미국 국토안보부가 인공지능 관련 프레임워크를 발표했다. 요즘 미국의 사회 기반 시설 내에서도 인공지능이 많이 접목되기 때문에 ‘안전 수칙’을 배포한 것이다. 그런데 그 내용이 단순히 규정들로 가득하지 않다. 인공지능을 도입하려는 많은 조직들에도 도움이 될 만한 사안들이 있어 정리해 보았다.
[보안뉴스 문정후 기자] 인공지능이 사회 주요 기반 시설에까지 사용되기 시작했다. 이는 새로운 업무 능력과 기능성, 일자리 창출로도 이어지지만 반대로 보안 취약성과 실직으로 귀결되기도 한다. 이 모든 것들이 현재 인공지능을 둘러싸고 혼재되어 있는데, 사회 기반 시설에서 단점들이 발휘되기 시작한다면 국가 전체적으로 위기에 봉착할 수 있다. 이에 미국의 국토안보부가 “사회 기반 시설 내에서 인공지능을 안전하게 활용하는 방법”에 관한 프레임워크를 만들어 발표했다. 그 내용을 살펴보고자 한다.
[이미지 = gettyimagesbank]
이번 인공지능 프레임워크의 목적과 기대 효과
국토안보부는 먼저 이번 프레임워크의 목적과 기대 효과에 대해 다음과 같이 나열하고 있다.
1) 인공지능을 안전하게 사용하는 제도를 강화시키고 조화로운 관행을 확립함
2) 주요 공공 서비스의 질 개선
3) 연방 및 공공 기관들 간 신뢰와 투명성 증대
4) 시민권과 시민 자유 보호
5) 주요 사회 기반 시설의 인공지능 보안 연구를 통해 책임 있는 운영 촉진
또한 국토안보부는 인공지능을 사용하는 시스템이나 애플리케이션을 통해 주요 사회 기반 시설과 자산 등에 위협이 있을 수 있는지를 평가할 수 있도록 하기 위해 기존 보안 관련 프레임워크들을 참조했다고 한다. 즉 이번 프레임워크가 완전히 새로운 개념의 문건이 아니라, 이전부터 미국 정부 기관들이 축적해 온 보안 지침들을 ‘인공지능’에 접목시킨 것에 가깝다는 것이다. 그렇기 때문에 다음과 같은 원칙들을 골자로 하고 있다.
1) 기술적으로 위험을 완화시킬 수 있어야 한다
2) 책임 있게 행동하고 책임자를 쉽게 찾아낼 수 있는 시스템을 도입한다
3) 정기적으로 실험과 평가를 수행한다
4) 사고 대응 계획을 수립한다
5) 투명성, 의사소통, 정보 공유가 인공지능 보안에 있어서도 핵심 요소다
그렇다고 해서 이번 프레임워크가 인공지능 보안에 관한 모든 것을 담고 있는 것은 아니다. “중요한 사회 기반 시설 내에서 인공지능을 사용하는 상황에서 지켜야 할 보안 원칙들에 집중하고 있습니다. 즉 클라우드 제공 업체, 인공지능 개발자, 사회 기반 시설 운영자 등이 이 문건을 주로 참고해야 할 주체들인데, 이 프레임워크만이 아니라 각 조직별 및 상황별 대처 방안을 마련해야 할 것입니다. 인공지능은 새로운 기술이며, 따라서 지금 시점에서 인공지능 보안에 관한 완전한 제도나 가이드라인을 마련하기는 불가능합니다. 지속적으로 발전시켜야 합니다.”
미국에서 말하는 사회 기반 시설
미국에서는 ‘사회 기반 시설’이라는 것이 16개 분야로 세분화 되어 있다. 국방, 에너지, 교통, 정보기술, 금융, 식품 및 농업, 통신 등으로 이들 중 하나라도 기능이 마비될 경우 국가에 치명적인 피해를 입힐 수 있다. 이런 시설이나 산업을 국가가 도맡아서 보호할 수는 없고, 미국의 경우 여러 민간 기업들과 파트너십을 맺어 사회 기반 시설들을 운영하고 보호한다. 하지만 국가가 그런 운영과 보호에 있어 어느 정도 권한을 가지고 있으며, 이를 바탕으로 민간 기업이 대처할 수 없는 상황에서 도움을 제공한다.
[이미지 = gettyimagesbank]
이런 상황에서 인공지능이라는 기술이 빠르게 여러 분야, 여러 조직에 스며들기 시작했다. 미국 정부와 함께 사회 기반 시설을 운영하는 민간 업체들과 전문가들도 예외는 아니었다. “이런 상황에서 국토안보부는 사회 기반 시설과 공공 서비스를 이용하는 사용자들에게 미칠 수 있는 부정적인 영향을 이해하고 예측하고 대응해야 합니다. 또한 서비스의 편의와 안전 모두가 미국인 개개인들에게 공평하게 작동하도록 하는 것도 중요합니다. 신기술은 인공지능이 여전히 이런 가치를 지켜내도록 하는 것이 우리의 임무이고, 그것에 이번 프레임워크 작성의 목적입니다.”
이번 프레임워크는 다음 두 가지를 기반으로 하고 있다.
1) 행정명령 14110에 따라 설립된 ‘주요 사회 기반 시설 연례 인공지능 분야별 위험 평가 절차’
2) 곧 발표될 ‘국가 기반 시설 위험 관리 계획’
이와 같은 문건들을 통해 주요 기반 시설에서도 인공지능이 안전하게 잠재력을 발휘할 수 있도록 노력했다고 국토안보부는 강조한다.
주요 사회 기반 시설, 어떤 위협을 받고 있는가
국토안보부는 프레임워크 작성을 위해 연구를 진행하고 자문을 구하며 ‘인공지능과 관련된 위협’을 크게 세 가지 항목으로 나눠 정리할 수 있었다고 한다.
1) 인공지능 기술을 이용한 공격
2) 인공지능 시스템을 표적으로 한 공격
3) 인공지능의 오작동(설계 및 개발 실패로 인한)
그렇다면 이런 공격에 사회 기반 시설이 노출되었을 때 어떤 위험이 있을 수 있을까? 이 역시 국토안보부는 다음과 같이 정리한다.
1) 자산의 위험 : 특정 자산이나 시스템 또는 운영이 중단되거나 물리적 손상을 입는 경우, 이로 인해 특정 계층의 사람들이 서비스를 받지 못하거나 위험에 노출되는 경우까지.
2) 분야의 위험 : 특정 자산을 넘어 특정 분야 전체에까지 영향을 미치는 경우. 즉, 에너지 인프라나 수도 시설에 문제가 생기거나 은행이나 병원이 장애를 일으키는 경우 등.
