습니다. 그러나 앱을 구축하고 다양한 기타 복잡한 작업을 처리하는 이러한 시스템의 용량은 계속해서 증가하고 있지만 여전히 해결되지 않은 보안 문제가 있습니다. 가장 주목할만한 우려는 상담원의 자율성이 높아지면 예상치 못한 행동이 발생할 가능성이 있다는 것입니다. 증거에 따르면 에이전트는 예측할 수 없는 행동을 하기 쉽고 때로는 비참한 결과를 초래하기도 합니다.
또한: 기업 AI 에이전트가 궁극적인 내부자 위협이 될 수 있는 이유
따라서 Mellen은 기업 내 에이전트 배치가 효과적인 가드레일 구현을 앞지르고 있다는 경고를 제기해 온 사이버 보안 전문가들의 목소리 중 하나일 뿐입니다.
CISO를 위한 12가지 팁
이러한 내부 위험 패러다임은 EY가 새로운 AI 및 사이버 보안 보고서에서 다루고자 했던 바로 그 내용입니다.
또한: AI 위협은 더욱 악화될 것입니다: 디지털 적의 끈질김에 맞서는 6가지 방법
광범위하게 말하면, 이 보고서는 CISO가 가능한 한 하향식 가시성을 바탕으로 사이버 보안에 접근할 것을 촉구합니다. 즉, AI가 내부적으로 어떻게, 어디서, 왜 사용되는지 명확하게 매핑하고 해당 시스템이 예기치 않게 작동하는 경우에 대한 조치 계획을 수립하는 것입니다.
회사의 12가지 전략적 권장사항을 한눈에 살펴보세요.
- 무엇보다도, 내부 AI 거버넌스 정책 개발. 이러한 정책은 기술을 어떻게, 어디서, 언제, 왜 사용할 수 있는지, 어떤 데이터 모델에 액세스할 수 있는지 등 주요 고려 사항을 다루어야 합니다.
- 가능성의 지평을 넓혀보세요. EY에 따르면 사이버 보안 전문가들은 역사적으로 주로 공격 방어에 AI 사용을 집중해 왔습니다. 앞으로는 더 많은 것을 포용해야 합니다. 공격 AI를 사용하여 “위협이 시스템에 영향을 미치기 전에 위협을 식별하고 무력화”하는 사고방식을 회사는 레드팀과 같은 훈련을 통해 보고서에 썼습니다.
- ROI 측정을 위한 프레임워크 구축 양적 이득(예: 시간 및 비용 절약)과 질적 이득(예: 보안 강화)을 설명하는 내부 AI 사용.
- 할 수 있는 시스템을 갖추고 있습니다. 지속적으로 모니터링하다 내부 AI 시스템의 성능과 끊임없이 변화하는 규제 환경을 준수합니다.
- 거버넌스로 돌아가서, 직원들이 AI의 어떤 용도가 허용되고 어떤 용도가 허용되지 않는지 이해하도록 합니다.그리고 모델이 예상치 못한 방식으로 작동하기 시작하는 경우의 대응 방법을 알아보세요.
- 할 수 있다 조직의 내부 AI 사용 시각화. 직원들이 액세스하여 사용 중인 모델, 사용 중인 데이터 세트, 교육 요구 사항 등에 대한 빠르고 명확한 개요를 얻을 수 있는 대시보드를 구축하세요.
- AI 플랫폼 포트폴리오를 확장하세요. SmiForce와 같은 자동화된 대응 도구와 SentinelOne과 같은 보안 정보 및 이벤트 관리(SIEM) 도구를 포함하여 특정 사이버 보안 기능을 위해 설계된 AI 기반 도구를 채택하기 시작하세요.
- 주의하여 내부 AI 시스템에서 사용하는 데이터 소스 매핑 특히 AI 및 개인정보 보호법이 서로 다른 여러 관할권(예: 미국과 EU 간)에서 데이터를 처리하는 경우 더욱 그렇습니다. 추가 보안 계층을 위해 내부 데이터베이스에 액세스하려고 시도하는 모든 사람이나 네트워크를 인증이 필요한 잠재적인 공격자로 처리하는 제로 트러스트 아키텍처 구현을 고려하세요.
- AI로 생성된 사기를 감지하도록 직원을 교육하세요.딥페이크 및 피싱 공격과 같은 공격입니다.
- 내부 AI 시스템을 찌르고 자극하여 취약점을 감지하고 보완합니다.. 레드팀 구성 연습을 사용하여 신속한 주입 공격 및 기타 시나리오를 시뮬레이션합니다. 민감한 작업을 수행하는 에이전트에 대해 다단계 인증 조치를 구현합니다(이상적으로는 이러한 요소 중 하나가 에이전트를 인증하는 인간 개입이 될 것입니다).
- 더 폭넓은 대화에 참여하세요. 국립 표준 기술 연구소(National Institute of Standards and Technology) 및 오픈 월드와이드 애플리케이션 보안 프로젝트(Open Worldwide Application Security Project)와 같은 조직이 주최하는 컨퍼런스에 참석하여 끊임없이 진화하는 AI 기반 사이버 보안 분야의 획기적인 발전을 따라잡으세요. 새로운 위협과 위협으로부터 보호하기 위해 배포되는 전술에 대해 다른 업계 전문가와 대화를 시작하세요.
- 지정학적 체스판에 주목하세요. 제한된 GPU 공급은 미국과 중국이 각자의 AI 산업을 구축하기 위한 경쟁에서 주요 관심사가 되었습니다. 향후 칩 공급을 제한할 수 있는 수출 통제 및 기타 요인의 변화를 주시하고 그에 따라 계획을 세우십시오.