(국정원)챗GPT등 생성형AI활용 보안 가이드라인

(국정원 챗GPT등 생성형 AI 활용 보안 가이드라인)

요즘 수많은 공공기관과 지자체에서는 빠르게 발전하는 생성형 AI 기술에 눈을 돌리고 있습니다. 이 기술은 혁신적인 가능성을 품고 있지만, 그만큼 보안과 관련된 고민도 함께 가져야 합니다. 그래서 2023년 6월, 국정원이 생성형 AI의 보안 가이드라인을 발표했습니다. 이 문서는 생성형 인공지능 기술의 대표적인 보안 위협을 정의하고, 보안 적용 가이드라인과 주요한 구축 방안을 체계적으로 제시하고 있습니다. 이 가이드라인은 공공기관과 민간기업 모두에게 중요한 역할을 할 것으로 기대됩니다. 이제 함께 이 가이드라인을 살펴보며, 생성형 AI 보안의 필요성과 전략적인 접근 방식에 대해 알아보겠습니다.

이 가이드에는 참조할만한 해외의 주요 동향도 실려 있습니다.

• 유럽 연합은 인공지능 법(AI Act) 초안을 통과시켰습니다. 이에 따라 대규모 언어모델 및 생성 AI 제공업체는 안전 점검과 데이터 거버넌스를 적용해야 합니다.
• 미국과 유럽연합은 생성형 인공지능의 부작용을 줄이기 위한 자발적 행동강령을 마련 중입니다.
• 미국 백악관은 생성형 인공지능 시스템의 취약점 테스트를 위해 공개 평가를 진행할 예정입니다.
• 캐나다 개인정보 보호 규제당국은 OpenAI의 데이터 사용에 대한 공동 조사를 진행하고 있습니다.
• 이탈리아는 챗GPT의 개인정보 보호 문제로 사용 금지 조치를 내렸지만, 이후 해제되었습니다.
• 일본은 생성형 인공지능 챗봇의 확산에 대응하기 위해 AI 전략팀을 신설하여 관련 과제를 논의 중입니다.

 그럼 이 가이드에서 정의한 위협을 살펴보겟습니다.

 

(국정원 가이드, 보안위협)

(Hallucination)

(적대적 메세지)

(악성AI모델을 통한 사기행워)

 

(수집 및 AI모델에 의한 데이터 유출)

 

(해커에 의한 데이터 유출)

 

(플러그인 취약점)

 

(확장 프로그램 취약점)

 

(API 취약점)

정리된 표와 같이 생성형 AI 모델의 잠재적인 위험과 보안 문제를 정의하고 있습니다. AI 모델의 편향, 최신 데이터 학습 부족, 환각 현상과 같은 잘못된 정보 생성등 원인과 현재 논의되고 있는 여러 보안위협이 잘 정의되어 있습니다.

그럼 지금부터 이런 보안 위협에 생성형 인공지능 사용 가이드라인을 살펴보겟습니다.

(가이드라인)

마지막으로 생성형 인공지능 기반 정보화사업 구축 방안 및 보안 대책을 살펴 보겟습니다.

(공공서비스 구축 시 주의사항)

구축 유형에 따른 생성 AI 기술 도입 시 고려사항은 다음과 같습니다.

(가) 내부 행정 업무 활용 시스템 도입 (내부망 구축 시):

• 기관 내부망에 AI 모델을 구축할 경우, 비공개 데이터와 민감 정보가 처리되기 때문에 신중한 구축 방안이 필요하다.
• 내부 업무 시스템은 외부망과 분리된 상태로 운영되어야 한다.
• 기관 자체 구축 또는 정부 기관 소유의 정보 시스템을 통해 AI 모델을 개발하고 서비스할 수 있다. 단, 데이터의 보안을 위해 기관 외부로 직접적인 이동은 제한되며, 망분리 보안대책을 준수해야 한다.
• 클라우드 컴퓨팅 기술과 환경을 활용하는 경우, "국가 클라우드 컴퓨팅 보안 가이드라인"의 보안 등급과 대책을 준수해야 한다.
• 국가정보원의 보안성 검토 절차를 준수해야 한다.

(나) 대민서비스 등 외부 업무 활용 시스템 도입(외부·전용망 구축 시):

• AI 모델 기반 AI 서비스를 외부·전용망에 구축할 경우, 기관 데이터 유출에 주의해야 한다.
• 기관 자체 구축 또는 정부 기관 소유의 정보 시스템을 통해 AI 모델을 개발하고 서비스할 수 있다. 단, 상용 AI 모델 도입 시 기관 보안등급 분류와 데이터 관리에 주의해야 한다.
• 클라우드 컴퓨팅 기술과 환경을 활용하는 경우, "국가 클라우드 컴퓨팅 보안 가이드라인"의 보안 등급과 대책을 준수해야 한다. 기관 소유 데이터의 관리와 민감한 내부 정보가 AI 모델 학습에 활용되지 않도록 주의해야 한다.
• 국가정보원의 보안성 검토 절차를 준수해야 한다.