3) 분야를 넘나드는 위험 : 특정 산업이나 분야를 넘어 보다 광범위한 피해가 예상되는 경우. 예를 들어 정보기술 분야가 마비되는 바람에 항공과 교통 분야에서 혼란이 오거나, 인공지능 도입률이 급증하면서 환경에 부정적 영향이 미치는 등.
4) 국가적 중대 위험 : 나라 전체(국민 전체)의 안전과 인권, 시민권에 심각한 영향을 미치는 경우. 인공지능의 작동으로 화학이나 생물학 무기, 방사능 무기에 피격되는 경우.
이런 ‘위험 항목’들을 염두에 두고 국토안보부는 프레임워크를 통해 위험 완화 조치를 제안하고 있다. “여기서 제안한 조치들이 구현되면 위험의 발생 가능성과 심각도를 낮출 수 있습니다. 중요한 건 공공 부문과 시민 사회는 이러한 영향을 이해하고 조정하는 데 중요한 역할을 한다는 것입니다. 이를 통해, 각 분야가 AI로부터 혜택을 누릴 수 있도록 하되, 인공지능 때문에 발생할 수 있는 피해를 예방, 완화, 복구할 수 있도록 해야 합니다.”
‘공공 부문과 시민 사회가 중요한 역할을 해야 한다’고 설명한 것처럼 국토안보부는 ‘인공지능 안전’을 다섯 가지 범주로 나누고 있다. 각 범주에 속한 전문가들(클라우드 업체, 개발자 등)이 위험을 평가하고 대책을 마련하는 등 적극적으로 참여해야 하기 때문이다. 이는 다음과 같다.
1) 환경의 안전성
2) 책임감 있는 모델 및 시스템 설계
3) 데이터 거버넌스
4) 안전한 기술 및 인력 배치
5) 성능과 영향의 모니터링
“이러한 범주들에 속한 주체들 간 상호 의존성이 없을 수 없습니다. 그렇기 때문에 서로 간의 투명성과 신뢰가 촉진되어야 합니다. 이를 위해서 의사 소통을 위한 창구와 데이터 공유가 적극 선행되어야 합니다. 예를 들어 인공지능 개발자의 경우 모델 설계와 테스트를 통해 어떤 위협들을 해결했는지를 투명하게 공개한다면, 주요 인프라 사업자들이 이를 바탕으로 자신에게 적절한 모델을 효율적으로 구매하거나 도입할 수 있게 됩니다. 클라우드 인프라 제공 업체라면 하드웨어 및 소프트웨어 구성 요소가 무엇이고 어떤 회사에서 공급을 받았는지 공유할 수 있을 겁니다. 그러면 그에 대해 인프라 사업자들이 독자적으로 위험성을 평가할 수 있겠죠.”
안전한 인공지능 활용을 위한 역할과 책임 - 클라우드 업체
먼저 클라우드 업체로서 고려해야 할 ‘환경의 안전성’이란, ‘보안성이 기본적으로 보장되는 환경을 확보한다’는 것을 뜻한다. “이를 위해서 먼저는 환경을 구성하는 하드웨어와 소프트웨어 공급 업체를 심사할 제도가 필요합니다. 그러려면 하드웨어 구성 요소 명세서는 물론 소프트웨어 구성 요소 명세서와 같은 문건도 작성하고 공유해야 합니다. 인공지능을 제공하는 업자들부터 이런 명세서에 근거하여 환경을 구축하면 그 후에 일어날 일들이 보다 안전해질 수 있겠지요.”
[이미지 = gettyimagesbank]
안전하게 하드웨어와 소프트웨어를 구비해 두었다면 다음으로는 그런 하드웨어와 소프트웨어, 데이터들에 대한 접근 제어 정책을 정하고 관리해야 한다. 역할에 기반하여 모두가 적절한 책임을 지고 적절한 권한을 갖도록 하며, 모든 사용 현황을 모니터링 하는 게 중요하다. “뿐만 아니라 여러 기술에서 나올 수 있는 취약점을 어떻게 관리할 것인지, 체계도 마련해야 합니다. 특히 인공지능 사용자들이 쉽게 취약점을 해결하거나 문제에 대응할 수 있도록 하는 것이 중요할 겁니다.”
이 ‘환경의 안전성’ 항목에서만큼은 물리 보안의 중요성도 강조되고 있다. “상황에 따라 다를 수 있지만 물리적으로 ‘안전하다’고 평가 받는 시설들을 보통 다음과 같은 것들을 포함하고 있습니다.”
1) 외곽 울타리와 차량 차단 장치
2) 전자 접근 카드
3) 접근 기록
4) 24시간 활동 모니터링
5) 서버 및 하드웨어에 대한 침해 방지 장치
다음은 ‘책임감 있는 모델 및 시스템 설계’다. 국토안보부는 이 지점에서 ‘취약점 보고’의 중요성을 강조한다. “인공지능을 구현하기 위한 클라우드 및 컴퓨팅 인프라 제공자는 모델과 시스템 설계 프로세스에 영향을 미칠 수 있는 취약점을 찾아낼 경우 반드시 보고해야 하며, 이 때 표준화 된 취약점 관리 프로세스를 따라야 합니다. 안전하게 하드웨어와 소프트웨어까지 다 구축해놓았더라도 취약점을 제대로 관리하지 못하면 모든 것이 허사가 될 수 있습니다.”
하드웨어와 소프트웨어를 안전하게 마련하고, 그것을 운영하기 위한 프로세스까지 구축되었다면, 이제 그런 환경 내에서 생성되거나 소비되는 데이터를 관리해야 한다. “사회 기반 시설에서 사용되는 시스템들은 민감한 정보를 많이 담고 있습니다. 그러므로 데이터의 기밀성이 최우선적으로 유지되어야 합니다. 인공지능을 사용한다고 했을 때 이 점은 더 중요해집니다. 특히 인공지능 모델을 사용하는 사용자의 데이터가 뜻하지 않게 유출되는 일이 없어야 하겠습니다. 이를 위해서 데이터 암호화가 기본이 되어야 합니다.”
기밀성 다음으로 강조되는 건 가용성이다. “사람이 직접 수동으로 개입하지 않아도 최적화된 상태로 유지되는 네트워크를 구성하는 방향으로 나아가야 합니다. 그렇게 해야 사고가 터져도 즉시 복원할 수 있게 됩니다. 공공 시스템과 사회 기반 시설의 보안을 논할 때 ‘서비스가 멈추지 않아야 한다’는 게 굉장히 중요한 덕목이라는 걸 기억해야 합니다. 그러므로 중요한 데이터의 백업 계획이 긴밀히 마련되고 실천되어야 합니다.”
