챗GPT 등 생성형 AI의 안전한 활용 장려 및 부작용 최소화 목적
기관·기업은 생성형 AI 개발 과정 중 요구되는 단계 및 법률 등 숙지 및 적용해야
[보안뉴스 이소미 기자] AI는 이미 수십년 동안 시장에 존재해 왔다. 그러나 생성형 AI 챗GPT의 출현은 전 세계적인 이슈로 떠올랐고, 발전 속도는 대중의 관심을 힘입고 걷잡을 수 없이 빠른 속력을 냈다. 그러면서 안전성 검증 절차를 거쳐야 할 충분한 시간은 확보되지 않았고, 이는 곧 잠재적인 위협 요소로 자리 잡았다. 이에 국가기관과 기업들은 챗GPT 도입에 대해 고민하기 시작했다. 일부 기업들은 민감정보 유출에 대한 우려로 사내 챗GPT 금지 또는 내부 승인 등의 방침을 세우기도 했지만, 정부는 공공기관에 생성형 AI 활용을 허용하면서 부작용은 최소화하는 방향으로 정책을 설정해 기준안을 내놓았다. 이에 <보안뉴스>는 국가정보원이 마련한 ‘챗GPT 등 생성형 AI 활용 보안 가이드라인’을 토대로 공공·민간 기관 및 기업을 위한 ‘챗GPT 같은 생성형 AI 활용 시 고려해야 할 대응책’을 정리했다.
[이미지=gettyimagesbank]
생성형 AI 기술의 활용은 오픈AI사의 챗GPT뿐만 아니라 국내·외 민간 업체에서 개발된 AI 모델 또는 자체 AI 모델 구축의 경우도 해당된다. 현재 국내에서 자체 AI 모델을 구축한 기업으로는 네이버와 KT가 있다. 국가정보원이 발표한 챗GPT 등의 활용 보안 가이드라인의 발행 목적은 생성형 AI 모델의 안전한 사용으로, 기관·기업이 자체 AI 기술을 구축해 활용하는 것을 장려하는 취지도 담겨있다.
1. 기업이 준수해야 할 도입 전 고려해야 할 사항
기본적으로 AI 모델은 의료·복지·금융·교육 등 다양한 분야에서 활용될 수 있으므로 기업·기관의 네트워크 환경에 따라 구분될 수 있다.
내부망 : 기본적인 네트워크 환경은 ‘외부망 분리’ 상태로 내부 업무 시스템을 운용하는 경우다. 각급 기관의 주요 업무로 행정업무 등에 활용할 경우 내부 업무 특성상 활용되는 비공개 데이터를 비롯한 민감정보가 AI 모델을 통해 처리되지 않도록 신중한 구축 방안 수립이 필요하다.
기관망이나 외부·전용망 : 네트워크 환경이 기관망 또는 외부·전용망으로 구축해 대민서비스 및 홈페이지 서비스 등 외부에 공개된 업무에 AI 서비스를 활용하는 경우다. 이때 발생할 수 있는 위협 요소로 AI 학습에 활용되는 기관 데이터가 유출될 수 있으므로 충분한 주의가 요구된다.
▲생성형 AI API 기반 공공서비스 구축 시 주의사항[이미지=국가정보원]
2. 각급 기관의 AI 모델 API 활용 및 민간 AI 모델 도입 시
무엇보다 ‘데이터 보안’을 위한 △입력 데이터 검증 △개인정보 처리 △데이터 오남용 방지 △API 키 관리 등의 사항을 고려해야 한다. 또한, API 서버 보안에 있어서 △보안 요구사항 준수 △접근 제한·인증 △예외 및 오류 처리 △사용량 관리 등을 따져봐야 한다.
특히, AI 모델 사용 시 ‘개인정보보호법·전자정부법·사이버안보 업무규정’ 등 보안 요구 사항에 대한 법률 내용 준수는 필수다. 이를 기반으로 시스템을 설계 및 운영해야 한다. AI 모델 API 및 상용 AI 모델 도입 이전에 해당 모델이 조직의 요구사항과 일치하는지 확인해야 한다. 이를 위해 △기술적 특성 △성능 △보안 △비용 등 다양한 측면에서 모델을 검토해야 한다. ‘보안’ 측면에서 상용 AI 모델 제공자의 개인정보처리방침 및 사용자 약관을 참고해 데이터 수집 및 처리 방법을 확인해야 한다.
