보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

GPT의 밝고도 어두운 이면

2023.05.03

8,901

오픈AI(OpenAI)의 최신 대규모 언어 모델(LLM) GPT-4의 등장이 사회에 미치는 긍정적인 영향과 함께 챗GPT(ChatGPT) 확산으로 인해 발생 가능한 어두운 이면에 대해 알아보고자 한다.

01. 오픈AI의 GPT-4가 미치는 영향

1) 드디어 공개된 오픈AI의 GPT-4

오픈AI(OpenAI)의 새로운 대규모 언어 모델(Large Language Model, 이하 LLM) ‘GPT-4’가 마침내 공개됐다. 그동안 ‘챗GPT(ChatGPT)’로 유발된 인공지능(AI)에 대한 높은 관심으로 인해 오픈AI가 언제 GPT-4를 공개할지를 두고 많은 루머들이 생성됐다. 그리고 이러한 루머는 오픈AI의 CEO 샘 알트만(Sam Altman)이 인터뷰에서 “사람들이 원하는 것보다 훨씬 더 천천히 기술을 출시할 것입니다.“라고 발언하며 더욱 확산됐다.
GPT-4의 공개를 두고 다양한 루머가 퍼진 상황 속에서 지난 3월 9일, GPT-4 공개와 관련된 신빙성 있는 발표가 등장했다. 독일 마이크로소프트(MS)의 CTO 안드레이스 브라운(Andreas Braun)은 독일에서 개최된 ‘AI in Focus – Digital Kickoff’ 행사에서 “다음 주 GPT-4를 공개하겠다.”라고 발표했다. 그는 GPT-4에 대한 구체적인 설명도 덧붙였는데, "GPT-4는 모두가 예상했던 형태다.”, “문자뿐만 아니라 음성, 이미지, 영상을 이해·생성할 수 있는 '멀티모달(Multi Modal)'"이라고 설명했다.

[그림 1] GPT-4 관련 이미지 (출처 : 오픈AI)

그리고 3월 15일, 안드레이스 브라운이 예고한 대로 ‘20년 공개된 GPT-3 이후 약 3년 만에 GPT-4가 공개됐다. 예고됐던 대로 GPT-4는 텍스트뿐만 아니라 이미지도 인식할 수 있는 멀티모달(Multi Modal)로, 입력된 이미지를 바탕으로 대화와 해석이 가능해졌다. 이는 텍스트만 이해, 생성했던 GPT-3.5와의 가장 큰 차이점이다. 이와 관련해 샘 알트만 CEO는 "이번 버전은 멀티모달 기능으로 인해 기존보다 더 다양한 프롬프트를 이해할 수 있다.”라며, “전보다 창의성 높은 결과물을 만든다.”라고 밝혔다.

1.1) 한 단계 발전한 GPT-4의 성능

GPT-4는 GPT-3.5 대비 단어 처리 성능이 대폭 강화됐다. GPT-4가 적용된 챗GPT는 처리할 수 있는 단어 수가 기존 대비 8배 이상 증가한 6만 4,000 단어 이상을 한 번에 기억하고 이해할 수 있다. 이는 영어 기준으로 A4용지 약 50페이지가 넘는 분량이며, 이와 함께 지원하는 언어도 26개 국어로 증가했다.

여기에 더해 GPT-3.5에서 나타난 문제점도 개선됐다. GPT를 포함한 LLM은 인터넷에서 수집한 데이터를 기반으로 학습하며, 이를 통해 사용자 질문에 대한 답을 찾아 제공한다. 정답보다는 문맥상 가장 답과 유사한 정보를 끌어와 제공하는 것인데, 이로 인해 결과적으로 틀린 답도 맞는 것처럼 대답하는 '환각 현상(Hallucination)'이 발생했다.

이러한 환각 현상이 GPT-4에서 대폭 개선된 것으로 나타났다. 오픈AI의 블로그에 따르면 GPT-4는 의료 등 전문적인 질문에 대해 이전보다 29% 더 정확한 답을 제공할 수 있으며, 비윤리적인 질문에 응답할 가능성은 82% 더 줄어들었다. 다만 오픈AI는 “약점(환각 현상)을 일부 개선했지만 완전히 제거하지는 못했으며, GPT-3.5와 GPT-4의 구분을 감지하기 힘들 수 있다.”라고 전했다. 이어 “작업의 복잡성이 충분한 임곗값에 도달했을 때 차이가 나타난다. GPT-4는 GPT-3.5보다 훨씬 안정적이고 창의적이며, 미묘한 명령을 잘 처리한다.”라고 설명했다.

