안보 위험으로 DeepSeek 및 기타 AI 기술 연방 계약 금지 추진
미국 상원의원 재키 로젠(Jacky Rosen)과 빌 캐시디(Bill Cassidy)는 적대적인 국가, 특히 중화인민공화국(PRC)이 제기하는 잠재적인 위협으로부터 민감한 연방 데이터를 보호하기 위한 조치로 중국 공산당(CCP) 소유의 DeepSeek 및 적대적인 것으로 간주되는 기타 AI 기술을 표적으로 하는 법안을 도입했습니다.
상원의원들은 DeepSeek의 잠재적인 국가 안보 위험에 대해 심각한 우려를 표명했습니다. 그들은 DeepSeek이 수집한 데이터를 중국 정부 및 정보 기관과 공유하도록 의무화하는 중국 법률을 우려의 주요 이유로 들었습니다. 이미 여러 미국 주 및 동맹국이 정부 장치에서 DeepSeek을 차단하는 조치를 취했으며 이는 AI 플랫폼을 둘러싼 중요한 보안 문제를 강조합니다.
외국 적대적 인공지능 보호법
제안된 초당적 법안인 ‘외국 적대적 인공지능 보호법’은 연방 계약자가 연방 기관과의 계약을 수행하기 위해 DeepSeek을 사용하지 못하도록 하는 것을 목표로 합니다. 이 법안은 또한 High-Flyer가 개발한 후속 응용 프로그램으로 범위를 확장하여 연방 정부 계약에서 해당 응용 프로그램의 사용을 금지합니다.
보고 요구 사항 및 의회 감독
또한 이 법안은 미국 상무장관이 미국 국방장관과 협력하여 의회에 포괄적인 보고서를 제출하도록 의무화합니다. 이 보고서는 중국, 북한, 이란 및러시아를 포함한 적대적인 국가에서 시작된 AI 플랫폼으로 인해 발생하는 국가 안보 및 경제 스파이 활동 위협을 조사합니다.
네바다 민주당 상원의원 로젠은 외국 적대국에서 발생하는 사이버 위협으로부터 미국 데이터와 정부 시스템을 보호하는 것이 중요하다고 강조했습니다. 그녀는 초당적 법안이 연방 계약자가 정부 업무를 수행할 때 CCP와 관련된 AI 플랫폼인 DeepSeek을 사용하는 것을 효과적으로 막을 것이라고 말했습니다. 로젠은 국가 안보를 강화하고 미국인의 데이터를 보호하기 위해 초당적으로 계속 노력할 것을 약속했습니다.
루이지애나 공화당 상원의원 캐시디는 AI가 의약 및 교육을 개선하는 등 유익한 목적으로 활용될 수 있는 강력한 도구로서의 이중적 성격을 강조했습니다. 그러나 그는 잘못된 손에 들어가면 AI가 무기화될 수 있다고 경고했습니다. 캐시디는 DeepSeek과 같은 시스템에 민감한 데이터를 공급하면 중국에 또 다른 무기를 제공할 수 있다고 경고했습니다.
상세 보고 의무
제안된 법안은 법 발효 후 1년 이내에 상무장관이 국방장관과 협의하여 상원과 하원의 주요 위원회에 상세 보고서를 제출해야 한다고 규정합니다. 이러한 위원회에는 군사위원회, 상무과학교통위원회, 에너지상무위원회가 포함됩니다. 보고서는 우려 국가에 기반을 두거나 제휴한 대규모 언어 모델 및 생성 AI를 포함한 인공지능 플랫폼으로 인해 발생하는 국가 안보 위협을 다루어야 합니다.
종합 보고서 구성 요소
이 법안은 포괄적인 보고서에 포함해야 할 몇 가지 중요한 구성 요소를 규정합니다. 여기에는 검열 법률 및 외국 정부의 능력, 특히 AI 응용 프로그램에 접근하거나 영향력을 행사할 수 있는 정부에 대한 철저한 분석이 포함됩니다.