안전한 기술 및 인력 배치가 강조되는 건 바로 이 ‘가용성’ 때문이기도 하다. 국토안보부는 “공공 서비스(혹은 사회 기반 시설)가 마비되는 시나리오를 다양하게 파악함으로써 항상 서비스가 유지되도록 해야 한다”며 “클라우드 및 컴퓨팅 인프라 제공자가 이 점을 책임지기 위해 충분한 실험을 해야 한다”고 강조했다. “여기서 ‘충분한 실험’이란 외부 전문가, 즉 제3자에 의한 것일 수도 있습니다. 또한 사용자 스스로가 어느 정도 진단과 점검을 할 수 있게 도구를 제공하는 것도 좋습니다.”
사회 기반 시설을 운영하는 데 있어 인공지능이 실제로 사용되기 시작한다면, 그 때부터 중요해지는 게 바로 모니터링이다. “비정상적인 활동을 즉각 찾아낼 수 있도록 모니터링 해야 합니다. 그러려면 주구장창 네트워크만 쳐다보는 게 아니라 잠재적 위협과 악용 사례들도 분석해 미리 대비하는 것도 중요합니다. 뭐가 닥쳐올지 알고 모니터링 하는 것과, 그냥 막연히 모니터링 하는 것에는 큰 차이가 있습니다.”
사고에 대한 대비책도 있어야 한다. 아무리 예방 조치를 훌륭하게 취한다 하더라도 공격을 허용할 수 있기 때문이다. “어떤 공격이 어떤 식으로 들어올 때 어떤 대응을 해애 한다는 플레이북을 마련하고 공유해 사고 발생 시 최대한 빠르게 움직일 수 있도록 해야 합니다. 사이버 보안 사고가 있을 수 있겠고, 물리적 침해 시도가 있을 수도 있겠으며, 내부자 위협도 간과해서는 안 됩니다.”
사고에 대한 대비책을 마련할 때 ‘보고 체계’를 구축하는 것도 빼놓을 수 없다고 국토안보부는 강조한다. “의심스럽거나 유해한 활동을 보고할 수 있는 명확한 절차를 마련해야 합니다. 주와 지역, 연방 차원에서 요구되는 것들이 있을 텐데 이것을 준수하는 것이 중요합니다. 정보 공유 및 분석 센터(ISAC)과 연계하여 활동하는 것도 좋습니다.”
안전한 인공지능 활용을 위한 역할과 책임 - 인공지능 개발자
인공지능의 안전을 위해서 개발자들이 맡은 역할도 결코 작다 할 수 없다. “개발자는 인공지능 모델이나 애플리케이션을 만들어내고, 인공지능을 훈련시키는 등의 역할을 담당합니다. 뿐만 아니라 사회 기반 시설 내에서는 다른 회사에서 만든 인공지능 모델을 훈련시키거나 구축하거나 수정하는 역할도 맡습니다. 일반 사용자들을 위한 인공지능 기반 애플리케이션을 만들어 배포해야 할 때도 있습니다.”
[이미지 = gettyimagesbank]
개발자는 인공지능 생애 주기 전반의 안전과 보안에 대한 책임을 진다. 기능이 뛰어나면서도 안전하고, 윤리성을 갖춘 모델과 애플리케이션을 설계하고, 실험하고, 유지보수 하는 사람이라고 볼 수 있다. “물론 모든 개발자를 단 하나의 유형으로 획일화 할 수 없습니다. 개발자들이 인공지능 기술을 다루는 데 있어 맡아야 할 책임과 역할은 다양합니다. 다만 이 프레임워크에서는 인공지능 모델/애플리케이션을 개발하고 관리하고 유지보수하는 사람으로 개발자를 한정 짓고 있습니다.”
개발자들에게 있어 안전한 환경을 구축한다는 건 어떤 의미가 될까? “인공지능을 개발하고 훈련시킬 때 사용됐던 각종 데이터나 소스코드에 누구나 무단으로 접근하지 못하도록 해야 합니다. 이를 위해 해당 데이터들에 대한 적절한 접근 정책을 마련하여 적용시키는 것이 좋습니다. 또한 사고가 날 것에 대비하여 위험 평가 및 보고에 관한 절차도 알아두어야 합니다. 개발자들이 이렇게 안전한 환경에서 일하기 시작할 때 위험이 확산되는 것을 늦출 수 있습니다.”
책임감 있는 모델과 시스템을 설계한다는 건, 국토안보부의 이번 프레임워크에 따르면, ‘설계 단계에서부터 보안 원칙을 구축하여 지킨다’는 것을 말한다. 즉 인공지능 모델과 애플리케이션을 만들 때 Security by Design 개념에 입각하라는 것이다. 또한 공개되는 보안 정책을 정기적으로 최신화 하여 상황에 최적화 된 보안 상태를 유지하는 것도 중요하다.
“인공지능 모델 개발자라면 자율적 활동, 물리, 생명과학, 사이버 보안 등 고위험에 속하는 리스크와 자신의 모델이 얼마나 관련이 있을 수 있는지 늘 파악하고 이해한 상태여야 합니다. 그리고 그런 리스크를 최소화 할 수 있는 전략을 수립해 적용해야 합니다. 무엇보다 인공지능의 기능성이 치우친 나머지 인간을 배제시키는 방향성에서의 모델 개발은 적절치 않습니다. 인간 중심의 가치를 실현하는 인공지능을 개발하는 게 중요합니다. 그게 미국이라는 국가의 방향성이라고 이해하면 되겠습니다.”
그렇기 때문에 모델을 개발할 때 처음부터 사용자의 데이터가 최대한 안전할 수 있도록 해야 한다고 국토안보부는 강조한다. “개인의 법적 권리, 선택 사항, 프라이버시라는 가치를 개발자로서 늘 존중해야 합니다. 사용자로부터 최소한의 데이터만 요구하고, 개인정보를 수집하여 처리하고 보관할 때도 가장 안전한 방식을 채택해야 합니다. 이와 관련해서는 이미 여러 제도와 규정들이 마련되어 있으니 그것을 준수하면 되겠습니다.”
또한 인공지능 개발자라면 모델을 공개하기 전에 위험 평가부터 수행해야 한다고 이번 프레임워크는 명시하고 있다. “인공지능을 개방했을 때와 비밀리에 연구할 때의 장단점이 있는데, 그 가치를 잘 확인하여 신중히 비교하는 게 개발자의 몫입니다. 그 다음으로는 인공지능 모델이 이미지, 오디오, 비디오, 텍스트 등을 생성할 때 사람이 생성한 것과 확연히 구분되도록 하는 것이 중요합니다. 이것이야 말로 개발자들의 가장 큰 책임 중 하나라고 할 수 있습니다. 이 방법은 꾸준히 최신화 되어야 할 것입니다.”