[그림 2] GPT-4 · GPT-3 관련 이미지 (출처 : The School of Digital Marketing 유튜브 캡처)

1.2) 공개되지 않은 GPT-4 파라미터 수

하지만 오픈AI는 많은 이들의 궁금증을 자아냈던 GPT-4의 파라미터(Parameter, 매개변수) 수에 대해서는 입을 열지 않았다. 일각에서는 GPT-4가 100조 개에 달하는 파라미터로 구성될 것이라는 루머가 만연했는데, 이와 관련해 샘 알트먼 CEO는 “파라미터 100조 개 운운은 터무니없다.”라고 말한 적도 있는 만큼 낭설일 가능성이 높다.

[그림 3] GPT-4 파라미터 수 관련 이미지 (출처 : Dharmesh Shah 링크드인)

물론 파라미터가 많을수록 AI 성능이 좋아지는 것은 맞지만, 반드시 그런 것은 아니다. AI 성능은 파라미터 외에도 △알고리즘(Algorithm) △컴퓨팅 파워(Computing Power) △데이터(Data) 3박자가 모두 맞아야 향상되기 때문이다.

실제로 GPT-4와 같은 LLM을 보유한 메타(Meta)의 CEO 마크 저커버그(Mark Zuckerberg)는 지난 2월 25일, 자사 LLM ‘라마(LLaMA)’를 공개하며 “GPT보다 적은 파라미터를 갖고도 성능은 더 좋다.“라고 발언했다. 파라미터가 많아지면 성능이 좋아지는 것은 맞지만 그만큼 비용이 더 많이 들기 때문에, 최근에는 파라미터를 늘리지 않고도 좋은 성능의 AI를 개발하는 것이 추세이다.

2) 인간의 ‘AI 부조종사’로 부상한 GPT-4

GPT-3.5와 비교해 GPT-4가 가진 장점은 크게 정확성과 확장성을 꼽을 수 있다. 이전 모델과 비교해 GPT-4는 더욱 높은 정확성으로 어렵고 애매한 문제와 질문에 대한 풀이 능력이 향상됐고 이미지 처리 능력도 추가됐기 때문이다. 이처럼 GPT-4의 성능이 여러 측면에서 향상됨에 따라, 다양한 산업 군에서는 이를 자사 서비스에 적용하기 위한 움직임이 빠르게 나타나고 있다.

2.1) GPT-4 적용으로 달라진 MS 브라우저 ‘빙(Bing)’

가장 먼저 오픈AI의 지분 49%를 보유한 MS는 다양한 기업 가운데 GPT를 가장 빠르게 자사 서비스에 접목시키고 있다. MS는 지난 2월 13일, 자사 검색엔진인 ‘빙(Bing)’에 GPT-3.5를 기반으로 만들어진 챗GPT를 결합해 ‘엣지(Edge)’ 브라우저에 공식 탑재했다. 그리고 GPT-4 공개 당일에 MS는 “그동안 GPT-4를 빙 검색에 적용해왔다.”라는 발표와 함께 이를 엣지에서도 사용 가능하다고 밝혔다. 빙은 엣지의 사이드바 맨 위에 푸른색 로고 형식의 단추로 표시되는데, 해당 단추를 누르면 화면 오른쪽에 채팅창이 열린다.

GPT-4가 탑재된 MS의 빙을 통해 사용자들은 앞으로 개인에게 최적화된 검색, 챗봇(ChatBot), 콘텐츠 생성 기능 등을 누릴 수 있게 됐는데, 해당 서비스는 사이드바를 이용하지 않고도 경험할 수 있다. 빙 홈페이지에서 검색을 하면 결과 화면에 채팅 메뉴가 나타나는데, 이를 누르면 채팅으로 전환된다. 여기에 더해 MS는 “새로운 AI 기능을 기업의 IT 관리자가 잠글 수 있다.”라고 밝혔다. 이는 기업들이 기밀 혹은 민감정보를 챗GPT나 AI 챗봇과 공유하는 것을 금지하고 있는 정책을 고려한 것으로 보인다.

