카테고리 없음

생성형 AI 사용의 위험 그리고 대책

Dalseung 2025. 2. 9. 17:35

개요

요즘 전 세계적으로 AI에 대한 핫한 이슈가 하나 있다.

Image

바로 중국 항저우 인공지능 기초기술연구유한 공사가 만든 DeepSeek가 출시되었다는 소식이다.

이 DeepSeek는 기존의 생성형 AI와는 달리, 적은 비용과 GPU 자원으로 선두주자였던 OpenAI에 버금가는 성능을 가졌다.

그런데 이러한 가성비 넘치는 생성형 AI를 자국 정부기관에 대하여 세계 각국이 차단을 하고 있는 실정이다.

ImageImage

특히 우리나라는 정부기관 뿐만아니라, 삼성, 현대 등 대기업에서도 막기 시작했다.

어떤 것이 위험하길래, 막는 것일까 한번 알아봤다.

OpenAI와의 차이

생성형 인공지능 기술

인공지능 기술의 한 종류로서, 이미지, 오디오, 비디오, 텍스트 등을 포함한 대량의 데이터를 학습하여 사람과 유사한 방식으로 문맥과 의미를 이해하고, 새로운 데이터를 자동으로 생성해주는 기술을 의미한다.

기존 AI는 어떠한 데이터를 학습한 뒤, 어떠한 대상(데이터)를 보고 판별을 하는 것이었다면 생성형 AI는 사용자가 요구하는 질문을 이해하고 과제를 해결하기 위해 주어진 데이터를 기반으로 패턴과 규칙을 학습하고 새로운 컨텐츠를 생성하는 기술이다.

이용약관의 위험성

개인정보보호법 시행령을 보면 정보주체의 동의 없이 개인정보를 이용 또는 제공하려는 경우

  1. 당초 수집 목적과 관련성이 있는지 여부
  2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
  3. 정보주체의 이익을 부당하게 침해하는지 여부
  4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

등을 판단해야한다.

일례로 OpenAI를 보면 모델 훈련을 위해 사용자 정보를 수집하는 동작을 사용자가 선택할 수 있게 해 놓았다.

Image

일명 옵트아웃(Opt-out)이란는 제도로 당사자가 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 제도이다.

우리가 평상시 개인정보 수집이용 제공에 대한 동의를 받고 개인정보를 처리하는 방식이 옵트인(Opt-in)방식이고, 옵트 아웃은 개인정보를 수집이용동의를 받지 않고, 당사자가 거부의사를 밝히면 개인정보 활용을 중지하는 것이다.

그러나, DeepSeek는 이러한 옵트아웃 설정이 없다.

DeepSeek의 개인정보 정책을 보면 자동으로 수집하는 정보 목록이 있다.

Image

자동 수집 목록에는 내 디바이스 모델을 포함한 Key stroke 패턴까지도, 수집을 한다는 것이다.

게다가 DeepSeek 서버는 중국 내에 있고 내 개인정보는 중국 내에 있는 서버에 저장된다고도 써져있다.

중국정부의 위험성

중국정부는 자국 내 기업에게 정보를 요구할 수 있고, 기업은 정부의 요구에 응할 법적의무가 있다.

중국의 법률과 규정을 보면 그 근거가 있다.

  1. 국가정보법(2017년 제정)
  • 第七条任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。
  • 중국 국가정보법 제7조에 따르면, 모든 조직과 공민은 법에 따라 국가정보업무를 지지· 협조 · 호응하여야 하고, 국가정보업무를 통하여 알게된 비밀을 지켜야한다. 라고 명시되어 있다.
  • 즉, 중국 정부가 기업에 데이터를 요구하면 협조해야 하며, 거부할 경우 법적 책임을 질 수 있다.
  1. 네트워크 안전법(2016년 제정)
  • 중국 내에서 운영되는 기업(특히 IT 및 데이터 관련 기업)은 중국 내 서버에 데이터를 저장해야 하며, 정부의 보안 점검 요청에 응해야 한다는 규정을 포함하고 있다.
  • 해외기업이어도 중국내에서 서비스를 실시하고 있다면 서버를 중국에 둬야한다.
  1. 데이터보안법(2021년 제정)
  • 기업이 보유한 데이터가 국가 안보에 영향을 미칠 가능성이 있는 경우, 중국 정부는 해당 데이터를 검토하고 통제할 권한을 가진다.
  • 특히 중요 데이터나 핵심 기술과 관련된 정보는 정부 승인이 있어야 해외로 이전할 수 있다.
  1. 반간첩법 개정(2023년)
  • 2023년 개정된 반간첩법에서는 "국가 안보에 영향을 미칠 수 있는 모든 정보"가 대상이 되며, 정부가 기업 및 개인을 조사할 수 있는 권한이 더욱 확대됐다.