당연하지만 개발자도 취약점을 발굴하고 보고하는 절차를 만들어 유지해야 한다. “이미 알려진 취약점에 대해서는 개발자들이 빠르게 움직여 패치를 만들어야 합니다. 취약점 패치는 개발자 당사자만이 할 수 있는 일이기 때문입니다. 그리고 패치를 만들었다면 다양한 배포 창구를 활용해 많은 사용자들이 패치를 적용할 수 있도록 해야 합니다. 고객, 파트너, 규제 기관, ISAC 등을 그런 창구로 활용할 수도 있습니다.”
안전한 인공지능 활용을 위한 역할과 책임 - 사회 기반 시설 운영/관리자
인공지능을 개발하는 사람과, 그 인공지능을 배포하는 인프라(클라우드) 업체가 있다면, 그 인공지능 기술을 실제로 이용하는 사회 기반 시설 운영자들도 있다. 이들 역시 인공지능의 안전한 사용을 위해 해야 할 일들이 있다. “사회 기반 시설 이용 시 발생하는 비용의 절감, 신뢰성 향상, 효율성 증대를 위해 인공지능을 활용하는 사례가 많아지고 있지요. 그러면서 초래되는 불안전 문제도 존재합니다. 따라서 기반 시설 운영자들의 역할과 책임이 충족되어야 합니다.”
[이미지 = gettyimagesbank]
먼저 안전한 환경을 구축한다는 측면에 있어서 운영자들은 IT 인프라가 국제적으로 인정된 표준과 관행을 따르도록 해야 한다. “기술 배포 환경 거버넌스, 견고한 아키텍처 유지, 구성 강화, 네트워크 보호 등 여러 측면에서 기반 시설 운영자들이 참고해야 할 국제 표준들이 있습니다. 이것을 준수하는 것부터가 안전한 환경을 구축하는 일이 됩니다.”
또한 공공 인프라를 운영하는 만큼 각종 요소들을 조달 받을 때도 조달처를 신중하게 선정해야 한다. “전문가의 검증을 받은 제품만을 받아 기반 시설에 구축해야 합니다. 당연하지만, 그런 제품들을 사용할 때 지켜야 할 보안 수칙 역시 잘 숙지하고 있어야 합니다. 특히 인공지능 모델이나 애플리케이션을 사용할 때 객관적이고 전문적인 평가가 있어야 합니다. 그러한 모델/애플리케이션을 왜 사용하는지, 마비되거나 기능 비정상 상태에서 야기될 문제가 무엇인지, 문제 발생 시 어떻게 해결해야 하는지를 중심으로 평가하는 게 좋습니다.”
무엇보다 인공지능 기술이 특정 업무를 성공적으로 해낸다 하더라도 적절한 ‘인간 담당자’를 배치해야 한다고 국토안보부는 강조한다. “중요한 결정까지 인공지능에 맡길 수는 없습니다. 인공지능 모델들이 낸 분석 결과가 어느 정도나 신뢰할 수 있는지 사용자들이 평소부터 파악해두고 있어야 하며, 그러한 내용을 바탕으로 담당자/관리자를 뽑아야 합니다.”
사회 기반 시설을 운영/관리하므로 이용자들의 데이터를 보호하는 임무 또한 가지고 있다. “민감하거나 중요한 사용자 데이터가 부적절하게 노출되지 않도록 해야 합니다. 특히 그런 데이터가 모델을 훈련시키거나 조정할 때 사용되지 못하게 하는 것도 중요합니다. 고객의 허가와 동의에 따라 필요한 만큼만 데이터를 수집, 처리, 전송해야 합니다. 기간이 지나면 삭제하는 것도 분명히 지켜야 합니다.” 관련하여 직원들을 주기적으로 교육해 데이터 보호 문화가 뿌리내리도록 하는 것도 운영자/관리자(기업)의 몫이라고 프레임워크는 강조한다. “그 외 모든 보안 실천 지침들을 지켜야 할 것입니다.”
안전한 인공지능 활용을 위한 역할과 책임 - 시민 사회와 공공 부문
인공지능이 사회 기반 시설 내에서 안전하게 활용되도록 하기 위해서는 시민 사회도 담당해야 할 역할이 있다. “시민 사회란 비정부 기구, 노동조합, 자선 단체, 전문 협회, 재단, 학계, 연구 기관 등을 말합니다. 이들은 사기업들의 인공지능 개발 현황을 모니터링하기도 하고, 인공지능을 활용한 혁신 문화를 조성하기도 하며, 정부 기관과 민간 부문의 다리 역할을 하기도 합니다. 또한 표준, 프레임워크, 솔루션을 직접 개발하기도 하지요. 기업과 기관이 다 채울 수 없는 빈자리를 이들이 채우고 있다고 볼 수 있습니다.”
[이미지 = gettyimagesbank]
프레임워크를 통해 국토안보부가 제안한 시민 사회의 역할은 다음과 같다.
1) 표준, 모범 사례, 지표의 개발과 적극적인 소통
2) 정책 입안자들과 일반 대중들을 대상으로 한 교육 활동
3) 인공지능 시스템 개발 및 배포를 위한 안전 장치 마련 및 관련 정보 제공
4) 프라이버시 보호 강화 기술의 지원
5) 모의 해킹 실험과 훈련에 대한 안전 인프라와 용례 마련
6) 연구 및 혁신을 주도하여 안전한 인공지능 기술에 대한 방향 제시
공공 부문의 경우 연방, 주, 지방, 부족, 영토의 공공 기관들을 포함하며 미국 국민과 기관을 보호하는 역할을 담당한다. 개인과 공동체가 권리를 누릴 수 있도록 보호하는 책임을 맡고 있으며, 비상 상황에서 국민에게 직접적으로 정보를 제공하거나 대국민 지원을 실행해야 하기도 한다. 국토안보부는 이러한 맥락에서 공공 부문이 ‘안전한 인공지능’을 위해 해야 할 일을 다음과 같이 서술하고 있다.
1) 인공지능 관련 필수 서비스와 비상 대응
2) 전 세계적인 인공지능 규범 마련 및 참고
3) 사회 기반 시설 운영 개선을 위한 인공지능 활용의 감독과 모니터링
4) 법과 규제를 통한 표준 개발 및 향상 독려
5) 공동체들과의 협력 체계 구축
6) 안전한 인공지능 연구를 위한 지원
7) 안전한 인공지능이 채택되도록 조언/지원
“최근 인공지능의 발전은 놀랍습니다. 수많은 혜택과 가능성을 약속합니다. 하지만 안전하게 활용되었을 때의 이야기입니다. 이 프레임워크는 인공지능의 안전한 발전을 위해 마련되었고, 특히 인공지능과 관련된 여러 이해 당사자들의 협조를 강조하고 있습니다. 이 프레임워크만으로 모든 안전 대책이 마련된 것은 아니며, 오히려 기초 공사를 시작했다는 것에 더 큰 의의가 있습니다. 앞으로 더 많은 연구와 사례들을 통해 프레임워크는 보강될 것입니다.”