또한, AI 모델 도입 및 기존 시스템 연계를 위한 기술 전략도 필요하다. 크게 테스트 전략과 시스템 통합 전략으로 나뉘는데, 테스트 전략은 필수 사전 점검 단계로 반드시 해당 모델 결과에 대한 정확성·적절성 등에 관한 테스트로 성능을 측정하는 테스트 케이스를 설계하고 모델 출력에 대해 사람이 직접 검토하는 방안을 마련해야 한다. 이같은 시스템 통합 전략 수립을 위해 시스템 아키텍처 이해와 모델 통합·연계를 위한 기술적 요구사항을 파악해야 한다.
▲AI 모델의 구축 단계에 따른 보안 위협의 대응 방안[자료=국가정보원]
이번 가이드라인은 개발자가 자체 데이터 세트 및 AI 모델 구축 시 수립해야 할 ‘단계별 보안 위협 대응 방안’을 제시한다. △첫째, ‘데이터 수집·전처리 단계’로 자동화된 콘텐츠 필터링 도구를 적용해 개인정보 등 민감 데이터가 포함되지 않도록 완전히 제거해야 한다. △둘째, ‘모델 학습 단계’에서는 AI 모델의 적정 성능 유지와 기관 내 주요 기밀·개인 정보 유출 가능성은 최소화할 수 있는 학습 과정을 거쳐 정보보호 알고리즘(differential privacy)을 적용할 수 있다. △셋째, ‘평가 및 테스트 단계’는 사용자에게 최종적인 답변이 전달되기 전 해당 내용에 대한 어뷰징 질문이나 사회적·윤리적 규범을 벗어나는 답변이 생성되지 않도록 노이즈(noise) 추가 등으로 혹여 발생할 수 있는 데이터 추출 공격 등을 예방할 수 있다. △마지막으로 ‘배포 및 서비스 단계’에서는 정보 유출 대비책을 확실히 마련해야 하는 단계다. 이에 따라 각급 기관은 국가정보원의 ‘국가 정보보안 기본지침’ 및 개인정보보호위원회의 ‘개인정보 유출 대응 매뉴얼’ 등을 참고해 자료 유출 등의 대비책을 마련하고, 유출 현상이 발견되면 기계학습 해제(machine unlearning) 등의 방법을 통해 모델 재학습을 고려해야 한다.
3. 기업 내 자체 또는 상용 AI 모델 개발 및 구축
내부망 : 자체 AI 모델을 개발하려는 경우 정부 기관 소유의 정보시스템을 통해 추진 가능하며, 지속적인 학습·강화·가공 등의 개발 서비스를 운영할 수 있다. 단, 구축 및 개발 목적의 기업·기관 데이터 및 질의문·생성물과 관련해 자체 기관 외로의 이동은 특수한 경우를 제외하고 불가하도록 제한했다. 이는 해당 기업·기관의 사내 정보 및 기밀 유출 방지를 위해서다. 예외적으로 데이터 이동이 가능한 경우는 안전한 망연계 시스템 활용 등 보안성이 담보된 보안 대책을 준수하는 경우만 가능하다.
외부·전용망 : 자체 AI 모델 구축·개발하는 경우는 내부망 기업·기관과 동일하나, 상용 AI 모델 도입 서비스 개발 추진 시에는 AI 학습에 활용되는 모든 데이터에 대한 기관 자체 보안등급 분류 도입 가능 여부를 판단해야 한다. 개발 이후에는 주기적인 데이터 등급 지정 및 점검 등을 통한 철저한 관리가 필요하다.
4. 클라우드 컴퓨팅 기술·환경 활용 시 보안 등급 구분 및 대책 준수
‘클라우드 컴퓨팅’은 가상화·초고속 네트워크 기술을 이용해 IT 자원의 효율성을 극대화하는 기술로 이용범위가 점차 확대되고 있다. 단, 해킹, DDoS 공격의 표적이 되기 쉽고, 컴퓨팅 특성상 보안 위협이 내재돼 있어 도입 시 타당성 검토와 보안 기준을 준수한 안전한 클라우드 컴퓨팅 서비스를 구축·도입해야 한다. 내·외부망 공통으로 ‘국가 클라우드 컴퓨팅 보안 가이드라인’에 따른 보안등급(영역별 시스템 보안 중요도 상·중·하) 구분과 보안대책을 준수해 개발 및 운영할 수 있다.
