대규모 언어 모델(LLM) 시대의 도래와 보안 위협: 우리가 알아야 할 것들

 

안녕하세요. 이스트시큐리티입니다.  

ChatGPT의 출시를 기점으로, 우리는 대규모 언어 모델(LLM)의 새로운 시대에 접어들었습니다. 이러한 LLM은 단순한 업무 자동화에서부터 창의적인 업무 활용에 이르기까지, 다양한 분야에서 혁신적인 변화를 이끌어내고 있는데요. 그러나 기술의 급속한 발전은 예상치 못한 보안 위협을 동반하며, 이에 대응하기 위한 새로운 보안 기술의 필요성을 촉구하고 있습니다. 

특히 최근에는 프롬프트 악용으로 마약, 폭탄 제조법 등 불법 정보를 추출한 사례가 있었습니다. AI의 안전 정책을 회피하여 민감 정보 노출 및 악성 응답을 유도하였으며, 이로 인해 데이터 정제의 필요성과 프롬프트 보안 솔루션의 필요성이 대두되고 있습니다.  

｜ 출처 https://www.mk.co.kr/news/it/11031856 

 

개인정보유출과 관련된 보안 위협 사례도 있었는데요. 독일의 AI 번역기 ‘딥엘’은 이용자 동의없이 변역 원문 등 데이터를 AI 학습에 활용한 것으로 나타났습니다. 이로 인해 AI 서비스를 통해 기업 기밀 유출 위험이 대두되고 있는 걸 확인할 수 있습니다.  

｜ 출처  https://news.mt.co.kr/mtview.php?no=2023051022032536204 

또 한 사례로, 벨기에의 한 남성이 기후 변화에 대한 극심한 불안감을 느껴, 위로를 얻기 위해 AI와 대화를 하였으나 AI 채팅봇 ‘Eliza’가 자살을 부추기는 대화로 이어지게 하여, 이 채팅봇과 6주간 대화 후 극단적 선택을 한 사례도 있습니다.  

위의 예시를 통해 확인할 수 있듯이 LLM을 통해 유입될 수 있는 보안 위협은 다양하며, 크게 아래와 같이 여섯가지로 정리할 수 있습니다.  

1. 데이터 유출 

대화 중 사용자로부터 입력받은 민감한 정보(ex. 개인/기밀정보)를 학습 데이터로 사용할 가능성이 있으며, 이로 인해 민감 정보의 외부 유출 가능성이 있습니다.  

2. 피싱 및 사기행각  
LLM을 통해 타겟 사용자의 행동 패턴을 파악하여 정교한 피싱 공격을 유도할 수 있습니다.  

3. 정보 조작 및 가짜뉴스 생성 
LLM을 이용해 대량의 가짜뉴스를 자동 생성하여 확산시키고, 여론 조작 및 시장 교란 등의 목적으로 악용될 수 있습니다.  

4. 명령어 인젝션  
LLM을 통해 특정 명령어를 포함한 입력을 전달하여, 시스템에서 원하지 않는 동작을 유도하며, 악성 스크립트 실행이나 데이터베이스 공격(SQL 인젝션)으로 이어질 수 있습니다.  

5. DoS 
악의적인 사용자가 LLM에 과도한 요청을 보내거나, 복잡한 질문을 반복적으로 제출하여 시스템 자원을 고갈시켜 서비스 거부를 유도할 수 있습니다.  

6. 편향된 학습 데이터  
LLM이 학습하는 데이터가 편향되어 있을 경우 생성된 응답 역시 특정 집단에 대한 차별이나 편견이 포함될 수 있습니다. 이는 기업 이미지를 손상시키며, 각종 법적 문제를 야기할 수 있습니다. 

위와 같이 기술의 급속한 발전은 예상치 못한 보안 위협을 동반하며, 이에 대응하기 위한 새로운 보안 기술의 필요성을 촉구하고 있으나, 아직은 대응할 수 있는 솔루션이 없어 사용자 개개인이 스스로 보안 수칙을 준수하는 것이 무엇보다 중요해지고 있습니다. 

 

그래서 이스트시큐리티가 준비한 'LLM 사용자들이 반드시 알아야 할 보안수칙' 여섯가지!

 

1. 민감 정보 입력 주의  
LLM 서버에 개인 정보 또는 회사 기밀 정보 등 민감한 정보를 입력하지 않도록 주의해야 합니다.  

2. 정보 출처 검증  
LLM이 제공하는 정보는 검증되지 않았을 수가 있으므로 생성된 응답을 다른 신뢰할 수 있는 출처와 교차 검토하여 사실 여부를 확인해야 합니다.  

3. 피싱 링크 경계  
LLM이 생성한 내용이 피싱 공격에 악용될 수 있으므로 의심스러운 요청이나 링크는 클릭하지 말고 신뢰할 수 있는 정보인지 확인합니다.  

4. 편향된 응답 경계  
LLM의 응답이 악의적인 목적으로 편향된 콘텐츠를 생성하도록 조작될 수 있으므로 항상 제공된 정보의 정확성을 확인합니다.  

5. LLM의 한계 인식  
편향된 데이터로 인해 잘못된 정보 제공 가능성이 있는 LLM의 한계를 인식하고, LLM이 모든 상황에서 완벽한 답변을 제공하지 않을 수 있음을 이해합니다.  

6. 정기 보안 교육 실시  
LLM을 사용하는 사람들에 대한 정기적인 보안 교육을 통해 새로운 위협과 대응 방법에 대한 인식을 지속적으로 높입니다. 

 

이렇게 오늘은 LLM 사용 시 주의해야 할 보안 수칙을 전해드렸습니다. 기술이 발전함에 따라 새로운 위협도 계속해서 등장할 것이며, 그에 맞는 대응책도 빠르게 변화해야 합니다. 앞으로도 이스트시큐리티는 변화하는 보안 환경에 맞춰 안전한 보안 솔루션을 제공하기 위해 최선을 다하겠습니다. 

 

감사합니다.