인공지능은 연방 사이버 보안 분야에서 빠르게 발전하고 있습니다. 충분히 빠르게 보안을 유지하고 있나요?
최근 FedInsider 웨비나에서 들었던 이야기 중 아직도 가슴이 먹먹해지는 이야기를 공유했습니다.
한 연방 CIO는 신중하게 범위를 정하고, 검토하고, 승인한 AI 시스템을 출시할 준비를 하고 있었습니다.
서류상으로는 모든 것이 올바르게 보였습니다. 그리고 테스트를 시작했습니다.
AI는 의도하지 않은 데이터 소스를 사용하여 알면 안 되는 답을 반환하기 시작했습니다.
악의적인 공격은 없었지만 보안 위험은 실제적이고 즉각적으로 발생했습니다. 이 시스템이 가동되었다면 결과는 좋지 않았을 것입니다.
이 이야기는 오늘날 많은 연방 기관이 AI를 도입한 현황을 잘 보여줍니다. 그래야만 하기 때문에 빠르게 움직이고 있습니다. 그러나 가시성과 통제력이 없는 속도는 새로운 역량을 창출하는 만큼이나 새로운 위험을 초래합니다.
AI는 이미 정부 환경에 내장되어 있습니다. 문제는 우리가 의도적으로 보안을 유지하고 있는지 아니면 사후에 보안 영향을 발견하고 있는지에 대한 것입니다.
정부 환경에서의 AI는 모두에게 전략적 이점이 됩니다.
AI는 선택 사항이 아니라는 점을 명확히 하는 것이 중요하다고 생각합니다.
공격자들은 이미 AI를 사용하여 정찰을 자동화하고, 피싱 캠페인을 개선하고, 음성을 모방하고, 멀웨어를 생성하고, 인간 팀보다 더 빠르게 공격을 확장하고 있습니다.
즉, 수비수들은 이 상황을 그냥 지켜볼 수 없습니다.
동시에 연방 기관은 하이브리드 아키텍처와 레거시 시스템을 포함하여 그 어느 때보다 복잡한 환경을 다루고 있습니다.
원격 분석의 양만 해도 압도적입니다. 인간은 그 많은 정보를 의미 있는 방식으로 모두 처리할 수 없습니다.
AI는 우리가할 수 없는 일, 즉 방대한 양의 데이터를 실시간으로 분석하고 실제로 중요한 것을 찾아낼 수 있기 때문에 도움이 됩니다.
하지만 문제는 수비수가 건초더미에서 바늘을 찾는 데 도움을 주는 동일한 AI가 건초더미 자체를 확장한다는 점입니다.
모든 AI 모델은 또 다른 애플리케이션입니다. 모든 AI 파이프라인은 또 다른 연결의 집합입니다. 모든 데이터 소스는 악용될 수 있는 또 다른 잠재적 경로입니다.
이러한 경로를 제어하지 않으면 AI는 위험을 줄이는 것이 아니라 오히려 위험을 가속화합니다.
AI 기반 연방 정부 환경에서 기존 보안 가드레일이 실패하는 이유
연방 사이버 보안 리더들이 받아들이기 가장 어려운 진실 중 하나는 현재의 방어책으로는 충분하지 않다는 사실입니다.
수년 동안 사이버 보안의 성공 여부는 예방으로 측정되었습니다. 목표는 공격자를 차단하고 경계를 강화하며 침입을 막는 것이었습니다.
하지만 포춘 500대 기업부터 연방 기관에 이르기까지 침입은 여전히 발생하고 있습니다. 그리고 이러한 일은 우리의 최선의 노력에도 불구하고 발생합니다.
AI는 이러한 역학을 변화시키지 않고 오히려 강화합니다.
AI 시스템은 서버와 코드에서 실행되며 데이터 액세스에 의존합니다. 따라서 다른 애플리케이션과 마찬가지로 측면 이동, 잘못된 구성 및 과도한 권한 액세스에 취약합니다.
더 심각한 문제는 여전히 많은 조직이 겉은 딱딱하고 속은 부드러운 '투시 팝' 모델로 운영되고 있다는 점입니다. 공격자는 일단 침입하면 자유롭게 움직일 수 있습니다.
이는 AI 시스템에는 재앙입니다.
AI 엔진이 내부 시스템, 민감한 데이터 또는 외부 리소스에 자유롭게 액세스할 수 있는 경우, AI 엔진을 필요 이상으로 신뢰하고 있는 것입니다. AI는 외부 위협, 내부 위협, 그리고 많은 경우 그 자체로부터 보호되어야 합니다.
가시성은 연방 시스템에서 AI 보안의 기초입니다.
AI를 보호하려면 먼저 환경을 명확하게 파악해야 합니다.
