피드로 돌아가기
The RegisterSecurity
원문 읽기
승인되지 않은 AI 앱 사용으로 인한 고객 민감 정보 유출 및 SEC 신고 사례
US bank reports itself after slinging customer data at 'unauthorized AI app'
AI 요약
Context
내부 보안 통제가 미흡한 환경에서 승인되지 않은 외부 AI 애플리케이션에 고객 데이터를 입력한 보안 사고 발생. SSN, 생년월일 등 고도로 민감한 비공개 정보가 외부로 전송된 데이터 거버넌스 부재 상황.
Technical Solution
- 내부 승인 절차를 거치지 않은 Unauthorized AI-based software application의 사용 경로 차단 필요성 대두
- 외부 Third-party AI Provider로의 데이터 전송 및 저장 메커니즘에 대한 전수 조사 수행
- 연방 및 주법 기반의 데이터 보호 규정에 따른 영향도 평가 및 고객 통지 프로세스 가동
- 재발 방지를 위한 데이터 유출 방지(DLP) 체계 및 AI 사용 가이드라인 수립 추진
- 금융 규제 기관과의 긴밀한 커뮤니케이션을 통한 컴플라이언스 리스크 관리
실천 포인트
1. 기업 내 Generative AI 사용 시 승인된 툴 리스트(Allowlist) 기반의 접근 제어 적용
2. LLM 입력 단계에서 SSN, 이름 등 PII(Personally Identifiable Information)를 자동 마스킹하는 데이터 필터링 계층 도입
3. 외부 AI 서비스로의 데이터 전송을 모니터링하는 네트워크 트래픽 분석 도구 운용
4. AI 활용 가이드라인 수립 및 데이터 처리 방침에 대한 임직원 보안 교육 정례화