인공지능과 보안의 중요성

1. 가상공간에서의 인공지능의 위협

 

–UC버클리 대학교의 스튜어트 러셀(Stuart Russell) 교수는 인공지능이 가할 수 있는 가상의 위협을 아래 예시처럼 설명했습니다.

 

 

–인공신경망을 이용한 딥러닝 학습을 하는 알파고 제로(AlphaGo Zero)는 자신을 상대로 바둑을 둔 지 3일 만에 초인적인 수준에 도달했습니다.

–딥러닝은 복잡한 인간의 뇌 신경망을 모방한 인공신경망을 사용하고 있으며, 인간의 개입 없이 스스로 프로그램을 만드는 가장 진화된 인공지능 기술입니다.

 

 

–실존적 위험연구센터는 인공지능 시스템이 점점 강력해지고 보편화되면서, 거의 모든 영역에서 인간의 성취보다 우수한 슈퍼 지능이 될 수 있다고 경고했습니다.

–스튜어트 러셀 교수는 이러한 이유로 인간은 인공지능에 대한 통제력을 되찾아야 한다고 주장했습니다.

 

 

 

 

 

2. 인공지능이 가할 수 있는 위협의 유형

1)인간의 존엄성 파괴

–인공지능이 더 이상 인간의 명령을 따르는 않고, 위험한 인격성을 가진 책임 주체가 될 가능성이 있습니다.

–인간이 미처 고려하지 못한 조건이나 상황에 직면했을 때, 인간은 인공지능을 제어할 수 있어야 합니다.

 

 

2)프라이버시 침해

–인공지능은 인간의 프라이버시를 침해할 수 있습니다.

(예) 수억 개의 CCTV로부터 수집되는 방대한 데이터를 인공지능 기술로 학습시켜 특정 개인의 위치와 상태를 감시하는 등 프라이버시 침해 가능

 

 

 

 

3. 예측되는 향후 인공지능의 위협

–앨런 튜링이 ‘튜링 테스트’를 만드는 과정을 지켜봤던 어빙 존 굿(Irving John Good)은 1960년대에 ‘초지능 기계’를 고안했습니다.

–어빙 존 굿은 결국 초지능 기계는 진화의 끝에 스스로 인간이라는 존재의 필요성에 의구심을 품을 것이라고 예측합니다.

–어빙 존 굿은 이러한 미래를 상상하면서 인류의 존망은 인간이 만든 초지능 기계가 인간에게 우호적인지 적대적인지에 달려 있다고 봅니다.

 

 

•영화 속 사례 1 : 《2001 스페이스 오디세이 (2001: A Space Odyssey)》

–우주 항해 중, 인공지능 컴퓨터 HAL 9000이 임무 중 실수를 하는 일이 발생

–승무원들은 오류를 눈치채고 HAL 9000을 정지시키려 하지만, 이를 안 HAL 9000은 승무원들을 공격하기 시작합니다.

 

 

•영화 속 사례 2 : 《터미네이터》

–인류를 말살하려는 인공지능 스카이넷(SkyNet)이 인류 지도자인 존 코너를 없애기 위해 T-800이라는 인공지능 로봇을 과거로 보내는 이야기입니다.

 

 

 

 

4. 인공지능 위협 대응방안

 

1)인공지능의 위협에 대한 대응방안 1 : 명확한 책임 소재

–인공지능 로봇으로 인한 사고 발생 시, 책임 소재를 가리기 쉽지 않습니다.

–(예) 자율주행차의 오작동으로 인명 피해 발생

 

»민사상 책임 : 과실, 예견 가능성, 인과관계를 근거로 법적 처벌을 판단하므로 해당 체계로는 사고를 처리하는 것이 쉽지 않습니다.

»형사상 책임 : 인공지능에게 징역형, 사형 등의 처벌을 내리려면 인공지능을 도덕적 주체로 인정해야 합니다.

 

 

–유럽의회는 인공지능 로봇이 스스로 판단을 내릴 능력을 갖추고 있다면, 로봇에게 책임을 물을 수 있다는 결의안을 통과시킵니다.

 

–이 결의안은 인공지능 로봇의 법적 지위를 ‘전자 인간(Electronic Personhood)’으로 인정한다는 의미합니다.