▲시스템 중요도 분류 등급 및 세부사항[자료=국가정보원]
또한, 국가정보원 보안성 검토 절차 준수에 따라 ‘국가정보보안기본지침’ 제15조(검토 기관) 제1항 제19호에 의거해 첨단 정보통신기술 활용 정보화사업 추진을 위해 국가정보원의 사전 보안성 검토 절차를 준수해야 한다. 이는 국가정보원장이 해당 기술에 대한 안전성 확인이 필요하다고 지정하는 사업의 일환으로 정보화사업의 규모·중요도 등을 고려해 상급기관장에게 보안성 검토를 위임할 수도 있다.
내부망 : 클라우드 컴퓨팅 서비스 구축 및 도입 시 외부·전용망과 달리 인터넷 기반의 서비스 관련 기술은 사용할 수 없으며, 기관 내부 행정망 이외의 네트워크에 연결되어 있거나 물리적 영역 분리가 이루어지지 않은 경우에도 이용 불가하다. 단, 기관 내부와의 통신은 전용선이나 암호화 통신(VPN 등)으로 활용이 가능하다.
외부·전용망 : 클라우드컴퓨팅 서비스 내에서 제공되는 관련 상용 서비스를 활용해 개발할 수 있다. AI 모델 학습에 이용되는 기관 데이터 및 사용자 질의문 등 개발·운용 시 이용되는 모든 데이터는 기관 소유로 민감한 내부 정보는 AI 모델 학습에 활용되지 않도록 해야 한다. 이를 위해 데이터 제어 설정을 진행하고, 개인정보 입력이나 기관 내부자료, 보안 관련 질문은 회피하는 등 데이터 관리 및 보안에 주의를 기울여야 한다.
[이소미 기자(boan4@boannews.com)]
기관·기업은 생성형 AI 개발 과정 중 요구되는 단계 및 법률 등 숙지 및 적용해야
[보안뉴스 이소미 기자] AI는 이미 수십년 동안 시장에 존재해 왔다. 그러나 생성형 AI 챗GPT의 출현은 전 세계적인 이슈로 떠올랐고, 발전 속도는 대중의 관심을 힘입고 걷잡을 수 없이 빠른 속력을 냈다. 그러면서 안전성 검증 절차를 거쳐야 할 충분한 시간은 확보되지 않았고, 이는 곧 잠재적인 위협 요소로 자리 잡았다. 이에 국가기관과 기업들은 챗GPT 도입에 대해 고민하기 시작했다. 일부 기업들은 민감정보 유출에 대한 우려로 사내 챗GPT 금지 또는 내부 승인 등의 방침을 세우기도 했지만, 정부는 공공기관에 생성형 AI 활용을 허용하면서 부작용은 최소화하는 방향으로 정책을 설정해 기준안을 내놓았다. 이에 <보안뉴스>는 국가정보원이 마련한 ‘챗GPT 등 생성형 AI 활용 보안 가이드라인’을 토대로 공공·민간 기관 및 기업을 위한 ‘챗GPT 같은 생성형 AI 활용 시 고려해야 할 대응책’을 정리했다.
[이미지=gettyimagesbank]
생성형 AI 기술의 활용은 오픈AI사의 챗GPT뿐만 아니라 국내·외 민간 업체에서 개발된 AI 모델 또는 자체 AI 모델 구축의 경우도 해당된다. 현재 국내에서 자체 AI 모델을 구축한 기업으로는 네이버와 KT가 있다. 국가정보원이 발표한 챗GPT 등의 활용 보안 가이드라인의 발행 목적은 생성형 AI 모델의 안전한 사용으로, 기관·기업이 자체 AI 기술을 구축해 활용하는 것을 장려하는 취지도 담겨있다.