여기에 그치지 않고 MS는 그림을 자동으로 그려주는 AI 서비스까지 빙의 채팅 기능과 엣지 브라우저에 추가했다. MS의 ‘빙 이미지 크리에이터(Bing Image Creator)’는 오픈AI의 이미지 생성 AI ‘달리(DALL-E)’를 기반으로 자연어 프롬프트에 이미지를 생성해 주는 기능으로, SNS나 PPT 등에 필요한 이미지를 바로 만들 수 있다.

[그림 4] DALL·E 2 로고 및 빙 이미지 크리에이터 (출처 : 오픈AI, MS)

2.2) GPT-4 적용된 MS 오피스, ‘MS 365 코파일럿(Copilot)’

그리고 MS는 GPT-4를 기반으로 한 업무 환경 측면에서 인간을 보조하는 서비스를 지난 3월 28일 새롭게 공개했다. 바로 △워드(Word, 문서 작성) △엑셀(Excel, 스프레드시트 작성) △파워포인트(PPT, 슬라이드 작성) △아웃룩(Outlook, 이메일 및 캘린더 관리) △팀스(Teams, 메신저 및 화상회의) 등 업무 환경에 다양하게 사용되는 MS 365 애플리케이션에 GPT-4 기반의 ‘코파일럿(Copilot)’ 기술을 적용한 ‘MS 365 코파일럿(이하 코파일럿)’을 공개한 것이다. 코파일럿은 이름 그대로 '부조종사'처럼 MS 365에서 제공하는 사무용 SW의 사용을 간편하게 지원하는 AI 기술을 일컫는 말이다.

코파일럿은 챗GPT와 유사하게 간단한 명령어 입력만으로 결과물을 얻을 수 있으며, 기업 사용자를 위한 '비즈니스 챗(Business Chat)' 형태로 제공한다. 예를 들어 사용자가 "제품 전략을 어떻게 업데이트했는지 팀에 알려줘"와 같은 자연어 프롬프트를 입력하면, 비즈니스 챗은 오전 회의, 이메일, 채팅 히스토리 등 사용자 앱의 모든 데이터를 기반으로 업데이트 상황을 생성한다.

MS가 코파일럿을 공개하며 시연한 데모에서 코파일럿에게 “워드로 작성된 파일 내용을 파워포인트 자료로 만들어달라”라고 하자, 10분 발표 분량의 자료가 빠르게 만들어지는 장면이 주목받았다. 이와 관련해 MS는 “사용자는 파워포인트 기능의 10% 정도만 쓴다. 코파일럿은 나머지 90%도 활용할 수 있게 해준다.”라고 강조했다. 바로 초안 작성은 코파일럿에게 맡기고, 사용자는 이를 검토해 보완·수정·폐기 등을 결정할 수 있는 것이다. 그러나 MS는 “코파일럿이 맞을 수도 있고 틀릴 때도 있다.”라고 덧붙였는데, 생성형AI 기술이 불완전하기 때문에 인간이 최종 결정을 하는 위치에 있어야 한다는 것이다.

[표 1] MS 365 코파일럿의 주요 기능 (출처 : AI타임스, 재구성 : 이글루코퍼레이션)

2.3) GPT-4와 보안 결합된 MS의 ‘시큐리티 코파일럿(Security Copilot)’

검색과 업무뿐만 아니라 보안의 영역에도 GPT-4가 접목되고 있다. MS는 지난 3월 28일, MS의 위협 인텔리전스(Threat Intelligence, 이하 TI)와 전문 지식을 GPT-4와 접목시킨 AI 보안 비서 ‘시큐리티 코파일럿(Security Copilot)’을 공개했다. 이는 사이버 보안 업계 최초의 생성 AI 보안 서비스이다.

