데이터는 정보화 시대의 석유라는 말이 있습니다. 그렇다면 데이터 프라이버시 주간 는 회원님의 정보가 소중하다는 사실을 일깨워주는 좋은 기회입니다. 이 국제 행사는 개인이 자신의 데이터를 보호하고, 개인정보 설정을 관리하며, 데이터를 받는 사람(및 대상)에 대해 보다 현명한 결정을 내릴 수 있는 방법에 대해 조언합니다.
데이터 프라이버시 주간은 조직이 데이터 보호 관행에 대해서도 생각해 볼 수 있는 좋은 기회이기도 합니다. AI를 배포하고 사용자의 데이터를 수집하는 솔루션이 늘어나고, 하이브리드 업무와 사용자, 디바이스, 권한, 환경이 그 어느 때보다 많아지면서 조직의 데이터에 새롭고 복잡한 위험이 발생하고 있습니다.
이번 데이터 프라이버시 주간에는 이러한 새로운 위험 중 몇 가지를 살펴보고자 합니다. 새로운 디지털 비서와 AI 모델이 어떻게 새로운 보안 위험을 초래할 수 있는지, ID 거버넌스 및 관리(IGA) 솔루션이 데이터 보호의 기반이 되는 이유를 설명하고 조직이 데이터 보안을 유지하기 위해 취할 수 있는 몇 가지 모범 사례를 제안합니다.
올해 데이터 프라이버시 주간의 주제는 "데이터 통제권 확보"입니다. 이는 좋은 목표이지만 대부분의 일이 그렇듯이 말처럼 쉬운 일은 아닙니다. 모든 디바이스, 사용자, 머신 계정, 리소스는 데이터를 생성, 전송, 처리합니다. 그렇기 때문에 조직에 필요한 기능을 제공하는 IGA 프로그램이 필요합니다:
- 모든 조직 데이터에 대한 가시성 및 제어 유지: 보이지 않거나 이해하지 못하는 것은 통제할 수 없습니다. IGA는 정기적인 액세스 검토를 시행하고 필요에 따라 데이터 소유자에게 권한을 승인하거나 취소할 수 있는 권한을 부여하여 올바른 계정이 올바른 데이터에 액세스할 수 있도록 지원합니다. 또한 관리자에게 현재 사용자가 액세스할 수 있는 항목에 대한 가시성을 제공합니다.
- 지속적인 규정 준수 보장: IGA의 장점 중 하나는 조직의 데이터에 대한 가시성을 확보할 수 있다는 점입니다. 규제 기관에 통제력을 입증할 수 있다는 점입니다. IGA는 워크플로우, 감사 보고, 액세스 인증을 자동화하여 GDPR, GLB, SOX, PCI-DSS, HIPAA, ARPA 및 기타 주요 규정을 준수하고 있음을 입증할 수 있습니다.
- 민감한 데이터 보호: IGA 솔루션은 보안팀에 데이터 액세스에 대한 실행 가능한 인사이트를 제공하여 무단 액세스를 식별하고 완화함으로써 고객 데이터와 지적 재산을 보호할 수 있도록 지원합니다.
생성형 AI 모델과 대규모 언어 모델(LLM)은 조직이 고려해야 할 새로운 위험을 초래합니다. Microsoft Copilot, DeepSeek, ChatGPT의 인스턴스는 사용자 입력에 의존하여 모델을 학습시킵니다. 즉, 사용자가 프롬프트에 붙여넣는 모든 내용이 모델의 일부가 된다는 뜻입니다. 또한 조직에서 AI 어시스턴트를 사용하는 경우 해당 도구가 조직 데이터에 더 광범위하게 액세스할 수 있으며 해당 데이터를 언제, 어떻게 사용해야 하는지 제한하는 안전 장치가 없을 수도 있습니다.
이는 분명히 상당한 위험을 초래할 수 있습니다. "네트워크 전체에서 측면 이동이 가능하여 민감한 환자 데이터에 액세스할 수 있는" Microsoft의 Azure Health Bot 서비스를 살펴보십시오. TechRadar. 2024년 4월에 발표된 보고서에 따르면 영국 기업의 20%가 "직원이 생성 AI(GenAI)를 사용함으로써 잠재적으로 민감한 기업 데이터가 노출된 적이 있다"고 합니다. 정보 보안 매거진. Cisco 에 따르면 이러한 우려로 인해 생성 AI를 금지한 기업이 4분의 1에 달한다고 합니다.
이러한 우려는 충분히 근거가 있습니다. LLM은 모델을 학습시키기 위해 다양한 고객 데이터가 필요하며, 사용자들은 Google 검색의 '매직 박스'를 신뢰하고 두려움 없이 원하는 것을 입력하도록 학습되어 왔습니다. 이로 인해 금융 정보, IP, PII 또는 기타 민감한 데이터가 위험에 노출될 수 있습니다.
사용자 입력만이 위험한 것은 아닙니다. LLM이 사용자 데이터를 학습하고 있다면 제3자가 이를 쿼리하여 사용자가 공개하고 싶지 않은 정보를 찾을 수 있습니다. 마찬가지로 어시스턴트 자체가 통신할 수 있는 모든 아웃바운드 채널에 정보를 방송할 수 있는 위험도 있습니다.