선전 및 허위 정보에서 AI의 역할
보고서는 또한 AI 플랫폼이 국가 지원 선전을 홍보하는 데 현재 사용되거나 잠재적으로 사용될 수 있는 방법을 평가해야 합니다. 이는 민주적 제도를 약화시키고 허위 정보를 확산하려는 적대 국가의 맥락에서 특히 중요합니다. 이러한 방식으로 AI가 어떻게 무기화될 수 있는지 이해함으로써 정책 입안자는 이러한 위협에 효과적으로 대응하기 위한 전략을 개발할 수 있습니다.
수출 통제 우회
보고서의 또 다른 필수 측면은 적대적인 국가가 그래픽 처리 장치(GPU)에 대한 미국의 수출 통제를 우회하려는 노력의 국가 안보 영향 평가와 관련됩니다. GPU는 고급 AI 모델 개발에 매우 중요하며 이를 불법적으로 획득하려는 시도는 미국의 국가 안보 이익에 심각한 위협이 됩니다. 따라서 보고서는 적대적인 국가가 이러한 중요한 기술에 접근하는 것을 방지하기 위해 수출 통제 시스템의 취약점을 식별하고 해결해야 합니다.
개인 정보 보호 및 데이터 보안 위협
보고서는 AI 응용 프로그램을 통해 입력되거나 제출된 미국 데이터와 관련된 개인 정보 보호 및 데이터 보안 위협을 조사해야 합니다. 분석은 데이터가 온프레미스 서버에 저장되는지 아니면 클라우드 인프라 내에 저장되는지를 포함하여 데이터가 저장되는 방식과 위치에 대한 중요한 문제를 다루어야 합니다. 또한 이 데이터에 외국 정부 또는 정치 단체, 특히 CCP가 액세스하거나 악용할 수 있는지 여부와 미국에서 파생된 데이터가 외국 AI 기술 발전에 기여하는 정도를 조사해야 합니다.
데이터 저장 위치는 데이터를 통해 행사할 수 있는 통제 및 보안 수준에 직접적인 영향을 미치기 때문에 매우 중요합니다. 온프레미스 서버는 더 직접적인 제어를 제공하지만 인프라 및 전문 지식에 대한 상당한 투자가 필요합니다. 반면에 클라우드 인프라는 확장성과 접근성을 제공하지만 클라우드 공급자가 구현하는 보안 조치에 의존합니다.
경제 스파이 활동의 위험
보고서는 지적 재산, 영업 비밀, 독점 정보 및 기타 민감하거나 기밀 데이터에 대한 위협을 포함하여 이러한 액세스로 인해 발생하는 경제 스파이 활동의 위험을 평가해야 합니다.
경제 스파이 활동에는 경쟁 우위를 확보하기 위해 외국 단체가 가치 있는 비즈니스 정보를 훔치는 것이 포함됩니다. 여기에는 영업 비밀, 특허 및 기업에 시장에서 전략적 우위를 제공하는 기타 기밀 데이터가 포함될 수 있습니다. AI 응용 프로그램을 통해 미국 데이터에 액세스함으로써 적대적인 국가는 잠재적으로 이 정보를 훔쳐 미국 기업의 경쟁력을 약화시킬 수 있습니다.
정부 정보에 대한 위협
마지막으로 보고서는 이 액세스가 정책 결정에 영향을 미치거나 정부 프로그램과 관련된 데이터를 포함하여 연방 정부 정보에 미치는 잠재적 위험을 평가해야 합니다. 정부 정보의 보안은 민주 사회의 기능에 가장 중요합니다. 적대적인 국가가 이 데이터에 액세스하거나 조작할 수 있다면 잠재적으로 정책 결정에 영향을 미치거나 정부 프로그램을 방해할 수 있습니다.