시큐리티 코파일럿은 방어자가 보안 환경의 상황을 파악하고 기존 인텔리전스를 학습하거나 위협 활동의 상관관계를 이해하는 등, 보다 많은 정보에 기반한 효율적인 의사결정을 내리는 데 활용되도록 설계됐다. 보안 전문가는 프롬프트(명령어) 바에 “우리 회사의 모든 인시던트에 대해 알려줘”와 같은 문구를 입력하면 시큐리티 코파일럿이 작동해 이를 알려준다. 취약점을 요약시키거나 다른 보안도구에서 발생한 인시던트 및 경보 정보를 요청할 수 있으며, 파일 혹은 URL을 첨부하면 관련 정보를 분석하기도 한다. 시큐리티 코파일럿은 현재 프라이빗 프리뷰로 우선 제공되고 있으며, 앞으로 센티넬(Sentinel), 디펜더(Defender) 등 MS의 보안 제품에 통합해 제공될 방침이다.

3) 국내 생태계에 큰 영향 미치는 GPT-4

GPT-4의 공개와 함께 챗GPT에 GPT-4가 적용되는 등, AI 서비스에 대한 대중들의 관심은 더욱 증가하고 있다. 이러한 흐름에 맞춰 국내 기업들도 챗GPT나 GPT-4 등을 자사 서비스에 연동해 다양한 AI 서비스를 내놓고 있다. 대표적으로 이글루코퍼레이션은 국내 최초로 챗GPT를 연계한 AI 보안 서비스인 ‘이글루XAI(가칭)’를 선보였다. 이글루XAI는 보안 데이터에 대해 AI 모델이 판단한 근거 및 대응 방안을 제시하는 서비스로, 사용자들은 AI 모델이 특정한 예측을 내린 기준 확인을 통해 AI 답변의 신뢰도를 평가하고, 자연어 형태의 설명을 토대로 AI 답변에 대한 이해도를 높일 수 있다.

[표 2] GPT 적용한 한국어 서비스 (출처 : 중앙일보, 재구성 : 이글루코퍼레이션)

이처럼 GPT 시리즈를 접목한 서비스를 출시하는 국내 기업들이 증가하는 등 현재 GPT가 사회 전반에 신사업의 기회를 가져다주고 있는 것은 사실이지만, 향후 오픈AI를 비롯한 거대 AI기업의 기술력에 사업이 좌우될 우려 또한 부상하고 있다. 사실 이러한 우려는 이미 현실로 다가오고 있다. 오픈AI가 GPT-4를 출시하면서 API 사용료를 크게 인상했기 때문이다.

현재 기업이 GPT API를 사용하기 위해서는 오픈AI에 토큰(Token, AI가 이해하는 언어 단위로 과금 기준이 되는 최소 단위) 사용량에 비례하는 비용을 지불해야 한다. GPT-3.5를 사용하기 위해서는 토큰 1,000개당 0.002달러(한화 약 3원)을 지불해야 했지만, GPT-4를 사용한다면 15배나 인상된 0.03달러(한화 약 39.3원)를 내야 한다. 이는 사업 초기에는 API 사용량이 많지 않으니 기업에게 큰 부담으로 다가오지 않을 것이지만, GPT를 활용한 서비스가 점차 많은 사용자를 확보할수록 비용 부담이 점차 크게 체감되는 구조이다. 한마디로 기업이 성공하면 오히려 부담이 커지는 것이다.

[그림 5] GPT-4와 GPT-3.5의 토큰 과금 비교 (출처 : Medium, Jim Clyde Monge)

02. 챗GPT에서 발생한 다양한 이슈

1) 챗GPT를 향한 뜨거운 관심

이러한 우려에도 불구하고, 오픈AI의 챗GPT는 ’23년이 절반도 지나지 않았지만 올해 최고의 히트작이라 칭하기 충분할 만큼 이를 향한 관심은 여전히 뜨겁다. 일반 사용자들은 챗GPT의 유창한 언어 실력에 놀라고 기업과 조직에서는 이를 활용하기 위한 사용법을 공부하는 데 열을 올리고 있다. 챗GPT에 대한 관심도를 명확하게 수치화 시킬 수는 없지만 구글 검색의 검색 쿼리 인기도를 분석하는 서비스인 ‘구글 트렌드(Google Trends)’의 데이터에 따르면 ‘챗GPT(ChatGPT)’에 대한 글로벌 관심도 지수는 ’22년 11월 30일에는 ‘1’에 불과했지만, 현재(4월 1일 기준)는 최대치인 ‘100’에 달한다.

