사이버보안 책임자의 챗GPT 사용 논란: AI 거버넌스 실패 사례인가?

최근 미국 사이버보안 및 인프라 보안국(CISA) 직무대행 국장이 민감한 정부 계약 문서를 챗GPT에 업로드한 사실이 드러나면서 AI 거버넌스에 대한 우려가 커지고 있습니다. 이 사건은 고위직의 AI 도구 사용에 대한 예외 관리가 얼마나 허술하게 이루어지고 있는지, 그리고 이것이 조직 전체의 보안 태세에 어떤 영향을 미칠 수 있는지를 보여주는 중요한 사례입니다.

CISA 국장의 챗GPT 사용, 무엇이 문제인가?

폴리티코의 보도에 따르면 마두 고투무칼라 CISA 국장 대행은 "공식 용도 전용"으로 분류된 문서를 챗GPT 공개 버전에 업로드했습니다. 이 문서는 공개를 전제로 하지 않은 계약 관련 정보를 담고 있었으며, 챗GPT에 입력된 데이터는 모델 학습에 사용되어 수억 명의 사용자에게 노출될 수 있다는 점에서 심각한 보안 위협으로 이어질 수 있습니다.

보안 경고 무시, 예외 없는 원칙의 부재

더욱 심각한 문제는 CISA의 사이버보안 센서가 이러한 활동을 탐지하고 경고를 보냈음에도 불구하고, 고투무칼라 국장 대행이 개인적으로 챗GPT 사용 승인을 요청했다는 점입니다. 이는 국토안보부가 민감한 정보 유출 우려로 대부분 직원에게 AI 도구 사용을 차단한 상황과 대조를 이루며, 고위직에 대한 예외 관리가 얼마나 허술하게 이루어지고 있는지를 보여줍니다.

기업 AI 거버넌스 실패, 구조적 문제 드러나

보안 전문가들은 이번 사건을 기업 AI 거버넌스 실패의 전형적인 사례로 보고 있습니다. 에베레스트 그룹의 아르준 차우한은 "공식 용도 전용은 기밀은 아니지만 여전히 민감한 정부 정보"라며, 공개 AI 도구에 업로드할 경우 데이터 통제 상실, 노출 표면 확대, 2차 오용 위험 등 다양한 위험이 발생할 수 있다고 지적합니다. 그는 이번 사건이 고위 접근 권한으로 인해 AI 통제가 무너지는 지점을 보여준다고 강조했습니다.

편의성과 보안 사이의 긴장

비글 시큐리티의 수닐 바키는 리더십 팀이 AI 도구의 긍정적인 측면을 강조하면서 사용을 의도치 않게 정상화하는 경우가 있다고 지적합니다. 이로 인해 AI 플랫폼이 민감한 정보를 다루는 엔터프라이즈 시스템에 적용되는 거버넌스 엄격성을 거치지 않은 채 사실상의 생산성 애플리케이션으로 자리 잡게 된다는 것입니다. 결국 편의성과 보안 사이의 긴장이 이러한 사건을 촉발하는 경우가 많습니다.

데이터 통제 상실의 위험

가트너의 자이시브 프라카시는 공무원이 공식 용도 전용 표시 문서를 공개 AI 플랫폼에 업로드할 때 가장 큰 위험은 데이터 통제 상실이라고 말합니다. 보관 기간, 삭제 가능 여부, 법적 문제 발생 시 노출 여부에 대한 통제가 전혀 없다는 것입니다. 그는 기업이 데이터 거주성, 학습 미사용 보장, 최소 보관 정책을 갖춘 라이선스 기반 AI 플랫폼을 직원에게 제공해야 한다고 강조합니다.

리더십 신뢰성 훼손

이번 사건은 자동 경보가 작동했다는 점에서 통제가 오용을 탐지할 수 있음을 보여주지만, 사건이 리더십 차원에서 발생했다는 점이 책임성 논란을 키우고 있습니다. 차우한은 "민간 사이버보안 기관 수장이 연루된 사안이기 때문에 영향은 주로 평판 차원"이라며, "리더는 행동 규범을 설정하며, 일탈은 준법 문화를 약화시키고 다른 기관과 핵심 인프라 운영자에게 조언할 때 신뢰성을 떨어뜨린다"라고 비판했습니다.

결론: AI 거버넌스 강화와 리더십의 책임감 필요

이번 CISA 국장의 챗GPT 사용 논란은 AI 기술 도입에 앞서 철저한 거버넌스 구축과 리더십의 책임감이 얼마나 중요한지를 보여주는 사례입니다. AI 정책과 거버넌스 기구를 마련하는 것도 중요하지만, 실제로 안전하고 승인된 AI 도구를 사용하기 쉽게 만들고, 역할과 직급에 따라 집행 수준을 강화해야 할 것입니다.