이전 조치 및 진행 중인 검토
도널드 트럼프 대통령 행정부는 국가안보회의를 통해 DeepSeek과 관련된 국가 안보 위협에 대한 검토를 시작하여 여러 행정부에 걸친 우려를 반영했습니다. 하원은 의회 사무실에서 업무용 장치에 DeepSeek을 설치하거나 다운로드하는 것을 금지하는 조치를 취하여 플랫폼과 관련된 보안 위험을 더욱 강조했습니다.
정부 기관의 조치
국방정보시스템국과 해군은 DeepSeek의 정부 장치 사용을 제한하는 유사한 메모를 직원에게 발행했습니다. 다양한 정부 기관의 이러한 조치는 DeepSeek이 제기할 수 있는 잠재적인 위협에 대한 광범위한 인지와 이러한 위험을 완화하기 위한 공동 노력을 나타냅니다.
주 차원 제한
텍사스, 뉴욕, 버지니아는 이미 주 정부 직원과 계약자에 대해 유사한 제한을 부과하는 법률을 제정했으며 이는 적대적인 국가의 AI 플랫폼과 관련된 보안 문제를 해결하기 위한 주 간의 증가 추세를 나타냅니다. 다른 주에서도 이를 따를 것으로 예상되어 잠재적인 위협으로부터 민감한 데이터를 보호하려는 노력을 더욱 강화할 것입니다.
산업 사이버 보안의 AI
Takepoint Research가 10월에 발표한 데이터에 따르면 진화하는 사이버 보안 환경은 산업 사이버 보안에서 AI의 이점이 응답자의 80%에게 위험보다 크다는 것을 보여줍니다. AI는 위협 탐지(64%), 네트워크 모니터링(52%), 취약점 관리(48%)에서 특히 효과적이며 OT(운영 기술) 환경 내에서 방어를 개선하는 데 있어 중요성이 점점 더 커지고 있음을 강조합니다. 설문 조사에서는 AI에 대한 과도한 의존, AI 시스템 조작 및 허위 네거티브가 산업 자산 소유자의 주요 관심사임을 밝혔습니다.
위협 탐지에서 AI의 효과는 대량의 데이터를 분석하고 악성 활동을 나타낼 수 있는 패턴을 식별하는 능력에서 비롯됩니다. AI 기반 시스템은 실시간으로 이상 징후와 의심스러운 동작을 감지하여 보안 팀에 잠재적인 위협에 대한 조기 경고를 제공할 수 있습니다.
네트워크 모니터링은 AI가 뛰어난 또 다른 영역입니다. AI 시스템은 네트워크 트래픽을 지속적으로 모니터링하여 무단 액세스 시도 및 기타 보안 위반을 감지할 수 있습니다. AI는 또한 네트워크 구성의 취약점을 식별하고 수정 조치를 권장할 수 있습니다.
취약점 관리는 공격자가 악용하기 전에 시스템과 응용 프로그램의 약점을 식별하고 해결하는 것을 포함합니다. AI는 취약점 검색 프로세스를 자동화하고 취약점의 심각도에 따라 수정 노력을 우선 순위 지정할 수 있습니다.
과도한 의존 및 조작에 대한 우려
AI는 산업 사이버 보안에서 상당한 이점을 제공하지만 주의해야 할 잠재적인 위험도 있습니다. 주요 관심사 중 하나는 AI에 대한 과도한 의존입니다. 보안 팀은 AI 시스템에 지나치게 의존해서는 안 되며 전문 지식과 상황 인식을 유지해야 합니다.
또 다른 우려는 AI 시스템 조작입니다. 적은 탐지를 무효화하거나 잘못된 결정을 내리도록 AI 시스템을 조작하려고 시도할 수 있습니다. 따라서 AI 시스템을 무단 변경으로부터 보호하기 위해 강력한 보안 조치를 구현하는 것이 필수적입니다.
AI 시스템이 실제 위협을 감지하지 못하는 허위 네거티브도 문제가 됩니다. 보안 팀은 AI 시스템의 성능을 정기적으로 평가하고 허위 네거티브의 위험을 최소화하기 위해 구성을 조정해야 합니다.