[그림 6] 키워드 별 구글 트렌드 관심도 수치 비교 (출처 : 구글 트렌드)

해당 수치는 챗GPT가 등장하기 이전에 주목받던 키워드인 ‘메타버스(Metaverse)’와의 비교를 통해 더욱 실감할 수 있다. 메타버스에 대한 관심도 지수는 작년 초(’22년 1월 기준) ‘100’에 달하며 가장 뜨거운 키워드로 등극한 바 있다. 다만 이를 현재 챗GPT에 대한 관심도 지수와 비교해 보면 메타버스의 관심도 지수가 ‘7’로 나타나는 등 챗GPT가 현재 어마한 관심을 받고 있음을 알 수 있다. 여담으로 챗GPT는 현재 ‘방탄소년단(BTS)’ 키워드에 대한 관심도 보다 높은 수치를 보이고 있다.

그러나 이처럼 많은 관심을 받으며 승승장구 중이던 챗GPT에서 최근 정보 유출 사고가 연속적으로 발생함에 따라 성장에 제동이 걸리기 시작했다는 평가가 나타나기 시작했다.

2) 챗GPT에서 발생한 정보유출 사고

2.1) 챗GPT, 대화 주제 히스토리 노출

지난 3월 20일 챗GPT에서 민감정보 유출 사고가 발생했다. 챗GPT에서는 PC 화면 왼쪽 사이드바에 과거 대화 히스토리가 기록되고, 이를 누르면 각각의 대화 내용을 다시 볼 수 있다. 모바일에서도 동일하게 왼쪽 상단의 메뉴 아이콘을 누르면 사이드바가 열리며 이를 확인할 수 있다. 그런데 일부 사용자에게 다른 사람의 대화 히스토리가 노출되는 사고가 발생한 것이다. 챗GPT와 사용자가 나누어 왔던 대화를 타인이 열람할 수 있게 된다는 것은 프라이버시 및 정보 침해로 이어질 수 있는데, 다행히도 대화 내용은 노출되지 않았다. 해당 사고는 챗GPT의 오픈소스 라이브러리 버그로 인해 발생했으며, 오픈AI는 이를 확인 직후 서비스를 중단시켰다.

[그림 7] 챗GPT 히스토리 관련 이미지 및 샘 알트만 CEO 의 트윗 (출처 : ZDNet)

2.2) 챗GPT 플러스, 사용자 결제 정보 유출

하지만 챗GPT에서 발생한 민감정보 유출 사고는 여기서 그치지 않았다. 챗GPT의 대화 히스토리 유출을 유발한 버그와 동일한 버그로 인해 챗GPT의 유료 버전인 챗GPT 플러스(ChatGPT Plus) 가입자 1.2%의 결제 관련 정보가 의도치 않게 공개됐을 수 있다는 사실이 발견된 것이다.

이와 관련해 오픈AI는 "지난 20일, 챗GPT를 오프라인으로 전환하기 전 몇 시간 동안 일부 사용자가 다른 활성 사용자의 △이름과 성 △이메일 주소 △결제 주소 △신용카드 번호의 마지막 네 자리 △신용카드 만료일을 볼 수 있었다."라며 "전체 신용카드 번호는 어떤 경우에도 노출되지 않았다.”라고 밝혔다.

오픈AI에 따르면 다른 사용자의 결제 정보에 접근할 수 있었던 경우는 3월 20일 (태평양 표준시) 새벽 1시부터 오전 10시 사이에 △전송된 가입 확인 이메일을 연 경우 △'내 계정'을 클릭해서 '내 구독 관리'를 클릭한 경우다.

3) 민감정보 유출 우려에 챗GPT 단속하는 기업들

챗GPT 사용자가 기하급수적으로 증가하며 이를 실제 업무에 활용하는 인원 또한 증가했다. 다만 최근 챗GPT에서 민감정보 유출 사고가 연속적으로 발생함에 따라, 이를 우려하는 기업들의 목소리가 커지고 있는 상황이다.

