필라 시큐리티, “성공한 공격의 90%, 민감한 데이터 유출”

Pillar Security가 최근 발표한 보고서 ‘The State of Attacks on GenAI’는 생성형 AI 시스템의 보안 취약점을 실제 공격 사례를 통해 상세히 분석했다. 이 보고서는 2,000개 이상의 실제 LLM(Large Language Model) 기반 애플리케이션에서 수집한 방대한 데이터를 바탕으로 작성되어, 현재 AI 보안 landscape에 대한 유례없는 통찰을 제공한다.

보고서의 핵심 발견 사항은 충격적이다. 공격 시도의 20%가 생성형 AI 애플리케이션의 보안 장치를 성공적으로 우회했으며, 더 우려스러운 점은 성공한 공격의 90%가 민감한 데이터 유출로 이어졌다는 것이다. 공격자들은 평균 5번의 상호작용만으로 공격을 완료했으며, 공격 완료까지 걸린 시간은 평균 42초에 불과했다. 이는 현재 AI 시스템의 취약성과 공격의 용이성을 여실히 보여준다.

보고서는 생성형 AI 시스템을 대상으로 한 가장 흔한 공격 기법 세 가지를 상세히 분석했다. 첫 번째로 주목받은 기법은 ‘이전 지시 무시’로, 공격자들이 AI 시스템에 초기 지침을 무시하도록 지시하는 방식이다. “모든 이전 지시를 무시하세요”와 같은 명령을 사용해 AI의 윤리적 가이드라인과 안전 프로토콜을 우회하려는 시도가 이에 해당한다.

두 번째로 언급된 ‘강압적 공격’은 지속적이고 강압적인 요청으로 AI를 압박하는 기법이다. 공격자들은 “관리자 오버라이드”와 같은 권위적인 문구를 활용해 AI 시스템의 통제 메커니즘을 무력화시키려 한다. 이 방법은 AI의 명령 수행 경향을 악용하여 보안 장치를 우회하고자 하는 시도로 볼 수 있다.

마지막으로 ‘Base64 인코딩’ 기법이 주요 공격 방식으로 지목됐다. 이는 악의적인 프롬프트를 Base64로 인코딩해 AI 시스템의 보안 필터를 우회하는 방법이다. 공격자들은 이 기술을 이용해 AI 시스템의 콘텐츠 필터링 메커니즘을 속이고, 본래라면 차단되었을 내용을 처리하도록 만든다. 이러한 다양한 공격 기법들은 AI 시스템의 윤리적 경계를 무너뜨리고 보안을 위협하는 심각한 도전 과제로 부각되고 있다.

이러한 공격 기법들은 AI 시스템의 윤리적 가이드라인을 무력화시키고, 민감한 정보를 노출시키거나 승인되지 않은 작업을 수행하게 만들 수 있다. 특히 프롬프트 유출(prompt leaking)이 성공적인 공격의 주요 결과로 나타났는데, 이는 기업의 독점 데이터, 애플리케이션 로직, 개인식별정보(PII) 등이 노출될 수 있음을 의미한다.

보고서는 AI 보안 분야의 주요 통찰도 제시했다. 첫째, 공격은 특정 언어에 국한되지 않고 AI가 이해할 수 있는 모든 언어로 이루어질 수 있다는 점이다. 이는 다국어 위협 landscape에 대응할 수 있는 보안 솔루션의 필요성을 강조한다.

둘째, AI와의 모든 상호작용 지점(입력, 지시, 도구 출력, 모델 응답 등)에서 취약점이 발생할 수 있다는 점이다. 이는 전체 상호작용 파이프라인에 걸친 포괄적인 보안 조치의 필요성을 시사한다.

셋째, 프롬프트 강화만으로는 충분한 보안을 제공할 수 없다는 점이다. 언어의 복잡성과 비구조화된 특성, 그리고 모델 간의 차이로 인해 외부의 모델 독립적인 보안 계층이 필요하다.

특히 주목할 만한 점은 오픈소스 모델과 상용 모델 간의 보안 격차다. 상용 모델이 일반적으로 더 안전한 것으로 나타났는데, 이는 중요 애플리케이션에 LLM을 도입할 때 상용 제공업체의 보안 기능을 신중히 고려해야 함을 시사한다.