당연하게 들리지만 그렇지 않은 경우도 많습니다.
저는 CIO로서 시스템이 어떻게 연결되어야 하는지를 보여주는 깔끔한 Visio 다이어그램을 보며 수년을 보냈습니다. 하지만 현실은 도표와 결코 일치하지 않았습니다.
현대의 연방 환경은 역동적이고 끊임없이 변화합니다. AI가 도움이 될 수 있지만 가시성이 우선시되는 경우에만 가능합니다.
AI를 통해 기관은 환경에 대한 3차원적 시각을 확보할 수 있으며, 이를 관찰 가능성이라고도 합니다. 자산과 알림뿐만 아니라 시스템 간의 관계, 시스템 간의 커뮤니케이션 방식, 실제로 중요한 사항을 파악할 수 있습니다.
AI가 트래픽이 유입되어서는 안 되는 국가로 이동하거나 정당한 이유 없이 인터넷과 통신하는 서비스를 찾아낸다면 이는 실행 가능한 인사이트입니다. 그리고 사고 발생 후 몇 주 후에 검토하는 것이 아니라 지금 바로 이루어져야 합니다.
실시간 가시성은 AI를 새로운 기능에서 방어적인 기능으로 전환합니다.
제로 트러스트는 연방 정부 AI 보안을 위한 선택 사항이 아닙니다.
제 생각에 제로 트러스트 없는 AI 보안은 희망사항입니다.
제로 트러스트는 침해가 일어날 것이라는 간단한 가정에서 시작합니다. 목표는 그 영향을 최소화하는 것입니다.
즉,
- 명시적으로 필요한 연결만 허용합니다.
- 기본적으로 다른 모든 항목 끄기
- 중요 시스템에 대한 명확한 보호 경계 설정
- 경계뿐만 아니라 내부적으로도 통제 강화
AI 시스템의 경우 이는 더욱 중요합니다.
AI 모델과 대화할 수 있는 대상과 AI 모델이 대화할 수 있는 대상을 제어해야 합니다. 여기에는 인바운드 및 아웃바운드 커뮤니케이션, 교육 및 추론 데이터, 내부 시스템 및 외부 소스가 포함됩니다.
제로 트러스트 전략의 일부로 세분화하지 않으면 AI 침해는 기업 침해로 이어집니다. 하지만 세분화를 사용하면 타협이 이루어집니다.
이것이 바로 연방 기관이 AI 모델을 구축하면서 침해에 대한 불안감에서 침해 회복탄력성으로 나아가는 방법입니다.
AI는 절대 "설정하고 잊어버려서는 안 됩니다."
제가 보는 가장 큰 오해 중 하나는 AI가 운영상의 문제를 스스로 해결한다는 생각입니다.
그렇지 않습니다.
AI에는 거버넌스, 감독, 지속적인 검증이 필요합니다. 열악한 데이터 품질, 과도한 액세스, 불분명한 소유권 등은 모두 AI의 성과를 저해합니다.
이미 기술 부채가 있는 경우 AI가 이를 해결해 주지 못합니다. 그냥 노출될 뿐입니다.
연방 기관은 제로 트러스트 전략에 기반한 모든 미션 크리티컬 시스템에 접근하는 것과 동일한 방식으로 AI 배포에 접근해야 합니다:
이러한 규율이 유용한 인공지능과 위험한 인공지능을 구분하는 기준이 됩니다.
AI는 올바른 가드레일을 통해 연방 사이버 보안을 강화할 수 있습니다.
이러한 위험에도 불구하고 저는 여전히 AI에 대해 낙관적입니다.
AI는 연방 사이버 보안 팀을 획기적으로 강화하고, 경보 피로를 줄이며, 의미 있는 맥락을 더 빠르게 파악할 수 있습니다. 인력 문제와 리소스 제약에도 불구하고 대행사가 경쟁할 수 있도록 도와줍니다.
AI를 올바르게 사용하면 인력을 확장할 수 있습니다. 인간의 판단력을 대체하는 것이 아니라 보강합니다. 숙련된 전문가가 데이터에 매몰되지 않고 의사 결정에 집중할 수 있도록 도와줍니다.
하지만 이는 AI가 의도적으로 배포되고 적절하게 보호되며 제로 트러스트 원칙에 부합할 때만 작동합니다.
이는 인공지능이 보안 태세를 정의하기 전에 연방 지도자들이 지금 지켜야 할 표준입니다.
일루미오 인사이트 무료 체험 를 통해 위험을 이해하고, 위협을 차단하고, AI 기반 환경을 보호하는 데 필요한 가시성과 컨텍스트를 확보하세요.
.webp)
.webp)
.webp)
.webp)
