알아야 할 4가지 필수 챗봇 보안 요구 사항

챗봇 보안은 모든 기업에게 중요하지만 특히 의료, 금융, 정부 부문에서 더욱 중요합니다. 이러한 분야에 중요한 보안 이슈를 고려한다면 최소한 모든 기업에 관련된 이슈를 다룰 수 있을 것입니다.

‍

챗봇 보안에 미치는 영향과 안전한 환경을 만들기 위해 고려해야 할 요소에 대해 알아보세요.

챗봇 보안과 관련하여 고려해야 할 사항은 여러 가지가 있습니다. 이러한 사항은 크게 다음 질문을 통해 해결할 수 있습니다:

• 챗봇을 구축하는 데 어떤 환경이 사용되나요?
• 챗봇은 어디에서 호스팅되나요?
• 챗봇이 구축되는 기술의 보안 기능은 무엇인가요?
• 이러한 질문에 대해 하나씩 답변해 드리겠습니다.

1. 환경

개발자가 챗봇을 개발하는 데 사용하는 환경(직원 및 계약자 모두)에 대한 액세스를 보호하고 권한을 부여해야 합니다. 이는 코드의 보안 및 소스 제어뿐만 아니라 통신을 보호하고 환경에 바이러스 및 기타 위협이 없는지 확인하는 것을 의미합니다.

안티바이러스 설치, 암호화, 액세스 제어, 필수 정보 보안 교육 및 활동 로깅에 대한 표준을 마련해야 합니다. 또한 개발자가 선임 엔지니어의 명시적인 승인 없이는 소스 코드를 변경할 수 없도록 챗봇 보안 기능 테스트와 변경 제어를 관리하는 절차와 정책도 필요합니다.

2. 호스팅

요즘에는 퍼블릭 cloud, 프라이빗 cloud, 온프레미스(구내/사내) 등 다양한 호스팅 옵션( chatbots )이 있습니다.

우수한 수준의 정보 보안이 필요한 기업은 챗봇 사용 사례의 특성에 따라 비공개( cloud ) 또는 온프레미스 설치를 선택할 수 있습니다.

호스팅은 단순히 봇 자체만을 호스팅하는 것이 아니라는 점을 이해하는 것이 중요합니다. 챗봇이 NLP 엔진과 같은 타사 서비스를 사용하는 경우 이러한 서비스와 관련된 유사한 호스팅 및 정보 챗봇 보안 위험도 고려해야 합니다. 예를 들어 이러한 서비스가 서비스형 소프트웨어(SAAS)인가, 아니면 온프레미스로 제공되는가? 클라이언트 데이터를 격리하나요, 아니면 모든 데이터가 어떤 형태로든 풀링되나요?

물론 챗봇의 프런트엔드도 고려해야 할 사항입니다. 챗봇이 Facebook Messenger와 같은 채팅 플랫폼에서 사용되는 경우 고객의 정보가 이 플랫폼에 노출되고 기록됩니다. 이는 챗봇 보안과 관련된 문제일 수도 있고 아닐 수도 있지만, 분명 고려해야 할 사항입니다.

Facebook Messenger, Slack과 같은 채팅 플랫폼을 통해 대화 데이터를 전송하는 것에 대해 우려하는 기업은 대체 수단을 사용하여 온프레미스 또는 비공개 cloud 솔루션(예: Mattermost 또는 웹 채팅)을 통해 고객과 소통할 수 있습니다.

3. 보안 기능

봇이 cloud 또는 온프레미스에서 호스팅되든, 봇과 관련된 많은 보안 기능을 고려해야 합니다.

챗봇 관리 시스템에 대한 관리 직원의 액세스는 내장된 역할 기반 보안 및 다중 사용자 관리를 통해 엄격하게 제어해야 합니다. 필요한 경우 이러한 액세스 제어는 Active Directory 및 LDAP와 같은 기업 내부 온프레미스 ID 및 액세스 관리 솔루션과 통합할 수 있습니다.

시스템에는 사용자(관리자 사용자 포함) 및 시스템 활동을 보여주는 포괄적이고 상세한 로그가 포함되어야 합니다. 특정 활동이 발생하면 관리자 및 다른 사람들에게 알릴 수 있도록 알림을 설정해야 합니다.

일반 알림 외에도 특정 의심스러운 활동, 인시던트 및 예외 사항을 관리자와 다른 사람들에게 알리기 위해 특별 알림을 설정해야 합니다.

고객 기록/대화 내용, 인증 데이터 등 서버에 저장되는 데이터와 기록은 AES-256과 같은 업계 표준 암호화를 사용하여 암호화해야 합니다.

최종 사용자와 서버 간의 메시지 전송은 물론 프론트엔드(예: 웹챗, 웹 페이지 또는 채팅 플랫폼)와 백엔드 시스템 간의 연결은 TLS와 같은 업계 표준을 사용하여 암호화해야 합니다.

4. 정책 및 절차

물론 위의 모든 사항에는 정보 보안 표준을 관리하는 관련 정책과 절차를 마련하는 것이 중요합니다. 정보 보안은 일회성 설정이 아니라 지속적인 활동입니다.

이러한 정책과 절차는 관련 소프트웨어의 설정 방법뿐만 아니라 정기적인 교육 세션과 보안 테스트를 언제, 어떻게 실시할 것인지도 명시합니다.

챗봇을 보호하는 것은 다른 소프트웨어를 보호하는 것과 다르지 않습니다. 프로세스를 시작할 때 기본 데이터가 얼마나 기밀인지에 대한 평가가 이루어져야 하며, 이를 바탕으로 데이터를 안전하게 유지하기 위해 조직이 취해야 할 조치를 결정해야 합니다.

이 글을 통해 안전한 챗봇을 만드는 데 관련된 몇 가지 보안 위험과 취약점에 대한 개략적인 개요를 얻으셨기를 바랍니다.

‍