1. 기업이 준수해야 할 도입 전 고려해야 할 사항
기본적으로 AI 모델은 의료·복지·금융·교육 등 다양한 분야에서 활용될 수 있으므로 기업·기관의 네트워크 환경에 따라 구분될 수 있다.
내부망 : 기본적인 네트워크 환경은 ‘외부망 분리’ 상태로 내부 업무 시스템을 운용하는 경우다. 각급 기관의 주요 업무로 행정업무 등에 활용할 경우 내부 업무 특성상 활용되는 비공개 데이터를 비롯한 민감정보가 AI 모델을 통해 처리되지 않도록 신중한 구축 방안 수립이 필요하다.
기관망이나 외부·전용망 : 네트워크 환경이 기관망 또는 외부·전용망으로 구축해 대민서비스 및 홈페이지 서비스 등 외부에 공개된 업무에 AI 서비스를 활용하는 경우다. 이때 발생할 수 있는 위협 요소로 AI 학습에 활용되는 기관 데이터가 유출될 수 있으므로 충분한 주의가 요구된다.
▲생성형 AI API 기반 공공서비스 구축 시 주의사항[이미지=국가정보원]
2. 각급 기관의 AI 모델 API 활용 및 민간 AI 모델 도입 시
무엇보다 ‘데이터 보안’을 위한 △입력 데이터 검증 △개인정보 처리 △데이터 오남용 방지 △API 키 관리 등의 사항을 고려해야 한다. 또한, API 서버 보안에 있어서 △보안 요구사항 준수 △접근 제한·인증 △예외 및 오류 처리 △사용량 관리 등을 따져봐야 한다.
특히, AI 모델 사용 시 ‘개인정보보호법·전자정부법·사이버안보 업무규정’ 등 보안 요구 사항에 대한 법률 내용 준수는 필수다. 이를 기반으로 시스템을 설계 및 운영해야 한다. AI 모델 API 및 상용 AI 모델 도입 이전에 해당 모델이 조직의 요구사항과 일치하는지 확인해야 한다. 이를 위해 △기술적 특성 △성능 △보안 △비용 등 다양한 측면에서 모델을 검토해야 한다. ‘보안’ 측면에서 상용 AI 모델 제공자의 개인정보처리방침 및 사용자 약관을 참고해 데이터 수집 및 처리 방법을 확인해야 한다.
또한, AI 모델 도입 및 기존 시스템 연계를 위한 기술 전략도 필요하다. 크게 테스트 전략과 시스템 통합 전략으로 나뉘는데, 테스트 전략은 필수 사전 점검 단계로 반드시 해당 모델 결과에 대한 정확성·적절성 등에 관한 테스트로 성능을 측정하는 테스트 케이스를 설계하고 모델 출력에 대해 사람이 직접 검토하는 방안을 마련해야 한다. 이같은 시스템 통합 전략 수립을 위해 시스템 아키텍처 이해와 모델 통합·연계를 위한 기술적 요구사항을 파악해야 한다.
▲AI 모델의 구축 단계에 따른 보안 위협의 대응 방안[자료=국가정보원]
이번 가이드라인은 개발자가 자체 데이터 세트 및 AI 모델 구축 시 수립해야 할 ‘단계별 보안 위협 대응 방안’을 제시한다. △첫째, ‘데이터 수집·전처리 단계’로 자동화된 콘텐츠 필터링 도구를 적용해 개인정보 등 민감 데이터가 포함되지 않도록 완전히 제거해야 한다. △둘째, ‘모델 학습 단계’에서는 AI 모델의 적정 성능 유지와 기관 내 주요 기밀·개인 정보 유출 가능성은 최소화할 수 있는 학습 과정을 거쳐 정보보호 알고리즘(differential privacy)을 적용할 수 있다. △셋째, ‘평가 및 테스트 단계’는 사용자에게 최종적인 답변이 전달되기 전 해당 내용에 대한 어뷰징 질문이나 사회적·윤리적 규범을 벗어나는 답변이 생성되지 않도록 노이즈(noise) 추가 등으로 혹여 발생할 수 있는 데이터 추출 공격 등을 예방할 수 있다. △마지막으로 ‘배포 및 서비스 단계’에서는 정보 유출 대비책을 확실히 마련해야 하는 단계다. 이에 따라 각급 기관은 국가정보원의 ‘국가 정보보안 기본지침’ 및 개인정보보호위원회의 ‘개인정보 유출 대응 매뉴얼’ 등을 참고해 자료 유출 등의 대비책을 마련하고, 유출 현상이 발견되면 기계학습 해제(machine unlearning) 등의 방법을 통해 모델 재학습을 고려해야 한다.