[그림 8] 챗GPT 사고사례 (출처 : 조선일보)

바로 사내 임직원들이 챗GPT를 상대로 질문하는 과정에서 자칫 기업의 내밀한 정보가 외부로 새 나갈 수 있기 때문이다. 이로 인해 일부 국내외 기업들은 사내 이용 금지령을 내리거나 별도의 활용 지침을 제시하고 있는 상황이다. 그리고 실제로 챗GPT를 업무에 활용하는 것을 허용한 기업에서 민감정보 유출 사고가 발생했다.

3.1) 챗GPT 단속 나선 국내 기업

삼성전자 반도체(DS) 부문에서는 지난 3월 11일부로 사내 챗GPT 사용을 허가했다. 삼성전자 DS 부문의 챗GPT 사용 허가는 기술적 변화를 임직원 모두가 인식할 필요성이 제기된 데 따른 조치다. 회사는 다만 챗GPT 사용을 허가하며 임직원을 대상으로 “사내 정보 보안에 주의하고 사적인 내용을 입력하지 말라.”라는 공지를 내리기도 했다.

그러나 삼성전자 DS 부문이 챗GPT를 허용한 지 20일도 지나지 않아 우려하던 ‘사내 정보 유출’ 사고가 발생했다. 프로그램 소스코드 수정 및 최적화를 위해 반도체 ‘설비 계측’과 ‘수율·불량’ 등 설비 정보와 관련된 프로그램 소스코드를 챗GPT에 입력하자, 해당 소스코드가 오픈AI의 학습 데이터로 입력된 것이다. 여기에 더해 챗GPT에 문서 파일로 변환 요청한 회의록 녹취 파일이 유출되는 경우도 있었다. 이후 삼성전자 DS 부문은 챗GPT의 업무 활용 기준 재정비에 나섰으며, 질문 당 업로드 용량을 1,024바이트(byte)로 제한하는 등 긴급 조치 사항을 적용했다.

그리고 삼성전자 디바이스 경험(DX) 부문은 임직원을 대상으로 챗GPT 사용과 관련된 설문조사를 실시하고 있다. 향후 설문조사 결과를 토대로 업로드 용량 제한, 업무 PC 사용 제한 등 내부지침을 만들어 임직원에게 공유할 계획이다. 포스코의 경우 정보 유출 가능성을 사전에 차단하기 위해 내부 인트라넷을 통해서만 챗GPT를 활용하게 했으며, SK하이닉스는 사내망에서 챗GPT 사용을 금지했다. 만약 챗GPT 사용이 필요하면 별도 신고를 한 뒤 보안성 검토를 거쳐 허가하는 등 민감정보 유출에 대응하고 있는 것이다.

[표 3] 업무에 챗GPT 활용 단속하는 기업 사례(국내) (출처 : 파이낸셜뉴스, 재구성 : 이글루코퍼레이션)

3.2) 챗GPT 단속 나선 해외 기업

해외에서는 이미 챗GPT에 정보를 입력하면 AI가 이를 학습해 불특정 다수에게 유출될 수 있다는 점을 우려해 사용을 제한하는 기업이 많다. 아마존(Amazon)과 함께 MS 조차도 임직원에게 민감한 정보를 챗GPT에 공유하지 말라고 경고했으며, 월마트(Walmart)는 지난 2월, 챗GPT의 사내 접속을 막았다가 사용 지침을 만든 뒤 이를 해제했다. 그리고 더욱 민감한 고객 정보를 다루는 미국 월가(Wall Street)의 은행들과 일본 금융권에서는 챗GPT를 업무에 활용하는 것을 더욱 강력하게 제한하고 있다.

[표 4] 업무에 챗GPT 활용 단속하는 기업 사례(해외) (출처 : 파이낸셜뉴스, 재구성 : 이글루코퍼레이션)

기업의 챗GPT 단속과 관련해 리서치 기관 가트너(Gartner)가 기업 인사담당자 62명을 조사한 결과, 48%가 챗GPT 등 AI 챗봇 관련 지침을 수립 중에 있는 것으로 나타났다. 가트너는 해당 설문조사 결과 발표와 함께 “잠재적인 위험을 평가하고 지침을 마련해 나중에 발생할 수 있는 위험을 완화해야 한다.”라고 조언했다.