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 인공지능이 사회 주요 기반 시설에까지 사용되기 시작했다. 이는 새로운 업무 능력과 기능성, 일자리 창출로도 이어지지만 반대로 보안 취약성과 실직으로 귀결되기도 한다. 이 모든 것들이 현재 인공지능을 둘러싸고 혼재되어 있는데, 사회 기반 시설에서 단점들이 발휘되기 시작한다면 국가 전체적으로 위기에 봉착할 수 있다. 이에 미국의 국토안보부가 “사회 기반 시설 내에서 인공지능을 안전하게 활용하는 방법”에 관한 프레임워크를 만들어 발표했다. 그 내용을 살펴보고자 한다.
[이미지 = gettyimagesbank]
이번 인공지능 프레임워크의 목적과 기대 효과
국토안보부는 먼저 이번 프레임워크의 목적과 기대 효과에 대해 다음과 같이 나열하고 있다.
1) 인공지능을 안전하게 사용하는 제도를 강화시키고 조화로운 관행을 확립함
2) 주요 공공 서비스의 질 개선
3) 연방 및 공공 기관들 간 신뢰와 투명성 증대
4) 시민권과 시민 자유 보호
5) 주요 사회 기반 시설의 인공지능 보안 연구를 통해 책임 있는 운영 촉진
또한 국토안보부는 인공지능을 사용하는 시스템이나 애플리케이션을 통해 주요 사회 기반 시설과 자산 등에 위협이 있을 수 있는지를 평가할 수 있도록 하기 위해 기존 보안 관련 프레임워크들을 참조했다고 한다. 즉 이번 프레임워크가 완전히 새로운 개념의 문건이 아니라, 이전부터 미국 정부 기관들이 축적해 온 보안 지침들을 ‘인공지능’에 접목시킨 것에 가깝다는 것이다. 그렇기 때문에 다음과 같은 원칙들을 골자로 하고 있다.
1) 기술적으로 위험을 완화시킬 수 있어야 한다
2) 책임 있게 행동하고 책임자를 쉽게 찾아낼 수 있는 시스템을 도입한다
3) 정기적으로 실험과 평가를 수행한다
4) 사고 대응 계획을 수립한다
5) 투명성, 의사소통, 정보 공유가 인공지능 보안에 있어서도 핵심 요소다
그렇다고 해서 이번 프레임워크가 인공지능 보안에 관한 모든 것을 담고 있는 것은 아니다. “중요한 사회 기반 시설 내에서 인공지능을 사용하는 상황에서 지켜야 할 보안 원칙들에 집중하고 있습니다. 즉 클라우드 제공 업체, 인공지능 개발자, 사회 기반 시설 운영자 등이 이 문건을 주로 참고해야 할 주체들인데, 이 프레임워크만이 아니라 각 조직별 및 상황별 대처 방안을 마련해야 할 것입니다. 인공지능은 새로운 기술이며, 따라서 지금 시점에서 인공지능 보안에 관한 완전한 제도나 가이드라인을 마련하기는 불가능합니다. 지속적으로 발전시켜야 합니다.”
미국에서 말하는 사회 기반 시설
미국에서는 ‘사회 기반 시설’이라는 것이 16개 분야로 세분화 되어 있다. 국방, 에너지, 교통, 정보기술, 금융, 식품 및 농업, 통신 등으로 이들 중 하나라도 기능이 마비될 경우 국가에 치명적인 피해를 입힐 수 있다. 이런 시설이나 산업을 국가가 도맡아서 보호할 수는 없고, 미국의 경우 여러 민간 기업들과 파트너십을 맺어 사회 기반 시설들을 운영하고 보호한다. 하지만 국가가 그런 운영과 보호에 있어 어느 정도 권한을 가지고 있으며, 이를 바탕으로 민간 기업이 대처할 수 없는 상황에서 도움을 제공한다.
[이미지 = gettyimagesbank]
이런 상황에서 인공지능이라는 기술이 빠르게 여러 분야, 여러 조직에 스며들기 시작했다. 미국 정부와 함께 사회 기반 시설을 운영하는 민간 업체들과 전문가들도 예외는 아니었다. “이런 상황에서 국토안보부는 사회 기반 시설과 공공 서비스를 이용하는 사용자들에게 미칠 수 있는 부정적인 영향을 이해하고 예측하고 대응해야 합니다. 또한 서비스의 편의와 안전 모두가 미국인 개개인들에게 공평하게 작동하도록 하는 것도 중요합니다. 신기술은 인공지능이 여전히 이런 가치를 지켜내도록 하는 것이 우리의 임무이고, 그것에 이번 프레임워크 작성의 목적입니다.”
이번 프레임워크는 다음 두 가지를 기반으로 하고 있다.
1) 행정명령 14110에 따라 설립된 ‘주요 사회 기반 시설 연례 인공지능 분야별 위험 평가 절차’
2) 곧 발표될 ‘국가 기반 시설 위험 관리 계획’
이와 같은 문건들을 통해 주요 기반 시설에서도 인공지능이 안전하게 잠재력을 발휘할 수 있도록 노력했다고 국토안보부는 강조한다.
주요 사회 기반 시설, 어떤 위협을 받고 있는가
국토안보부는 프레임워크 작성을 위해 연구를 진행하고 자문을 구하며 ‘인공지능과 관련된 위협’을 크게 세 가지 항목으로 나눠 정리할 수 있었다고 한다.
1) 인공지능 기술을 이용한 공격
2) 인공지능 시스템을 표적으로 한 공격
3) 인공지능의 오작동(설계 및 개발 실패로 인한)
그렇다면 이런 공격에 사회 기반 시설이 노출되었을 때 어떤 위험이 있을 수 있을까? 이 역시 국토안보부는 다음과 같이 정리한다.
1) 자산의 위험 : 특정 자산이나 시스템 또는 운영이 중단되거나 물리적 손상을 입는 경우, 이로 인해 특정 계층의 사람들이 서비스를 받지 못하거나 위험에 노출되는 경우까지.
2) 분야의 위험 : 특정 자산을 넘어 특정 분야 전체에까지 영향을 미치는 경우. 즉, 에너지 인프라나 수도 시설에 문제가 생기거나 은행이나 병원이 장애를 일으키는 경우 등.
3) 분야를 넘나드는 위험 : 특정 산업이나 분야를 넘어 보다 광범위한 피해가 예상되는 경우. 예를 들어 정보기술 분야가 마비되는 바람에 항공과 교통 분야에서 혼란이 오거나, 인공지능 도입률이 급증하면서 환경에 부정적 영향이 미치는 등.
