?? ?? ?????????(CISO)?? AI ??? ????? ????. ??? ??? ????? ??, ?? ?? ??, ?? ??, ?? ??? ?? ??? ??? ???? ??. ??? ?? ??? ???? ??? ???? CISO? AI ?? ??? ????? ??. 2024년, AI는 기업 환경에 빠르게 도입되어 업무 방식과 산업 전반의 비즈니스 프로세스를 변화시키고 있다. 자연스레 많은 IT 리더가 AI 기술 통합을 통해 운영 효율성 향상, 의사결정 가속화, 생산성 증대를 추구하는 중이다. 동시에 이들은 AI가 조직의 인력, 정책, 프로세스에 미치는 영향을 주목하고 있다. 이에 따라 AI 윤리적 기준 확립, 지적 재산 보호, 직원과 회사의 혁신 촉진 방안을 올해 최우선 과제로 삼고 있다. 직장에서 생성형 AI 관리하기작년 11월 CIO닷컴에 ‘생성형 AI의 활용법을 고민하는 CIO’라는 제목의 기사를 올렸다. 해당 기사에선 일부 기업 리더가 생성형 AI를 어떻게 도입할지 확신을 갖지 못하고 있다는 점을 지적했다. 서드파티 공급업체와 협력해야 할까? 아니면 자체 모델을 구축해야 할까? 그리고 자체적으로 모델을 구축할 경우, 사내 AI 전문 지식이 모델을 실행하기에 충분한가? 등을 고민하는 CIO가 많다는 것이었다. 이 기사가 공개된 후 몇 달 동안 많은 변화가 있었다. 챗GPT, 코파일럿, 제미나이 등 다양한 대규모 언어 모델(LLM)이 출시된 이후 CISO는 직원의 AI 사용과 데이터 보안 및 개인정보 보호에 관한 조치를 도입(또는 업데이트)하는 동시에 조직의 정책과 프로세스를 개선해야 했다. 기존의 정책에서 많은 것을 추가하거나 없애야 했다. 기업의 AI 사용 현황과 사람, 정책, 프로세스에 미치는 영향을 더 잘 이해하기 위해 필자는 지난 6월에 여러 CISO 및 CTO 동료를 대상으로 비공식 설문조사를 실시했다. 그 결과를 이번 칼럼에서 공유하고자 한다. 참고로 후속 칼럼에서는 AI가 엔터프라이즈 기술의 선택과 사용 방식을 어떻게 변화시키고 있는지에 대해 집중 조명할 예정이다. 사람, 정책, 프로세스A라는 CISO에게 회사에서 AI를 사용하면서 인력, 정책, 프로세스를 변경한 적이 있는지 묻자, 그는 “거버넌스 수준에서 기대치, 규칙, 모니터링 및 보고를 설정하기 위해 몇 가지 변경 사항을 적용했다”라며 “표준 패턴, 모델 및 사용법을 설정하고 시행하는 것이 중요하다”라고 밝혔다. 이런 의견은 다른 답변에서도 자주 보였다. 가이드라인과 관리 원칙을 설정하는 것은 대기업에서 AI 사용을 관리하기 위한 일반적인 단계인 것 같다. 미국 의료 기업에서 일하는 또 다른 CISO B는 조직에서 LLM과 데이터 사용에 대한 정책과 절차 초안을 작성했다고 전했다. 현재 이 팀은 AI 관련 규정 변화를 주의깊게 보면서, 보안 및 개인정보 보호 문제를 신속하게 검토하기 위해 노력하고 있다. B는 “AI 관련 규제가 시행되고 다른 준수 및 보안 요구사항이 중요해지면서 매달 기민하게 대응하고 있다”라며 “실시간으로 담당자와 소통하며 여러 변경사항을 정책에 반영하고 있다”라고 밝혔다. 한 대형 온라인 소비자 브랜드에서 CISO로 일하는 C도 비슷한 동향을 공유했다. C는 AI 사용에 관한 새로운 정책을 만들어 내부 자산 보호 및 안전성 향상을 위해 만들어 놓은 정책과 연계했다. C는 “우리 기업은 직원이 AI를 어떻게 사용할 계획인지 미리 확인하고 있다”라며 “민감한 데이터를 활용하려는 상황에 대해서는 따로 리스크 평가와 프라이버시 영향 평가(PIA, Privacy Impact Assessment)를 실시할 예정”이라고 밝혔다. 또 다른 CISO D는 조직이 CSP 제어 체계 내에서 AI 조치를 시행하기 위해 여러 변경 사항을 적용했다고 밝혔다. 여기에는 로깅, 모니터링, 배포 및 사용 감독, 그리고 주요 경영진에 대한 보고 체계 구축 등을 포함된다. D는 “이런 정책은 조직이 데이터(IP, 기밀 정보, 고객 데이터 등)를 보호하고 비즈니스 기능 및 세그먼트의 사용량과 수요를 파악하는 데 매우 중요했다”라고 설명했다. 