딥시크는 다양한 산업군에 영향을 미쳤으며, 그중에서도 신용조합을 포함한 금융기관이 가장 큰 타격을 입었다. 이들 기관은 자원과 도구가 제한된 상황에서도 대형 금융사와 동일한 규제를 충족해야 하며, 신규 생성AI 서비스가 급속히 채택되는 상황에서 사전에 알려지지 않은 서비스에 대한 위험 분석과 대응에 어려움을 겪었다.

많은 조직이 딥시크 사용을 차단하려 했으나 해당 애플리케이션에 대한 인사이트 부족 또는 잘못된 분류로 차단이 원활하지 않았으며, 이로 인해 수작업 티켓 요청이 필요해지는 비효율이 발생했다. 이는 기존 보안 체계의 한계를 보여주는 사례로, 실시간 탐지 및 위험 평가 기능의 필요성을 부각시켰다.

런타임 보안 플랫폼 기업 아큐비티(Acuvity)가 딥시크와 같은 새로운 생성AI 서비스에 대한 보안 위험을 평가하고 정책 적용을 한 번의 클릭으로 처리하는 런타임 기반 탐지 및 평가 시스템 ‘생성AI 서비스 위험 평가 보고서(GenAI Service Risk Evaluation Report)’를 발표했다. 

런타임 기반 탐지 및 평가 시스템

생성AI 서비스 위험 평가 보고서는 딥시크가 공식 발표되기 수개월 전부터 해당 서비스를 탐지하고 위험을 사전에 분석하고 있었다. 고객에게는 생성AI 위험 등급 정보가 이미 제공되고 있었으며, 이번 보고서는 이를 사용자 친화적인 원클릭 UI로 확장했다.

이는 생성AI 서비스가 사용되고 있는지를 자동으로 탐지하고, 데이터 프라이버시, 보안, 데이터 위치(location) 정보와 함께 위험 등급 및 상세 평가 결과를 제공한다. 단순한 통제 차원을 넘어, 위험 평가에 따라 정책을 설정하고, 조직별로 차등적인 강도로 정책을 적용할 수 있다.

또한 데이터 프라이버시, 보안, 거주지 외에도 서비스가 제3자와 데이터를 공유하는지를 판단한다. 이 외에도 법적 규제 및 컴플라이언스 준수 상태,  학습용 데이터 사용 방식 및 범위, 다른 모델이나 인프라에 대한 기술적 의존성 여부 등도 평가한다. 

이 정보는 아큐비티가 자체 구축한 생성AI 기반 탐지 및 평가 모델을 통해 지속적으로 자동 업데이트되며, 이미 등록된 생성AI 서비스에 대해서도 변경사항이 반영된다.

한편, 이 플랫폼은 조직이 자체 생성AI 사용 정책을 정의하고, 해당 정책을 위험 등급에 따라 선택적으로 적용할 수 있는 정책 관리 및 시행 기능을 함께 제공하고 있다.

아큐비티의 생성AI 서비스 위험 평가 보고서는 생성AI 보안 환경에서 사전 탐지, 실시간 평가, 위험 기반 정책 적용이라는 세 가지 요소가 핵심 대응 프레임워크가 돼야 함을 보여준다. 특히, 신규 생성AI 서비스가 빠르게 확산되는 환경에서, 런타임 기반 보안 아키텍처와 자동화된 평가 체계는 보안팀의 대응 효율과 정확도를 향상시킬 수 있는 전략이다.

아큐비티 사탸움 시나(Satyam Sinha) CEO 겸 공동 창립자는 “고객은 데이터 프라이버시, 보안, 데이터 위치 등과 관련된 정보를 마우스 클릭 한 번으로 확인할 수 있어야 한다. 이제 조직은 어떤 생성AI 서비스가 사용되고 있는지를 빠르게 탐지하고, 해당 위험 등급 및 평가 정보를 확보할 수 있게 됐다.”고 말했다.