AI 활용 보안 가이드라인

사실 국가정보원에서는 이미 2023년에 Chat GPT 출시와 함께 발생할 수 있는 보안문제에 대한 가이드라인 서적을 만든 적이 있다.

내용

AI 모델 악용

  • 생성형 AI 모델은 사용자의 요청에 따라 다양한 유형의 출력을 생성할 수 있다.
  • 만일 AI가 적절한 제약조건 없이 해커의 의도대로 동작할 경우, 피싱메일, 악성사이트, 멀웨어 등을 생성할 가능성이 있다.
  • 회색지대 전술로서, 사이버 상에서 일어나는 심리전(가짜뉴스, 소요사태, 선동, 사기, 조작 등)으로 AI가 사용될 수 있다.
  • 정상적인 AI 모델 서비스인 것처럼 위장하여 악성 AI모델이 악성코드를 제공할 수 있다.

AI 서비스 사용 주의사항

  • 공식사이트 사용
    • 서비스 사용 시 공식 사이트를 통한 접속
    • 피싱 공격 및 허위 사이트 방지를 위한 SSL 인증서 유무 확인
  • 안전한 네트워크 환경
    • 암호화된 WI-FI 및 VPN 사용 등을 통한 안전한 네트워크 환경 확보
    • 공공 WI-FI 등 암호화되지 않은 네트워크 사용 시 보안에 유의
  • 웹 브라우저 보안
    • 최신 웹 브라우저 사용 및 정기 업데이트 수행
    • 브라우저 보안 설정 검토 및 광고, 악성코드 차단 프로그램 사용
  • 내부망 사용 제한
    • 기관 내부망에서의 서비스 사용 시 별도 냅 전용 서비스로 한정해서 사용
    • 기관 인터넷 망에서의 서비스 사용 시 기관 민감 데이터 미활용 등 유의 사용
  • 적절한 버전 사용
    • 최신 버전 서비스를 통한 보안 취약점 해소

결론

  1. DeepSeek는 가성비로서 다른 생성형 AI와의 차별을 두었다.
  2. 그러나, 사용자의 개인정보 및 데이터를 사용자 동의 없이 무단 수집할 수 있다.
  3. 중국 정부에게서 자유롭지 못한 중국 IT 기업들은 국가안보 목적으로 중국정부와 데이터 공유 및 서버 통제 등의 협조를 할 수 밖에 없다.
  4. 이에 대비하여 우리는 국정원에서 발간한 AI 활용 보안 가이드라인을 보고 AI 사용에 보안을 준수하여야한다.

끝으로

총성없는 전쟁이라 불리우는 정보전에서 동맹국은 없다는 말이 있다.

그만큼 정보수집에 대해서는 동맹간에도 치사할 만큼 냉정하게 자국의 이익을 따진다는 것이다.

이 DeepSeek는 전세계를 대상으로 하는 중국정부의 정보수집활동의 데이터 수집 도구로서 활용될 가능성이 높다고 생각되며, 정부관계자 및 국가 안보 일선에서 일하는 사람들은 이점을 인지하고, 사용에 있어서 조심해야 하겠다.

Reference

  1. https://www.boannews.com/media/view.asp?idx=66353
  2. https://www.aol.com/where-world-deepseek-banned-why-161423045.html
  3. https://www.bbc.com/korean/articles/cpwxpv8vnrjo
  4. https://www.bbc.com/korean/articles/clykdp2dyvvo
  5. https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=InstructionGuide_main&nttId=54340&pageIndex=1#LINK

'카테고리 없음'의 다른글

  • 현재글생성형 AI 사용의 위험 그리고 대책

티스토리툴바