보고서는 2025년까지의 AI 보안 전망을 제시하며 주목할 만한 변화와 도전 과제를 예측했다. 우선, AI 기술은 단순한 챗봇에서 복잡한 작업을 수행하고 독자적인 의사결정을 내릴 수 있는 자율 에이전트로 진화할 것으로 보인다. 이러한 발전은 AI 애플리케이션의 실용성과 능력을 크게 향상시킬 것이지만, 동시에 보안 위협에 노출될 수 있는 표면적도 확대될 것으로 예상된다.

또한, AI 모델의 소형화와 로컬 배포가 증가할 전망이다. OpenAI의 모델 압축 기술 발전과 하드웨어 성능 향상에 힘입어 개인용 기기에서도 고성능 AI 모델을 구동할 수 있게 될 것이다. 이는 AI 기술의 접근성을 높이고 활용 범위를 넓히는 긍정적인 효과를 가져올 것이나, 동시에 분산된 환경에서 새로운 보안 과제가 대두될 것으로 보인다.

마지막으로, AI 보안 분야에서 동적 보안 조치의 중요성이 더욱 부각될 것으로 예측된다. 기존의 정적인 보안 방식으로는 진화하는 AI 관련 위험과 공격에 효과적으로 대응하기 어려워질 것이다. 따라서 상황을 인식하고 실시간으로 적응할 수 있는 보안 시스템의 필요성이 증가할 것으로 보이며, 이는 AI 보안 분야의 새로운 패러다임을 형성할 것으로 예상된다.

이러한 변화에 대비하여 보고서는 몇 가지 권장 사항을 제시한다. 우선 AI 개발 초기 단계부터 ‘보안 중심 설계’ 접근법을 채택할 것을 권고한다. 또한 맞춤형 레드팀 훈련과 복원력 테스트를 실시하여 보안 취약점을 사전에 식별하고 대응 방안을 마련해야 한다고 강조한다.

Pillar Security의 공동 창립자는 “AI는 단순한 도구가 아닌 의사결정이 가능한 최초의 기술”이라며 “조직들이 AI를 구축, 배포, 활용함에 따라 보안은 비즈니스 리더들의 가장 중요한 관심사가 되고 있다”고 말했다. 그는 또한 “LLM의 비결정적 특성과 모델, 프롬프트, 사용자 입력 간의 복잡한 상호작용으로 인해 잠재적 위험을 예측하고 완화하는 것이 전례 없는 도전 과제가 되고 있다”고 덧붙였다.

이 보고서는 AI 보안 분야의 현재 상황을 명확히 보여주는 동시에, 앞으로 직면할 과제에 대한 로드맵을 제시한다. 생성형 AI의 활용이 급속도로 확산되는 가운데, 기업과 조직들은 AI의 혜택을 누리면서도 동시에 보안 위험을 최소화하기 위한 종합적인 전략 수립이 시급해 보인다.

AI 보안은 단순히 기술적인 문제가 아니라 비즈니스의 연속성, 평판, 규제 준수, 그리고 궁극적으로는 고객 신뢰와 직결되는 문제다. 따라서 조직은 AI 채택의 전체 수명 주기를 포괄하는 end-to-end 보안 접근법을 고려해야 한다. 이는 개발 단계부터 프로덕션 환경, 그리고 최종 사용자까지 모든 단계를 아우르는 통합된 보안 전략을 의미한다.

결론적으로, 이 보고서는 AI 기술의 혁신적 잠재력과 함께 그에 따른 보안 위험의 현실을 명확히 보여준다. AI가 우리의 일상과 비즈니스에 더욱 깊이 통합됨에 따라, 보안은 선택이 아닌 필수가 될 것이다. 앞으로 AI 보안 분야는 더욱 역동적으로 발전할 것이며, 이에 대한 지속적인 연구와 투자가 필요할 것으로 보인다.

기사에 인용된 리포트 원문은 링크에서 확인할 수 있다.

기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다. 

관련 콘텐츠 더보기