4) 국가적 중대 위험 : 나라 전체(국민 전체)의 안전과 인권, 시민권에 심각한 영향을 미치는 경우. 인공지능의 작동으로 화학이나 생물학 무기, 방사능 무기에 피격되는 경우.
이런 ‘위험 항목’들을 염두에 두고 국토안보부는 프레임워크를 통해 위험 완화 조치를 제안하고 있다. “여기서 제안한 조치들이 구현되면 위험의 발생 가능성과 심각도를 낮출 수 있습니다. 중요한 건 공공 부문과 시민 사회는 이러한 영향을 이해하고 조정하는 데 중요한 역할을 한다는 것입니다. 이를 통해, 각 분야가 AI로부터 혜택을 누릴 수 있도록 하되, 인공지능 때문에 발생할 수 있는 피해를 예방, 완화, 복구할 수 있도록 해야 합니다.”
‘공공 부문과 시민 사회가 중요한 역할을 해야 한다’고 설명한 것처럼 국토안보부는 ‘인공지능 안전’을 다섯 가지 범주로 나누고 있다. 각 범주에 속한 전문가들(클라우드 업체, 개발자 등)이 위험을 평가하고 대책을 마련하는 등 적극적으로 참여해야 하기 때문이다. 이는 다음과 같다.
1) 환경의 안전성
2) 책임감 있는 모델 및 시스템 설계
3) 데이터 거버넌스
4) 안전한 기술 및 인력 배치
5) 성능과 영향의 모니터링
“이러한 범주들에 속한 주체들 간 상호 의존성이 없을 수 없습니다. 그렇기 때문에 서로 간의 투명성과 신뢰가 촉진되어야 합니다. 이를 위해서 의사 소통을 위한 창구와 데이터 공유가 적극 선행되어야 합니다. 예를 들어 인공지능 개발자의 경우 모델 설계와 테스트를 통해 어떤 위협들을 해결했는지를 투명하게 공개한다면, 주요 인프라 사업자들이 이를 바탕으로 자신에게 적절한 모델을 효율적으로 구매하거나 도입할 수 있게 됩니다. 클라우드 인프라 제공 업체라면 하드웨어 및 소프트웨어 구성 요소가 무엇이고 어떤 회사에서 공급을 받았는지 공유할 수 있을 겁니다. 그러면 그에 대해 인프라 사업자들이 독자적으로 위험성을 평가할 수 있겠죠.”
안전한 인공지능 활용을 위한 역할과 책임 - 클라우드 업체
먼저 클라우드 업체로서 고려해야 할 ‘환경의 안전성’이란, ‘보안성이 기본적으로 보장되는 환경을 확보한다’는 것을 뜻한다. “이를 위해서 먼저는 환경을 구성하는 하드웨어와 소프트웨어 공급 업체를 심사할 제도가 필요합니다. 그러려면 하드웨어 구성 요소 명세서는 물론 소프트웨어 구성 요소 명세서와 같은 문건도 작성하고 공유해야 합니다. 인공지능을 제공하는 업자들부터 이런 명세서에 근거하여 환경을 구축하면 그 후에 일어날 일들이 보다 안전해질 수 있겠지요.”
[이미지 = gettyimagesbank]
안전하게 하드웨어와 소프트웨어를 구비해 두었다면 다음으로는 그런 하드웨어와 소프트웨어, 데이터들에 대한 접근 제어 정책을 정하고 관리해야 한다. 역할에 기반하여 모두가 적절한 책임을 지고 적절한 권한을 갖도록 하며, 모든 사용 현황을 모니터링 하는 게 중요하다. “뿐만 아니라 여러 기술에서 나올 수 있는 취약점을 어떻게 관리할 것인지, 체계도 마련해야 합니다. 특히 인공지능 사용자들이 쉽게 취약점을 해결하거나 문제에 대응할 수 있도록 하는 것이 중요할 겁니다.”
이 ‘환경의 안전성’ 항목에서만큼은 물리 보안의 중요성도 강조되고 있다. “상황에 따라 다를 수 있지만 물리적으로 ‘안전하다’고 평가 받는 시설들을 보통 다음과 같은 것들을 포함하고 있습니다.”
1) 외곽 울타리와 차량 차단 장치
2) 전자 접근 카드
3) 접근 기록
4) 24시간 활동 모니터링
5) 서버 및 하드웨어에 대한 침해 방지 장치
다음은 ‘책임감 있는 모델 및 시스템 설계’다. 국토안보부는 이 지점에서 ‘취약점 보고’의 중요성을 강조한다. “인공지능을 구현하기 위한 클라우드 및 컴퓨팅 인프라 제공자는 모델과 시스템 설계 프로세스에 영향을 미칠 수 있는 취약점을 찾아낼 경우 반드시 보고해야 하며, 이 때 표준화 된 취약점 관리 프로세스를 따라야 합니다. 안전하게 하드웨어와 소프트웨어까지 다 구축해놓았더라도 취약점을 제대로 관리하지 못하면 모든 것이 허사가 될 수 있습니다.”
하드웨어와 소프트웨어를 안전하게 마련하고, 그것을 운영하기 위한 프로세스까지 구축되었다면, 이제 그런 환경 내에서 생성되거나 소비되는 데이터를 관리해야 한다. “사회 기반 시설에서 사용되는 시스템들은 민감한 정보를 많이 담고 있습니다. 그러므로 데이터의 기밀성이 최우선적으로 유지되어야 합니다. 인공지능을 사용한다고 했을 때 이 점은 더 중요해집니다. 특히 인공지능 모델을 사용하는 사용자의 데이터가 뜻하지 않게 유출되는 일이 없어야 하겠습니다. 이를 위해서 데이터 암호화가 기본이 되어야 합니다.”
기밀성 다음으로 강조되는 건 가용성이다. “사람이 직접 수동으로 개입하지 않아도 최적화된 상태로 유지되는 네트워크를 구성하는 방향으로 나아가야 합니다. 그렇게 해야 사고가 터져도 즉시 복원할 수 있게 됩니다. 공공 시스템과 사회 기반 시설의 보안을 논할 때 ‘서비스가 멈추지 않아야 한다’는 게 굉장히 중요한 덕목이라는 걸 기억해야 합니다. 그러므로 중요한 데이터의 백업 계획이 긴밀히 마련되고 실천되어야 합니다.”
안전한 기술 및 인력 배치가 강조되는 건 바로 이 ‘가용성’ 때문이기도 하다. 국토안보부는 “공공 서비스(혹은 사회 기반 시설)가 마비되는 시나리오를 다양하게 파악함으로써 항상 서비스가 유지되도록 해야 한다”며 “클라우드 및 컴퓨팅 인프라 제공자가 이 점을 책임지기 위해 충분한 실험을 해야 한다”고 강조했다. “여기서 ‘충분한 실험’이란 외부 전문가, 즉 제3자에 의한 것일 수도 있습니다. 또한 사용자 스스로가 어느 정도 진단과 점검을 할 수 있게 도구를 제공하는 것도 좋습니다.”