AI 모델 API의 데이터 보안 고려사항은 다음과 같습니다

• 입력 데이터 검증: API 호출 시 입력 데이터의 유효성을 검사하여 SQL 주입 및 XSS 공격 등을 방지하고, 기관 내부 정보나 개인정보의 포함 여부를 확인합니다.
• 개인정보 처리: 개인정보 보호법 등의 규정을 준수하여 데이터 처리를 진행하며, 사용자의 동의를 수집하고 데이터 가명화 및 익명화를 통해 개인 식별을 방지합니다.
• 데이터 오남용 방지: API에 전달하는 사용자 입력 데이터를 최소화하고, 반환되는 결과를 검토하여 안전성과 정확성을 확인합니다. 불필요한 데이터의 저장 및 공유를 금지하고 필요한 최소 기간 동안만 데이터를 보관하며, 보관 기간 이후에는 데이터를 완전히 삭제합니다.
• API 키 관리: API 키를 암호화된 파일에 보관하고, 접근 권한을 최소화하고 정기적인 갱신을 통해 보안성을 유지하며, 허가되지 않은 사용이나 악의적 활동을 신속하게 감지하고 대응합니다.

AI 모델 API의 서버 보안 고려사항은 다음과 같습니다:

• 보안 요구사항 준수: 국내 보안 관련 법률과 규정을 준수하여 시스템을 설계하고 운영합니다. API 이용약관을 확인하고 준수합니다.
• 접근 제한 및 인증: 사용자, 역할, 권한에 따라 접근 제어를 수행하고 다양한 인증 방법을 통해 사용자의 신원을 보장하고 무단 접근을 방지합니다.
• 예외 및 오류 처리: 올바른 예외 처리를 통해 시스템의 안정성을 확보하고 예상치 못한 문제에 대한 적절한 오류 처리를 수행합니다.
• 사용량 관리: API 사용량을 추적하고 필요에 따라 사용량 제한 또는 최적화를 수행하여 과도한 사용으로 인한 다른 사용자의 서비스 이용 방해를 방지합니다.
• 기타 고려사항: HTTPS, SSL/TLS 등의 보안 프로토콜을 사용하여 데이터를 안전하게 전송하며, API 키 관리, 시스템 보안 유지, 로그 수집 및 분석, 안전한 코딩 기법 등을 적용하여 공격을 방지하고 보안하기 위해 최소한의 권한을 적용하고 권한 변경을 철저히 관리합니다. 직원들에게는 보안 교육을 실시하여 내부에서 발생할 수 있는 보안 위협에 대비합니다. 또한, 시스템 장애나 보안 사고에 신속하고 효과적으로 대응하기 위해 사고 대응 프로세스를 정의하고 데이터 백업과 복구 전략을 수립합니다. 이러한 보안 고려사항을 준수함으로써 AI 모델 API의 데이터 및 서버 보안을 강화할 수 있습니다.

 

마지막으로 AI 모델 API 및 상용 AI 모델을 도입하기 전에 기술 검토를 해야 합니다. 이를 위해 기술적 특성, 성능, 보안, 비용 등을 고려해야 합니다. AI 모델의 출력 품질과 유용성, 데이터 보안 등을 확인하고 적절한 모델을 선택해야 합니다. 도입 전에는 모델의 정확성과 적절성을 테스트하여 검증해야 합니다. 시스템 통합을 위해 시스템 아키텍처를 이해하고, 기술적 요구사항을 파악해야 합니다. 데이터 수집/전처리, 모델 학습, 평가/테스트, 배포/서비스 단계에서도 보안 위협에 대응해야 합니다. 데이터 전처리에서는 민감한 데이터를 제거하고 중복된 데이터를 제거해야 합니다. 모델 학습에서는 기밀 정보 유출 가능성을 최소화하고 정보 유출을 방지하는 알고리즘을 적용해야 합니다. 평가/테스트 단계에서는 의도하지 않은 질문에 대한 답변을 거부하고 출력 결과를 제한해야 합니다. 배포/서비스 단계에서는 정보 유출 대책을 마련하고 민감한 정보를 암기 및 유출하는 모델을 재학습해야 합니다.

요약해 본다면,

(보안수칙)