4) 국가 차원의 챗GPT 차단 움직임

단지 기업뿐만 아니라 국가 차원에서 챗GPT를 금지시킨 국가들도 존재한다. 중국, 북한, 이란, 러시아, 아프리카 일부 국가에서는 자국 산업 보호와 더불어 정치적인 이유 등으로 인해 챗GPT 사용을 금지시켜왔다. 이러한 가운데 지난 3월 31일, 서방 국가 중 처음으로 이탈리아가 개인정보 침해 등을 우려로 챗GPT의 자국 내 접속을 차단시켰다.

이탈리아 데이터 보호청(Italy Data Protection Authority, 이하 DPA)은 개인정보 보호를 위해 자국 내 챗GPT 접속을 차단하고 오픈AI가 유럽연합(EU)의 ‘일반 개인정보 보호 규정(General Data Protection Regulation, 이하 GDPR)’을 준수했는지 조사하겠다고 발표했다. 세부적으로 “챗GPT가 알고리즘 학습 목적으로 개인 데이터를 대량으로 수집하고 저장하는 것을 정당화할 법적 근거가 없다.”라고 밝혔으며, “사용자의 연령을 확인할 방법이 없어 미성년자의 발달 및 인식 수준에 부적절한 답변을 제공할 수 있다.”라고 지적했다. 또한 20일 이내에 해결책을 내놓지 않는다면 GDPR 위반으로 최대 2,000만 유로 또는 총매출액의 최대 4%에 달하는 벌금을 물게 될 것이라고 경고했다.

[그림 9] 오픈AI의 서비스를 사용하지 못하는 국가 (출처 : SERVEMETECH, 재구성 : 이글루코퍼레이션)

이탈리아의 챗GPT 차단 조치가 GDPR 위반과 관련된 만큼, 이 같은 움직임이 EU 국가 전체로 확산할 가능성이 큰 상황이다. 실제로 프랑스와 아일랜드의 데이터 정보기관은 이탈리아의 챗GPT 접속 차단 근거를 파악하기 위해 이탈리아 당국과 접촉한 것으로 알려졌다. 그리고 독일의 개인정보 감독 기구(Federal Commissioner for Data Protection and Freedom of Information, 이하 BfDI)도 이탈리아의 조치를 지지하며, AI의 학습 데이터가 개인 데이터인 경우 GDPR의 적용을 받게 될 것이라고 밝혔다.

영국 정보위원회(Information Commissioner's Office, 이하 ICO)는 “AI 발전을 지원하는 것과 별개로 데이터 보호법 위반에 대해 이의를 제기할 준비가 됐다.”라고 발언했으며, 비(非) 유럽권 국가인 캐나다도 이탈리아와 같은 이유로 챗GPT에 대한 수사에 착수했다. 그리고 EU 개인정보보호 이사회(European Data Protection Board, 이하 EDPB)는 챗GPT 조사를 위해 별도의 태스크포스(TF)를 구성했는데, 이는 EDPB 전체 회의에서 스페인 데이터 보호청(Agency for Data Protection, 이하 AEPD)이 해당 문제를 포함시켜 달라고 요청을 하면서 구체화됐다. AEPD는 오픈AI의 GDPR 위반 여부 조사에 착수했으며, 유럽 내 관련 기관과 협력할 것이라고 밝혔다.

[표 5] 챗GPT의 개인정보 이슈에 대응하는 국가 사례 (출처 : 이글루코퍼레이션)

개인정보 보호 이슈로 이탈리아가 챗GPT를 향한 첫 규제의 신호탄을 발사한 이후, 강력한 개인정보 보호 법안인 GDPR이 적용되는 EU 국가는 물론 영국과 캐나다 등 서방 국가에서도 관련 조사가 활발하게 이뤄지고 있다. 그리고 이러한 움직임에 대응하기 위해 오픈AI는 지난 4월 7일, 공식 블로그에 ‘인공지능 안전에 대한 우리의 시각(Our approach to AI safety)’라는 제목의 게시물을 업로드했다.