사회 기반 시설을 운영하는 데 있어 인공지능이 실제로 사용되기 시작한다면, 그 때부터 중요해지는 게 바로 모니터링이다. “비정상적인 활동을 즉각 찾아낼 수 있도록 모니터링 해야 합니다. 그러려면 주구장창 네트워크만 쳐다보는 게 아니라 잠재적 위협과 악용 사례들도 분석해 미리 대비하는 것도 중요합니다. 뭐가 닥쳐올지 알고 모니터링 하는 것과, 그냥 막연히 모니터링 하는 것에는 큰 차이가 있습니다.”
사고에 대한 대비책도 있어야 한다. 아무리 예방 조치를 훌륭하게 취한다 하더라도 공격을 허용할 수 있기 때문이다. “어떤 공격이 어떤 식으로 들어올 때 어떤 대응을 해애 한다는 플레이북을 마련하고 공유해 사고 발생 시 최대한 빠르게 움직일 수 있도록 해야 합니다. 사이버 보안 사고가 있을 수 있겠고, 물리적 침해 시도가 있을 수도 있겠으며, 내부자 위협도 간과해서는 안 됩니다.”
사고에 대한 대비책을 마련할 때 ‘보고 체계’를 구축하는 것도 빼놓을 수 없다고 국토안보부는 강조한다. “의심스럽거나 유해한 활동을 보고할 수 있는 명확한 절차를 마련해야 합니다. 주와 지역, 연방 차원에서 요구되는 것들이 있을 텐데 이것을 준수하는 것이 중요합니다. 정보 공유 및 분석 센터(ISAC)과 연계하여 활동하는 것도 좋습니다.”
안전한 인공지능 활용을 위한 역할과 책임 - 인공지능 개발자
인공지능의 안전을 위해서 개발자들이 맡은 역할도 결코 작다 할 수 없다. “개발자는 인공지능 모델이나 애플리케이션을 만들어내고, 인공지능을 훈련시키는 등의 역할을 담당합니다. 뿐만 아니라 사회 기반 시설 내에서는 다른 회사에서 만든 인공지능 모델을 훈련시키거나 구축하거나 수정하는 역할도 맡습니다. 일반 사용자들을 위한 인공지능 기반 애플리케이션을 만들어 배포해야 할 때도 있습니다.”
[이미지 = gettyimagesbank]
개발자는 인공지능 생애 주기 전반의 안전과 보안에 대한 책임을 진다. 기능이 뛰어나면서도 안전하고, 윤리성을 갖춘 모델과 애플리케이션을 설계하고, 실험하고, 유지보수 하는 사람이라고 볼 수 있다. “물론 모든 개발자를 단 하나의 유형으로 획일화 할 수 없습니다. 개발자들이 인공지능 기술을 다루는 데 있어 맡아야 할 책임과 역할은 다양합니다. 다만 이 프레임워크에서는 인공지능 모델/애플리케이션을 개발하고 관리하고 유지보수하는 사람으로 개발자를 한정 짓고 있습니다.”
개발자들에게 있어 안전한 환경을 구축한다는 건 어떤 의미가 될까? “인공지능을 개발하고 훈련시킬 때 사용됐던 각종 데이터나 소스코드에 누구나 무단으로 접근하지 못하도록 해야 합니다. 이를 위해 해당 데이터들에 대한 적절한 접근 정책을 마련하여 적용시키는 것이 좋습니다. 또한 사고가 날 것에 대비하여 위험 평가 및 보고에 관한 절차도 알아두어야 합니다. 개발자들이 이렇게 안전한 환경에서 일하기 시작할 때 위험이 확산되는 것을 늦출 수 있습니다.”
책임감 있는 모델과 시스템을 설계한다는 건, 국토안보부의 이번 프레임워크에 따르면, ‘설계 단계에서부터 보안 원칙을 구축하여 지킨다’는 것을 말한다. 즉 인공지능 모델과 애플리케이션을 만들 때 Security by Design 개념에 입각하라는 것이다. 또한 공개되는 보안 정책을 정기적으로 최신화 하여 상황에 최적화 된 보안 상태를 유지하는 것도 중요하다.
“인공지능 모델 개발자라면 자율적 활동, 물리, 생명과학, 사이버 보안 등 고위험에 속하는 리스크와 자신의 모델이 얼마나 관련이 있을 수 있는지 늘 파악하고 이해한 상태여야 합니다. 그리고 그런 리스크를 최소화 할 수 있는 전략을 수립해 적용해야 합니다. 무엇보다 인공지능의 기능성이 치우친 나머지 인간을 배제시키는 방향성에서의 모델 개발은 적절치 않습니다. 인간 중심의 가치를 실현하는 인공지능을 개발하는 게 중요합니다. 그게 미국이라는 국가의 방향성이라고 이해하면 되겠습니다.”
그렇기 때문에 모델을 개발할 때 처음부터 사용자의 데이터가 최대한 안전할 수 있도록 해야 한다고 국토안보부는 강조한다. “개인의 법적 권리, 선택 사항, 프라이버시라는 가치를 개발자로서 늘 존중해야 합니다. 사용자로부터 최소한의 데이터만 요구하고, 개인정보를 수집하여 처리하고 보관할 때도 가장 안전한 방식을 채택해야 합니다. 이와 관련해서는 이미 여러 제도와 규정들이 마련되어 있으니 그것을 준수하면 되겠습니다.”
또한 인공지능 개발자라면 모델을 공개하기 전에 위험 평가부터 수행해야 한다고 이번 프레임워크는 명시하고 있다. “인공지능을 개방했을 때와 비밀리에 연구할 때의 장단점이 있는데, 그 가치를 잘 확인하여 신중히 비교하는 게 개발자의 몫입니다. 그 다음으로는 인공지능 모델이 이미지, 오디오, 비디오, 텍스트 등을 생성할 때 사람이 생성한 것과 확연히 구분되도록 하는 것이 중요합니다. 이것이야 말로 개발자들의 가장 큰 책임 중 하나라고 할 수 있습니다. 이 방법은 꾸준히 최신화 되어야 할 것입니다.”
당연하지만 개발자도 취약점을 발굴하고 보고하는 절차를 만들어 유지해야 한다. “이미 알려진 취약점에 대해서는 개발자들이 빠르게 움직여 패치를 만들어야 합니다. 취약점 패치는 개발자 당사자만이 할 수 있는 일이기 때문입니다. 그리고 패치를 만들었다면 다양한 배포 창구를 활용해 많은 사용자들이 패치를 적용할 수 있도록 해야 합니다. 고객, 파트너, 규제 기관, ISAC 등을 그런 창구로 활용할 수도 있습니다.”
