[디지털비즈온 김맹근 기자] OpenAI 해킹 사건은 AI 기업들이 직면한 보안 위협의 심각성과 중요성을 환기시키는 계기가 되었다. 이 사건을 통해 AI 기업들이 보유한 대규모의 고품질 학습 데이터, 사용자 상호작용 정보, 고객사 기밀 데이터 등이 해커들에게 매력적인 목표물이 될 수 있음이 드러났다.

2023년 초, 세계적인 AI 기업 OpenAI의 내부 메시징 시스템이 해킹되는 사건이 발생했다. 해커는 직원들이 최신 AI 기술에 대해 논의하는 온라인 포럼에 침입하여 정보를 빼내갔다. 다행히 해커는 GPT 모델이 구축되고 학습되는 핵심 시스템까지는 접근하지 못한 것으로 알려졌다.

이 사건으로 인해 일부 OpenAI 직원들 사이에서는 중국 등 외부 세력의 AI 기술 탈취 가능성과 이에 따른 미국 국가 안보 위협에 대한 우려가 제기되었다. 당시 OpenAI의 유해 방지 프로그램 책임자였던 Leopold Aschenbrenner는 이사회에 중국 정부 등 외국 해킹 조직의 기밀 탈취 방지를 위한 보안 강화를 주장하기도 했다. 그는 올해 초 내부 문건 유출을 이유로 해고되었는데, 이를 부당하다고 주장하며 최근 팟캐스트에서 OpenAI의 보안이 취약하다고 언급했다.

해킹 사건이 제기하는 주요 문제

AI 기업들은 방대한 양의 고품질 학습 데이터, 사용자 상호작용 정보, 고객사의 민감한 데이터 등 매우 가치 있고 민감한 정보를 다루고 있다. 특히 대규모 언어 모델 개발에 있어 데이터셋의 품질이 가장 중요한 요소 중 하나로 평가되고 있어, OpenAI가 구축한 학습 데이터는 경쟁사, 외국 정부, 규제 당국 등에게 큰 가치를 진인다.

또한 ChatGPT와 같은 대화형 AI와 사용자 간 상호작용 데이터는 단순 검색 데이터를 넘어 사용자의 심리와 니즈를 심층적으로 파악할 수 있는 귀중한 자산이다. 여기에 기업 고객들이 자사의 내부 데이터베이스를 활용해 AI 모델을 미세 조정하는 과정에서 산업 기밀에 준하는 정보들까지 AI 기업에 집적되고 있다[3]. 이처럼 AI 기업들은 방대하고도 민감한 데이터의 보고라 할 수 있다.

AI 기업의 보안 체계 및 대응 능력

OpenAI 해킹 사건은 AI 기업들의 보안 체계와 대응 능력에 의문을 제기했다. 비록 이번에는 심각한 데이터 유출이 없었다고는 하나, 새롭게 부상한 AI 산업 특성상 프로세스가 아직 표준화되거나 완전히 이해되지 않아 더 큰 위험이 도사리고 있다.

물론 구글, 마이크로소프트 등 대형 IT 기업에서 분사한 AI 회사들은 이미 높은 수준의 보안 체계를 갖추고 있다. 그러나 AI 분야는 기술 발전 속도가 워낙 빨라 전통적인 IT 보안만으로는 한계가 있다. AI 모델과 데이터 자체를 지속해서 보호하면서도, 외부 공격에 적극 대응할 수 있는 전문적인 AI 보안 체계 구축이 필요해 보인다.

기술 경쟁과 국가 안보 문제

현재 AI 기술을 둘러싼 미국과 중국의 패권 경쟁이 심화되고 있다. 일부 지표에서는 중국의 AI 인재 풀이 미국을 앞서는 등[1] 기술 격차가 빠르게 좁혀지고 있는 상황이다. 앞으로 AI가 산업, 경제, 군사 등 전방위에 걸쳐 국가 경쟁력을 좌우할 핵심 기술로 부상할 것이 자명한 만큼, AI 기술 유출 방지는 국가 안보 차원의 최우선 과제로 떠오르고 있다.

최근에는 마이크로소프트 클라우드를 해킹한 중국 해커들이 연방 정부 기관을 공격한 사례도 보고된 바 있다. 아직 미-중 간 AI 기술 격차가 존재하는 상황에서 선제적 보안 대책 마련을 통해 기술 우위를 지켜내는 것이 무엇보다 중요해 보인다.

향후 AI 기업의 보안 강화 방안

AI 기업들이 나아가야 할 보안 강화 방안을 정리하면 다음과 같다.

첫째, 기술적 조치는 중요 데이터 및 모델에 대한 접근 제한 및 권한 관리 강화, 최신 암호화, 네트워크 보안 기술 적용, AI 기반 이상 탐지, 보안 모니터링 고도화이다.

둘째, 관리적 조치는 전사적 보안 정책 및 프로세스 정비, 임직원 대상 정기 보안 교육 실시, 주기적 보안 감사 및 시스템 취약점 점검이다.

셋째, 외부 협력은 정부, 학계, 업계와 AI 보안 가이드라인 및 정책 공동 수립, 글로벌 AI 기업 간 보안 위협 인텔리전스 공유 확대이다.

넷째, 윤리 기준은 AI 개발 및 활용의 책임성, 투명성, 설명 가능성 확보, 프라이버시 보호, 차별 금지 등 AI 윤리 기준 확립이다.

특히 기업 간, 국가 간 AI 기술 경쟁이 가속화되는 상황에서 보안은 기업의 존망과 직결되는 문제인 만큼, 최고경영진의 강력한 보안 의지와 이를 뒷받침하는 지속적 투자가 무엇보다 중요하다.

결론적으로 최근 OpenAI 해킹 사태는 AI 시대의 새로운 보안 위협을 여실히 보여주는 사례였다. 초지능적인 AI 기술 자체도 위협적이지만, 그것을 둘러싼 데이터와 노하우의 가치는 상상 이상이다. 기존 IT 시스템에 AI라는 변수가 더해지면서 보안 문제는 한층 복잡해지고 고도화되고 있다.

따라서 국가 안보 차원은 물론, 기업 생존을 위해서라도 이제 AI 보안은 선택이 아닌 필수이다. 운영, 관리, R&D 등 기업 활동 전반에 보안을 내재화하고, 전문 인력과 첨단 보안 기술에 대한 투자를 아끼지 말아야 할 것이다.

아울러 AI가 가져올 변화의 폭과 깊이를 고려할 때 AI 기업 혼자의 노력으로는 한계가 있다. 정부 차원의 법·제도 정비, 사회 전반의 AI 리터러시 제고 등 범국가적 대응이 요구되는 시점이다. 보안과 윤리라는 두 축을 기반으로 우리 모두가 지혜를 모아 '굿 AI(Good AI)' 시대를 함께 열어가야 하겠다.