해당 게시물을 통해 오픈AI는 “AI 기술이 아동에게 미칠 해악을 방지하기 위해 여러 조치를 취하고 있다.”라고 강조했다. 여기에 더해 “우리의 AI 기반 도구를 사용하려면 18세 이상이어야 하고, 13세 이상 18세 미만이면 부모의 승인이 필요하며, 13세 미만은 아예 사용하지 못하도록 하는 원칙이 적용돼 있다.”라며, “해당 원칙이 지켜질 수 있게 연령 인증 옵션을 추가하는 방안을 검토하고 있다.”라고 밝혔다.

그리고 AI 모델을 학습·발전시키는 과정에서 방대한 개인정보 침해가 일어날 수 있다는 우려에 대해서도 응답했다. 오픈AI는 “LLM을 학습시키는데 쓰이는 데이터에는 인터넷에 공개된 개인정보가 일부 포함되어 있을 수 있다.”라며, “학습용 데이터에서 개인정보를 가능한 제거하고, 자신의 개인정보를 우리의 시스템으로부터 삭제해 달라는 사용자들 요구에 부응하는 등 AI 모델이 개인정보를 포함한 응답을 만들어낼 가능성을 최소화하려 노력하고 있다.”라고 밝혔다.

전 세계 각국에서 나타나고 있는 챗GPT 차단 이슈에 대응하기 위해 오픈AI는 연령 인증 옵션을 추가하는 방안 등을 검토할 것이라고 발표했지만, 아직까지는 개인정보 침해 이슈에 대한 구체적인 대응 방안을 내놓지는 못한 것으로 보인다. GPT와 같은 LLM에 대한 관심 증가와 더불어 개인정보에 대한 중요성 또한 나날이 증가 중인 만큼, 향후 오픈AI의 대응과 다른 서방 국가들의 움직임을 예의주시해야 할 시점이다.

03. 마무리

GPT-4의 등장과 더불어 챗GPT의 열풍은 대형 언어 모델(Large Language Model, LLM)이라는 기술 자체에 대한 대중의 흥미를 이끌어냈다. 그리고 이러한 기술을 단순 호기심에 사용해 보는 집단 뿐만 아니라, 성과를 창출하기 위해 실제 업무에 반영하는 집단의 규모는 더욱 증가할 것으로 예상된다.

다만 최근 챗GPT에서 발생한 ‘대화 히스토리 유출’ 및 ‘결제 정보 유출’ 등 민감정보 유출 사건은 GPT를 실제 업무에 활용하는 집단에게 ‘새로운 보안 위협’으로 다가왔을 것이다. 실제로 많은 보안 전문가들은 사용자가 챗GPT에 입력한 데이터를 추후 추출 가능하다고 보는 만큼, 기업의 기밀정보 혹은 개인의 민감정보 등을 LLM 알고리즘에 제공하는 행위는 새로운 유형의 보안 위협이라고 부르기 충분할 것이다. 그리고 더 많은 사용자가 GPT와 같은 서비스를 사용하게 될 경우, 이러한 보안 위협은 더욱 확산될 것이다.

그리고 최근 MS가 챗GPT(GPT-4·GPT-3.5 기반)를 자사 검색엔진 ‘빙(Bing)’에 탑재한데 이어, 국내외 수많은 기업들은 GPT를 자사 서비스에 접목시키며 사업화에 나서고 있다. 이러한 흐름은 기업 측면에서 새로운 사업영역을 발굴할 수 있는 만큼 긍정적으로 다가올 수 있을 것이다. 하지만 GPT와 같은 AI 모델이 적용된 수많은 서비스와 플랫폼이 확산된다면 이를 통해 기업과 개인의 민감정보는 물론 국가 기밀까지 상상을 초월하는 데이터들이 거대 AI기업에게 수집될 수 있음을 예고한다.

다만 이미 많은 사용자들이 업무는 물론 일상에서도 GPT를 사용하고 있을 가능성이 높은 만큼 이를 전면 차단하기보다는, 챗GPT에 활용되는 ‘데이터(Data)’에 대한 중요성 인식 제고와 더불어 안전한 ‘보안(Security)’ 대책 수립과 규정 마련 등을 통해 새로운 혁신을 장려하는 움직임이 뒷받침되어야 할 것으로 보인다.