조직에서 디지털 비서를 설치하려는 경우, 디지털 비서와 팀의 보안을 유지하기 위해 취해야 할 몇 가지 모범 사례가 있습니다.
먼저, 리더십 팀에게 어떤 위험이 있는지 설명하도록 하세요. 사용자가 입력할 수 있는 정보 유형과 입력할 수 없는 정보를 명확히 설명하세요. RSA에서는 팀원들에게 공개적으로 사용할 수 있는 정보만 입력할 수 있다고 설명했습니다. 그 외의 어떤 것도 사용자 쿼리의 일부가 되어서는 안 됩니다.
둘째, 올바른 컨트롤을 켜는지 확인하세요. 어시스턴트의 기본 설정이 항상 그런 것은 아닐 수도 있습니다: 잘못 설정하면 AI 어시스턴트가 조직 전체의 모든 정보에 액세스할 수 있습니다. 챗봇이 어떤 정보를 쿼리할 수 있고 어떤 정보를 반환할 수 있는지 알아야 합니다. 조직은 데이터를 적절하게 격리하여 사용자 X가 사용자 Y의 파일을 기반으로 응답을 받지 않도록 해야 하며, 그렇지 않으면 직원들이 서로의 이메일을 읽고 의도하지 않은 정보에 액세스할 위험이 있습니다.
또한 시스템이 액세스할 수 있는 대상, 액세스 권한이 있는 시기, 사용자에게 추천을 하는 시기도 알아야 합니다. 배포한 모든 AI 도구(Microsoft의 Copilot에는 여러 버전이 있습니다)에 이러한 규칙 집합을 적용해야 합니다. 그리고 이러한 도구는 조정된 보안 태세 하에 있어야 합니다.
마지막으로 검색자, 데이터 및 응답이 어떻게 처리되는지 공급업체에 문의하세요. 공급업체가 보관하나요? 보관한다면 얼마나 오래 보관하나요? 솔루션의 다른 인스턴스가 귀사의 모델에 대해 학습되나요, 아니면 모두 비공개로 유지되나요?
지금까지 LLM과 생성형 AI가 조직의 사이버 보안 태세에 미칠 수 있는 위험에 대해 주로 논의했습니다. 이러한 AI 모델이 가장 많은 헤드라인을 장식하는 경향이 있으며 가장 큰 위험을 나타내는 이유는 ChatGPT, Copilot 등에 더 많은 사용자가 프롬프트를 입력하기 때문입니다.
사이버 보안도 AI의 이점을 누릴 수 있지만, 팀에서 올바른 모델을 사용해야 합니다. 대체로 LLM과 생성형 AI는 현재 보안 운영에 적합하지 않습니다. 이러한 모델은 사람이 항상 검증할 수 없는 결과를 산출하는 블랙박스이며, 그 결과물이 항상 도움이 되는 것은 아닙니다.
이러한 모델은 비결정론적 모델(X값을 입력해도 어떤 결과가 나올지 모르는 모델)을 기반으로 합니다. 결정론적 모델(X 값을 입력하면 결과가 어떻게 나올지, 솔루션이 그 결과에 어떻게 도달할지 알 수 있음)은 사이버 보안에 매우 유용할 수 있습니다.
저희는 RSA® Risk AI 를 수십 년 동안 활용하여 인증 요청에 대한 실시간 인사이트를 제공해 왔습니다. 위험 AI는 사용자의 IP 주소와 네트워크 신호, 행동 분석, 지리적 위치, 시간 기반 신호, 애플리케이션 신호, 디바이스 관련 신호 등을 평가하여 위험을 평가하는 위험 기반 결정론적 머신 러닝 모델입니다. 이러한 신호와 행동이 사용자 자신과 조직의 다른 사용자와 비교하여 사용자의 일반적인 행동을 반영하는 경우 위험도가 낮은 것으로 간주되며 표준 방법을 사용하여 인증할 수 있습니다. 이러한 행동이 크게 벗어나는 경우 시스템은 단계별 인증 챌린지를 자동화하여 보안 팀에 플래그를 지정할 수 있습니다.
중요한 것은 RSA 리스크 AI는 조직의 정보를 수집하지 않으며, 특정 배포에서 얻은 정보를 향후 반복 학습에 사용하지 않는다는 것입니다. 저희는 모든 Risk AI 데이터를 해시 및 토큰화합니다. 모든 Risk AI 인스턴스는 각 고객 조직에 대해 조직별로 배포되며, 이러한 배포는 해당 데이터와 해당 데이터에 대해서만 미세 조정됩니다.
보안 아키텍처에 대한 기술적 모범 사례나 요점 때문에 데이터의 중요성이 가려지지 않도록 하세요. 데이터를 안전하게 보호할 수 있는 도구, 프로세스, 절차에 투자하는 것은 조직의 시간과 자원을 투자할 만한 가치가 있습니다.
이를 수행하는 방법에 대해 궁금한 점이 있으시면 다음과 같이 문의해 주세요. 도움말.