안전한 인공지능 활용을 위한 역할과 책임 - 사회 기반 시설 운영/관리자
인공지능을 개발하는 사람과, 그 인공지능을 배포하는 인프라(클라우드) 업체가 있다면, 그 인공지능 기술을 실제로 이용하는 사회 기반 시설 운영자들도 있다. 이들 역시 인공지능의 안전한 사용을 위해 해야 할 일들이 있다. “사회 기반 시설 이용 시 발생하는 비용의 절감, 신뢰성 향상, 효율성 증대를 위해 인공지능을 활용하는 사례가 많아지고 있지요. 그러면서 초래되는 불안전 문제도 존재합니다. 따라서 기반 시설 운영자들의 역할과 책임이 충족되어야 합니다.”
[이미지 = gettyimagesbank]
먼저 안전한 환경을 구축한다는 측면에 있어서 운영자들은 IT 인프라가 국제적으로 인정된 표준과 관행을 따르도록 해야 한다. “기술 배포 환경 거버넌스, 견고한 아키텍처 유지, 구성 강화, 네트워크 보호 등 여러 측면에서 기반 시설 운영자들이 참고해야 할 국제 표준들이 있습니다. 이것을 준수하는 것부터가 안전한 환경을 구축하는 일이 됩니다.”
또한 공공 인프라를 운영하는 만큼 각종 요소들을 조달 받을 때도 조달처를 신중하게 선정해야 한다. “전문가의 검증을 받은 제품만을 받아 기반 시설에 구축해야 합니다. 당연하지만, 그런 제품들을 사용할 때 지켜야 할 보안 수칙 역시 잘 숙지하고 있어야 합니다. 특히 인공지능 모델이나 애플리케이션을 사용할 때 객관적이고 전문적인 평가가 있어야 합니다. 그러한 모델/애플리케이션을 왜 사용하는지, 마비되거나 기능 비정상 상태에서 야기될 문제가 무엇인지, 문제 발생 시 어떻게 해결해야 하는지를 중심으로 평가하는 게 좋습니다.”
무엇보다 인공지능 기술이 특정 업무를 성공적으로 해낸다 하더라도 적절한 ‘인간 담당자’를 배치해야 한다고 국토안보부는 강조한다. “중요한 결정까지 인공지능에 맡길 수는 없습니다. 인공지능 모델들이 낸 분석 결과가 어느 정도나 신뢰할 수 있는지 사용자들이 평소부터 파악해두고 있어야 하며, 그러한 내용을 바탕으로 담당자/관리자를 뽑아야 합니다.”
사회 기반 시설을 운영/관리하므로 이용자들의 데이터를 보호하는 임무 또한 가지고 있다. “민감하거나 중요한 사용자 데이터가 부적절하게 노출되지 않도록 해야 합니다. 특히 그런 데이터가 모델을 훈련시키거나 조정할 때 사용되지 못하게 하는 것도 중요합니다. 고객의 허가와 동의에 따라 필요한 만큼만 데이터를 수집, 처리, 전송해야 합니다. 기간이 지나면 삭제하는 것도 분명히 지켜야 합니다.” 관련하여 직원들을 주기적으로 교육해 데이터 보호 문화가 뿌리내리도록 하는 것도 운영자/관리자(기업)의 몫이라고 프레임워크는 강조한다. “그 외 모든 보안 실천 지침들을 지켜야 할 것입니다.”
안전한 인공지능 활용을 위한 역할과 책임 - 시민 사회와 공공 부문
인공지능이 사회 기반 시설 내에서 안전하게 활용되도록 하기 위해서는 시민 사회도 담당해야 할 역할이 있다. “시민 사회란 비정부 기구, 노동조합, 자선 단체, 전문 협회, 재단, 학계, 연구 기관 등을 말합니다. 이들은 사기업들의 인공지능 개발 현황을 모니터링하기도 하고, 인공지능을 활용한 혁신 문화를 조성하기도 하며, 정부 기관과 민간 부문의 다리 역할을 하기도 합니다. 또한 표준, 프레임워크, 솔루션을 직접 개발하기도 하지요. 기업과 기관이 다 채울 수 없는 빈자리를 이들이 채우고 있다고 볼 수 있습니다.”
[이미지 = gettyimagesbank]
프레임워크를 통해 국토안보부가 제안한 시민 사회의 역할은 다음과 같다.
1) 표준, 모범 사례, 지표의 개발과 적극적인 소통
2) 정책 입안자들과 일반 대중들을 대상으로 한 교육 활동
3) 인공지능 시스템 개발 및 배포를 위한 안전 장치 마련 및 관련 정보 제공
4) 프라이버시 보호 강화 기술의 지원
5) 모의 해킹 실험과 훈련에 대한 안전 인프라와 용례 마련
6) 연구 및 혁신을 주도하여 안전한 인공지능 기술에 대한 방향 제시
공공 부문의 경우 연방, 주, 지방, 부족, 영토의 공공 기관들을 포함하며 미국 국민과 기관을 보호하는 역할을 담당한다. 개인과 공동체가 권리를 누릴 수 있도록 보호하는 책임을 맡고 있으며, 비상 상황에서 국민에게 직접적으로 정보를 제공하거나 대국민 지원을 실행해야 하기도 한다. 국토안보부는 이러한 맥락에서 공공 부문이 ‘안전한 인공지능’을 위해 해야 할 일을 다음과 같이 서술하고 있다.
1) 인공지능 관련 필수 서비스와 비상 대응
2) 전 세계적인 인공지능 규범 마련 및 참고
3) 사회 기반 시설 운영 개선을 위한 인공지능 활용의 감독과 모니터링
4) 법과 규제를 통한 표준 개발 및 향상 독려
5) 공동체들과의 협력 체계 구축
6) 안전한 인공지능 연구를 위한 지원
7) 안전한 인공지능이 채택되도록 조언/지원
“최근 인공지능의 발전은 놀랍습니다. 수많은 혜택과 가능성을 약속합니다. 하지만 안전하게 활용되었을 때의 이야기입니다. 이 프레임워크는 인공지능의 안전한 발전을 위해 마련되었고, 특히 인공지능과 관련된 여러 이해 당사자들의 협조를 강조하고 있습니다. 이 프레임워크만으로 모든 안전 대책이 마련된 것은 아니며, 오히려 기초 공사를 시작했다는 것에 더 큰 의의가 있습니다. 앞으로 더 많은 연구와 사례들을 통해 프레임워크는 보강될 것입니다.”
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