3. 기업 내 자체 또는 상용 AI 모델 개발 및 구축
내부망 : 자체 AI 모델을 개발하려는 경우 정부 기관 소유의 정보시스템을 통해 추진 가능하며, 지속적인 학습·강화·가공 등의 개발 서비스를 운영할 수 있다. 단, 구축 및 개발 목적의 기업·기관 데이터 및 질의문·생성물과 관련해 자체 기관 외로의 이동은 특수한 경우를 제외하고 불가하도록 제한했다. 이는 해당 기업·기관의 사내 정보 및 기밀 유출 방지를 위해서다. 예외적으로 데이터 이동이 가능한 경우는 안전한 망연계 시스템 활용 등 보안성이 담보된 보안 대책을 준수하는 경우만 가능하다.
외부·전용망 : 자체 AI 모델 구축·개발하는 경우는 내부망 기업·기관과 동일하나, 상용 AI 모델 도입 서비스 개발 추진 시에는 AI 학습에 활용되는 모든 데이터에 대한 기관 자체 보안등급 분류 도입 가능 여부를 판단해야 한다. 개발 이후에는 주기적인 데이터 등급 지정 및 점검 등을 통한 철저한 관리가 필요하다.
4. 클라우드 컴퓨팅 기술·환경 활용 시 보안 등급 구분 및 대책 준수
‘클라우드 컴퓨팅’은 가상화·초고속 네트워크 기술을 이용해 IT 자원의 효율성을 극대화하는 기술로 이용범위가 점차 확대되고 있다. 단, 해킹, DDoS 공격의 표적이 되기 쉽고, 컴퓨팅 특성상 보안 위협이 내재돼 있어 도입 시 타당성 검토와 보안 기준을 준수한 안전한 클라우드 컴퓨팅 서비스를 구축·도입해야 한다. 내·외부망 공통으로 ‘국가 클라우드 컴퓨팅 보안 가이드라인’에 따른 보안등급(영역별 시스템 보안 중요도 상·중·하) 구분과 보안대책을 준수해 개발 및 운영할 수 있다.
▲시스템 중요도 분류 등급 및 세부사항[자료=국가정보원]
또한, 국가정보원 보안성 검토 절차 준수에 따라 ‘국가정보보안기본지침’ 제15조(검토 기관) 제1항 제19호에 의거해 첨단 정보통신기술 활용 정보화사업 추진을 위해 국가정보원의 사전 보안성 검토 절차를 준수해야 한다. 이는 국가정보원장이 해당 기술에 대한 안전성 확인이 필요하다고 지정하는 사업의 일환으로 정보화사업의 규모·중요도 등을 고려해 상급기관장에게 보안성 검토를 위임할 수도 있다.
내부망 : 클라우드 컴퓨팅 서비스 구축 및 도입 시 외부·전용망과 달리 인터넷 기반의 서비스 관련 기술은 사용할 수 없으며, 기관 내부 행정망 이외의 네트워크에 연결되어 있거나 물리적 영역 분리가 이루어지지 않은 경우에도 이용 불가하다. 단, 기관 내부와의 통신은 전용선이나 암호화 통신(VPN 등)으로 활용이 가능하다.
외부·전용망 : 클라우드컴퓨팅 서비스 내에서 제공되는 관련 상용 서비스를 활용해 개발할 수 있다. AI 모델 학습에 이용되는 기관 데이터 및 사용자 질의문 등 개발·운용 시 이용되는 모든 데이터는 기관 소유로 민감한 내부 정보는 AI 모델 학습에 활용되지 않도록 해야 한다. 이를 위해 데이터 제어 설정을 진행하고, 개인정보 입력이나 기관 내부자료, 보안 관련 질문은 회피하는 등 데이터 관리 및 보안에 주의를 기울여야 한다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
