미국과 영국의 정보 보안 전담 기관들이 인공지능을 안전하게 개발시키기 위해 필요한 것들을 모아서 가이드라인 형태로 발표했다. 그리고 여기에 여러 나라와 조직들이 서명했다. 이제 인공지능은 우리 삶에서 사라질 수 없는 기술이 됐다.
[보안뉴스=네이트 넬슨 IT 칼럼니스트] 지난 주말 미국의 보안 전담 기관인 CISA와 영국의 NCSC가 안전한 인공지능 시스템 개발에 대한 새로운 가이드라인을 합동으로 발표했다. 두 나라의 보안 기관이 작성한 문건에 23개 사이버 보안 관련 조직들이 서명했다. 백악관의 인공지능 위협 줄이기 및 ‘설계에 의한 보안’ 개념 정착시키기 노력이 꾸준하고 빠르게 이어지는 중이다.
[이미지 = gettyimagesbank]
이 가이드라인은 말 그대로 ‘가이드라인’이지 규정이 아니다. 참고 자료에 불과할 뿐 반드시 지켜야 하는 규율이 아니라는 것이다. 반면 유럽연합에서 최근 발표했던 인공지능법(AI Act)의 경우는 강제성이 분명하다. 이 때문에 인공지능을 개발하여 사업 아이템으로 삼으려는 기업들은 특정 상황에서 반드시 지켜야 하는 규정은 물론, 중요하게 참고해야 하는 가이드라인도 고려해야 하는 상황이다.
보안 업체 엔도랩스(Endor Labs)의 수석 보안 고문인 크리스 휴즈(Chris Hughes)는 “인공지능을 긍정적으로 활용하는 방법들이 빠르게 개발되는 중이기도 하지만 악의적인 방법 역시 숨가쁘게 등장하는 중”이라고 말한다. “좋든 싫든 이제 인공지능은 우리 삶에 깊숙하게 개입한 채로 남아있을 기술이라는 건 분명해졌습니다. 인공지능 자체를 거부하는 게 아니라 인공지능의 선용을 보다 적극 고민해야 할 단계라는 뜻입니다. 인공지능이 사라지는 때는 오지 않을 것입니다. 선용되지 않는 인공지능이 갈 길은 악용일 뿐입니다.”
미국과 영국, 어떤 가이드라인을 마련했나
CISA와 NCSC도 이러한 현실을 인정하고 이번에 새로운 가이드라인을 마련한 것이라고 볼 수 있다. 두 조직은 안전한 인공지능의 개발과 활용을 위한 가이드라인을 다음과 같이 크게 네 가지로 나눠 분류했다.
1) 안전한 설계 : 위협 및 위험 모델링을 바탕으로 한 설계 과정을 거쳐야 한다.
2) 안전한 개발 : 인공지능 개발의 생애주기를 총체적으로 보호해야 한다. 공급망 보안, 문서화, 자산 관리 방법 등이 꼼꼼하게 수립되어야 한다.
3) 안전한 구축 : 침해 방지와 사건 대응을 고려하면서 구축해야 한다.
4) 구축 이후의 보안 : 구축된 인공지능 시스템에 대한 모니터링과 로깅, 업데이트와 정보 공유가 꾸준히 이뤄져야 한다.
“인공지능 보안에 대한 혁신적인 개념들을 전파하려는 게 아닙니다. 이번 가이드라인이 그런 걸 명시한 것도 아니고요.” 휴즈의 설명이다. “가장 먼저 느껴진 건 CISA가 인공지능의 안전한 개발과 활용을 위해 계속해서 설명하고 또 알리고 있다는 것이었습니다. ‘설계에 의한 보안(security by design)’이라는 개념을 중심으로요. 얼마 전에도 CISA는 독자적으로 인공지능 관련 가이드라인을 발표했었고, 그 때도 ‘설계에 의한 보안’이 강조됐습니다. 계속해서 말하고 말하고 또 말해서 일종의 기저 문화로 정착시키려는 것으로 보이기도 합니다.”
규정이 필요한 건 아닐까?
지난 6월 유럽연합은 ‘인공지능법’을 만장일치에 가까운 압도적인 지지 아래 통과시켰다. 인공지능 산업 내 기업과 전문가들이 알아야 할 책임과 신뢰를 새롭게 정의하는 규정들이 새롭게 마련됐다. 하지만 이번 가이드라인은 아니다. “안내 사항에 불과한 것이 이번 가이드라인의 정체입니다. ‘되도록 그래야 한다’는 식의 표현이 51번이나 등장하죠.” 휴즈의 설명이다.
하지만 그렇기 때문에 실질적인 효과에 대해 의문을 가질 수밖에 없다고 휴즈는 말한다. “우리가 지난 수년 동안 숱하게 경험해 왔지만, 보안은 자율적으로는 절대 지켜지거나 수립되지 않습니다. 보안을 지키려면 지불해야 하는 대가가 있기 때문이죠. 생산성이 떨어진다든지, 시간이 좀 더 걸린다든지 하는 것들이 가장 대표적인 대가입니다. ‘안전해진다’는 보이지 않는 성과를 위해 이런 대가를 지불할 수 있는 사람은 그리 많지 않습니다. 가이드라인이라는 사실상 아무런 효력이 없는 문건으로 사람들이 대가를 지불하도록 만들기는 힘들 겁니다.”