 

–하지만 AI 로봇 · AI 법학 · AI 윤리 전문가 162명은 유럽연합집행위원회(EC)에 공개서한을 보내 로봇에 법적 지위를 부여하는 것은 부적절하다며 유럽의회 결의안에 반기를 듭니다.

–인공지능을 미래 사회의 구성원으로 인정하고 받아들여야 하며, 첫 단추로 인공지능에게 적용할 법을 만들어야 합니다.

–법으로 제한을 두지 않는다면 인공지능이 인간에게 피해를 줬을 경우 제조사나 시스템 개발자 또는 사용자가 책임을 부담해야 하는 상황이 발생할 수 있습니다.

–인공지능으로 인해 인간이 희생되기 전, 명확한 책임 소재를 따질 수 있어야 합니다.

 

 

2)인공지능의 위협에 대한 대응방안 2 : 프라이버시 보호

–국내에서 데이터3법 개정안이 통과함에 따라 프라이버시 침해 문제 쟁점화

–인공지능을 이용해 삶의 편리성을 추구하고자 한다면 어느 정도의 프라이버시 침해는 감수해야 함

–지능화된 서비스가 증가할수록 이용자들은 첨단 기능이나 필수적인 서비스 이용을 위해개인정보 활용을 스스로 허락해야 하는 상황에 직면하게 됨

 

 

 

5. 인공지능을 활용한 보안기술

 

•보안관제(Security Operation)

–각종 침입에 대하여 고객의 IT 자원 및 보안 시스템의 운영 및 관리를 전문적으로 아웃소싱하여 중앙관제센터에서 실시간으로 감시·분석·대응하는 서비스

–전통적인 방식의 보안관제는 방화벽, 침입탐지 시스템(IDS), 침입 방지 시스템(IPS) 등을 활용한 방어에 중점을 둔 단위보안관제

 

–개별적인 시스템에서 발생한 수천 건의 이벤트들을 모니터링하는 것에 한계를 느낀 기업은 통합보안관제를 도입

–단일 환경에서 이기종 보안 시스템 로그를 수집하고 분석한 후, 적절한 대응 전략을 수립할 수 있게 된 것

–하지만 통합보안관제로도 지능적인 공격에는 대응의 한계가 있었음

–그래서 장기간 은밀하게 진행된 공격에 대응하기 위해 빅데이터와 인공지능이 결합된 보안관제 개념이 도입됨

–수천 건 의 이벤트 중 잘못 판단된 데이터(오탐)는 인공지능에 의해 버려지고, 핵심 이벤트만 보안 담당자에게 전달되는 방식

 

 

•네트워크 침입탐지 시스템(NIDS, Network Intrusion Detection System)

 

–허가되지 않은 사용자가 기업의 네트워크 자원에 접근하거나 정보를 유출하는 행위를 검출하는 시스템

–과거 네트워크 침입탐지 제품들은 침입에 대한 특징을 분석하여 패턴을 만들고, 동일한 패턴의 침입이 발생하면 이를 관리자에게 알리는 역할을 해왔음

–이 방법은 침입탐지율이 높다는 장점이 있지만 패턴 데이터베이스에 없는 공격이 발생할 경우 방어가 불가능하다는 단점이 있음

 

 

–그래서 도입된 것이 인공지능이 접목된 네트워크 침입탐지 시스템

 

–네트워크 침입탐지 시스템은 네트워크에서 침입탐지의 핵심 역할은 실시간 분석과 공격 패턴을 데이터베이스로 자동 생성하는 것

–인공지능이 접목된 후에는 패턴의 자동 생성 및 실시간 분석이 가능해졌음

 

 

 

• 침입 데이터 공유

–빅데이터 기반의 보안관제 및 악성코드를 탐지하기 위해서는 특정 기업의 데이터로는 한계가 있는데, 이를 해결하기 위해서는 기업 간의 데이터 공유 필요

–기업 간의 침입 데이터를 공유하기 위해서는 데이터의 표준 필요

 

»글로벌 표준 : STIX, CVE, CPE 등

»국내 표준 : KISA에서 운영하는 CTAS