필자가 만난 모든 경영진은 이러한 변화를 조직 전체에 알리는 것이 중요하다고 강조했다. 헬스케어 업계에서 일하는 E라는 CISO는 내부 팀 정책을 최근 변경했는데, 이러한 변경 사항은 AI 사용 평가 및 승인을 담당하는 중앙 조직에서 주도했다고 설명했다. E는 “변경 사항을 투명하게 알리고 새로운 AI 애플리케이션에 대한 우려를 완화하기 위해 내부 팀을 넘어 보다 다양한 사람이 확인할 수 있는 중앙 커뮤니케이션 채널을 통해 소통했다”라고 전했다. 자문 위원회기업 내 AI 도입과 관련해 많은 CISO가 AI 개발 및 사용에 대한 명확한 가이드라인, 신중한 규칙, 윤리적 원칙을 마련해야 한다고 언급했다. 이를 구체적으로 구현하기 위해 AI 자문위원회를 만드는 곳이 늘어나고 있다. 대표적인 예로, AI 기업인 C3는 복잡한 미국 정부 및 동맹국 정부와의 상호작용을 원활히 하기 위해 전 미국 하원의장인 케빈 매카시를 자문위원회에 영입했다. 정부 기관들도 윤리적 AI 사용이 무엇인지 명확히 정의하기 위해 전문 위원회를 만들고 있다. 일단 미국 연방 정부에는 자체 국가 AI 자문위원회가 있다. 미국 노스이스턴 대학교는 ‘경험적 인공지능 연구소를, 비영리 기관 퓨처오브프라이버시포럼은 싱크탱크 성격의 ‘센터포AI’라는 조직을 출범시키기도 했다. 한 금융 서비스 회사의 CISO와 최고 데이터 책임자는 고위 경영진(법무, 기술, 기타)으로 구성된 AI 운영팀을 만들었다. 해당 팀은 중대한 위험을 초래하거나 내부 지적 재산을 노출할 위험이 있는 경우에 대해 AI 사용을 허용할지 신중하게 검토하고 승인하는 역할을 맡고 있다. 이러한 중앙 관리 위원회가 있으면 직원 및 벤더사로 인해 발생되는 사이버 보안 사고에 대응하는 데에도 도움이 될 수 있다. AI에 대한 CISO의 사고방식많은 CISO와 CTO가 효과적인 AI 도입을 위한 조언을 설문조사를 통해 제공했다. ‘세부 사항에 집중하라’와 같은 단순한 지침 외에도 구체적인 조언을 찾아 볼 수 있었다. 가령 어떤 리더는 “기업의 특징과 업계를 고려해 LLM이 도움을 줄 수 있는 방법을 찾기를 추천한다. 평판, 브랜드, 개인정보 보호, 규정 및 운영에 위험을 초래할 수 있는 환각, 편향성, 의도하지 않았지만, 예상되는 모든 문제가 비즈니스에 어떤 영향을 미칠 수 있는지 교육받으면 좋다. AI 사용, 데이터 보안, 규정 준수 등의 영역에서 비즈니스 가치와 위험 수용 능력을 계속 비교해야 한다”라고 설명했다. 또 다른 IT 리더는 “비즈니스 가치를 창출하는 신기술도 위협과 단점이 있기 마련이다. 이러한 위협을 제어하고 복원력을 갖기 위해 투자가 새로 필요할 수 있다”라고 했다. 미래지향적이고 낙관적인 관점을 공유한 한 CISO는 “기업이 AI의 혁신을 받아들이고 이를 보다 안전하게 활용할 수 있도록 샌드박스를 만들어 놓으면 좋다. 그런 샌드박스는 내부 보안성이 높은 공간이나 클라우드를 통해 만들 수 있다. AI 사용을 차단하는 CISO에 대해 너무 많이 들었다. 이렇게 하면 AI에 호기심이 있거나 AI를 사용하여 삶을 개선하거나 더 효율적으로 만들고자 하는 사람들이 회사를 떠날 수 있다. AI를 통해 구체적 활용 사례와 성과를 보고 나면 만족감을 충분히 얻을 수 있을 것이다. 직원이 혁신할 수 있도록 가드레일을 마련하는 역할을 IT 리더가 주도적으로 맡아보면 좋다”라고 밝혔다. 후속 칼럼에서는 기업이 전통적 기술을 어떻게 처리하고 있는지, AI를 어떻게 활용하고 있는지, 그리고 이러한 변화의 요소가 기업에 미치는 영향이 무엇인지 집중적으로 살펴볼 것이다. *필자 Rick Grinnell은 AI 기반 보안 및 엔터프라이즈 인프라에 대한 투자에 주력하는 글래스윙 벤처스(Glasswing Ventures)의 설립자 겸 매니징 파트너다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????