그렇다고 가이드라인 자체가 쓸모 없다고 말하기는 힘들다. “보안을 규정으로서 도입했을 때 장기적인 효과가 있다고 볼 만한 근거가 아직 없습니다. 오히려 빡빡하게 규정을 만들면 교묘하게 규정을 회피해가는 사례가 증가하죠. 그렇기 때문에 규정이 가이드라인보다 옳다고 말하기도 어렵습니다. 지금은 두 가지 모두가 필요합니다. 그러면서 규정과 가이드라인이 가진 장점들을 알아가고 또 조합해 가는 과정이 필요하다고 봅니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=네이트 넬슨 IT 칼럼니스트] 지난 주말 미국의 보안 전담 기관인 CISA와 영국의 NCSC가 안전한 인공지능 시스템 개발에 대한 새로운 가이드라인을 합동으로 발표했다. 두 나라의 보안 기관이 작성한 문건에 23개 사이버 보안 관련 조직들이 서명했다. 백악관의 인공지능 위협 줄이기 및 ‘설계에 의한 보안’ 개념 정착시키기 노력이 꾸준하고 빠르게 이어지는 중이다.
[이미지 = gettyimagesbank]
이 가이드라인은 말 그대로 ‘가이드라인’이지 규정이 아니다. 참고 자료에 불과할 뿐 반드시 지켜야 하는 규율이 아니라는 것이다. 반면 유럽연합에서 최근 발표했던 인공지능법(AI Act)의 경우는 강제성이 분명하다. 이 때문에 인공지능을 개발하여 사업 아이템으로 삼으려는 기업들은 특정 상황에서 반드시 지켜야 하는 규정은 물론, 중요하게 참고해야 하는 가이드라인도 고려해야 하는 상황이다.
보안 업체 엔도랩스(Endor Labs)의 수석 보안 고문인 크리스 휴즈(Chris Hughes)는 “인공지능을 긍정적으로 활용하는 방법들이 빠르게 개발되는 중이기도 하지만 악의적인 방법 역시 숨가쁘게 등장하는 중”이라고 말한다. “좋든 싫든 이제 인공지능은 우리 삶에 깊숙하게 개입한 채로 남아있을 기술이라는 건 분명해졌습니다. 인공지능 자체를 거부하는 게 아니라 인공지능의 선용을 보다 적극 고민해야 할 단계라는 뜻입니다. 인공지능이 사라지는 때는 오지 않을 것입니다. 선용되지 않는 인공지능이 갈 길은 악용일 뿐입니다.”
미국과 영국, 어떤 가이드라인을 마련했나
CISA와 NCSC도 이러한 현실을 인정하고 이번에 새로운 가이드라인을 마련한 것이라고 볼 수 있다. 두 조직은 안전한 인공지능의 개발과 활용을 위한 가이드라인을 다음과 같이 크게 네 가지로 나눠 분류했다.
1) 안전한 설계 : 위협 및 위험 모델링을 바탕으로 한 설계 과정을 거쳐야 한다.
2) 안전한 개발 : 인공지능 개발의 생애주기를 총체적으로 보호해야 한다. 공급망 보안, 문서화, 자산 관리 방법 등이 꼼꼼하게 수립되어야 한다.
3) 안전한 구축 : 침해 방지와 사건 대응을 고려하면서 구축해야 한다.
4) 구축 이후의 보안 : 구축된 인공지능 시스템에 대한 모니터링과 로깅, 업데이트와 정보 공유가 꾸준히 이뤄져야 한다.
“인공지능 보안에 대한 혁신적인 개념들을 전파하려는 게 아닙니다. 이번 가이드라인이 그런 걸 명시한 것도 아니고요.” 휴즈의 설명이다. “가장 먼저 느껴진 건 CISA가 인공지능의 안전한 개발과 활용을 위해 계속해서 설명하고 또 알리고 있다는 것이었습니다. ‘설계에 의한 보안(security by design)’이라는 개념을 중심으로요. 얼마 전에도 CISA는 독자적으로 인공지능 관련 가이드라인을 발표했었고, 그 때도 ‘설계에 의한 보안’이 강조됐습니다. 계속해서 말하고 말하고 또 말해서 일종의 기저 문화로 정착시키려는 것으로 보이기도 합니다.”
규정이 필요한 건 아닐까?
지난 6월 유럽연합은 ‘인공지능법’을 만장일치에 가까운 압도적인 지지 아래 통과시켰다. 인공지능 산업 내 기업과 전문가들이 알아야 할 책임과 신뢰를 새롭게 정의하는 규정들이 새롭게 마련됐다. 하지만 이번 가이드라인은 아니다. “안내 사항에 불과한 것이 이번 가이드라인의 정체입니다. ‘되도록 그래야 한다’는 식의 표현이 51번이나 등장하죠.” 휴즈의 설명이다.
하지만 그렇기 때문에 실질적인 효과에 대해 의문을 가질 수밖에 없다고 휴즈는 말한다. “우리가 지난 수년 동안 숱하게 경험해 왔지만, 보안은 자율적으로는 절대 지켜지거나 수립되지 않습니다. 보안을 지키려면 지불해야 하는 대가가 있기 때문이죠. 생산성이 떨어진다든지, 시간이 좀 더 걸린다든지 하는 것들이 가장 대표적인 대가입니다. ‘안전해진다’는 보이지 않는 성과를 위해 이런 대가를 지불할 수 있는 사람은 그리 많지 않습니다. 가이드라인이라는 사실상 아무런 효력이 없는 문건으로 사람들이 대가를 지불하도록 만들기는 힘들 겁니다.”
그렇다고 가이드라인 자체가 쓸모 없다고 말하기는 힘들다. “보안을 규정으로서 도입했을 때 장기적인 효과가 있다고 볼 만한 근거가 아직 없습니다. 오히려 빡빡하게 규정을 만들면 교묘하게 규정을 회피해가는 사례가 증가하죠. 그렇기 때문에 규정이 가이드라인보다 옳다고 말하기도 어렵습니다. 지금은 두 가지 모두가 필요합니다. 그러면서 규정과 가이드라인이 가진 장점들을 알아가고 또 조합해 가는 과정이 필요하다고 봅니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
