2023년 8월 5일
안전한 생성형 인공지능 서비스 구축 방안
1. 안전한 생성형 인공지능 서비스 구축 개요
 |
- 인공지능 모델은 의료, 복지, 금융, 교육 등 다양한 분야에서 활용될 수 있으며, 대국민 서비스 또는 각급 기관의 효율적 업무를 위한 내부 업무 시스템 등의 형태로 구축될 수 있음
- 생성형 인공지능(Generative AI) 보안 위협에 대비하여 ChatGPT 등 생성형 대규모 언어모델 기반 안전한 서비스를 구축/활용하기 위해 AI 모델 도입/활용 시 보안성을 고려해야 하며 AI 모델 구축 단계별 보안 위협에 대응 필요
2. 구축 유형에 따른 인공지능 모델 도입 시 고려사항
(1) 내부 업무 활용 시스템 도입 시 고려사항
| 구분 | 고려사항 | 세부 활동 |
|---|---|---|
| 기본 고려사항 | 민감 정보 고려 | – 비공개 데이터 등 민감 정보 파악 – AI 모델 처리 시 신중한 방안 수립 |
| 외부망 분리 운영 | – 인터넷 등 외부망과 분리 상태 운영 – 논리적/물리적 망분리, 망연계 적용 | |
| 자체 구축 / 정부 자원 활용 | 기관 소유 시스템 필요 | – 기관/정부 소유 정보시스템 기반 추진 – 기관 자체 AI 모델로 학습/강화/가공 |
| 제한적 데이터 전달 | – 기본적으로 외부로 데이터 전달 불가 – 보안성 담보 망연계 활용 전달은 가능 | |
| 클라우드 컴퓨팅 환경 활용 | 보안 등급/대책 준수 | – “국가 클라우드 컴퓨팅 보안 가이드라인”의 보안등급 구분, 보안대책 준수 |
| 국가정보원 보안성 검토 | 보안성 검토 절차 준수 | – 국가정보보안기본지침, 제15조 제1항 – 국가정보원의 보안성 검토 절차 준수 |
(2) 외부 업무 활용 시스템 도입 시 고려사항
| 구분 | 고려사항 | 세부 활동 |
|---|---|---|
| 기본 고려사항 | 데이터 유출 대비 | – 외부/전용망으로 데이터 유출 대비 – 대민서비스 등 공개 업무 주의 |
| 자체 구축 / 정부 자원 활용 | 기관 소유 시스템 필요 | – 기관/정부 소유 정보시스템 기반 추진 – 기관 자체 AI 모델로 학습/강화/가공 |
| 자체 보안 등급 분류 및 AI 모델 도입 판단 | – 모든 데이터에 자체 보안등급 분류 – 도입 가능 여부 판단, 주기적 점검 | |
| 클라우드 컴퓨팅 환경 활용 | 보안 등급/대책 준수 | – “국가 클라우드 컴퓨팅 보안 가이드라인”의 보안등급 구분, 보안대책 준수 |
| 민감 데이터 관리 | – 상용 서비스 활용 개발 가능 – 민감 정보는 AI 모델 학습 활용 불가 | |
| 국가정보원 보안성 검토 | 보안성 검토 절차 준수 | – 국가정보보안기본지침, 제15조 제1항 – 국가정보원의 보안성 검토 절차 준수 |
3. 인공지능 모델 API 활용 시 고려사항
(1) AI 모델 API의 데이터 보안 고려사항
| 구분 | 고려사항 | 세부 활동 |
|---|---|---|
| 입력 데이터 검증 | 유효성 검사 | – API 호출 입력 데이터 유효성 검사 – SQL Injection, XSS 공격 행위 방지 |
| 개인정보 여부 확인 | – API 호출 입력 데이터에 기관 내부 또는 개인정보 포함 여부 확인 | |
| 개인정보 처리 | 규정 준수 | – “개인정보 보호법” 등 규정 준수 – 민감정보 처리 전 사용자 동의 수집 |
| 개인정보 비식별 조치 | – 데이터 가명화 및 익명화 조치 – 정보 유출 시 개인 식별 불가 처리 | |
| 데이터 오남용 방지 | 데이터 안전성 확인 | – API 전달 시 입력 데이터 최소화 – API 반환 결과 검토, 안전성 확인 |
| 필수 데이터만 저장 | – 불필요 데이터 저장/공유 금지 – 최소 기간만 저장, 이후 완전 삭제 | |
| API 키 관리 | API 키 암호화 및 관리 | – API 키를 암호화된 파일에 보관 – APP 및 사용자 접근권한 최소화 |
| API 키 보안성 유지 | – 정기 및 수시 API 키 갱신 – API 키 사용 내용 지속 모니터링 |
(2) AI 모델 API의 서버 보안 고려사항
| 구분 | 고려사항 | 세부 활동 |
|---|---|---|
| 보안 요구사항 준수 | 보안 규정 준수 | – 국내 보안 법률/규정 기반 운영 – 개인정보보호법, 전자정부법 등 |
| API 이용약관 확인 | – API를 사용하기 전 반드시 이용약관을 확인하고 이를 준수 | |
| 접근 제한 및 인증 | 접근 제한 | – 시스템 특정 부분에 대한 접근제어 – RBAC, 사용자, 역할, 권한 |
| 사용자 인증 | – 사용자 신원 확인, 무단 접근 방지 – 기본 인증, 이중 인증(2FA), 생체 인증 | |
| 예외 및 오류 처리 | 올바른 예외 처리 | – 시스템이 예외 상황에서도 안정적으로 작동하도록 시스템 신뢰성 확보 |
| 적절한 오류 처리 | – 예상치 못한 문제로부터 시스템 보호 위해 발생한 오류를 적절하게 처리 | |
| 사용량 관리 | 사용량 제한/최적화 | – API 사용량 추적하여 사용량 제한 – 사용 패턴 최적화 기반 비용 효율화 |
| 타 사용자 방해 차단 | – 특정 사용자 과도한 시스템 사용 방지 – 다른 사용자의 서비스 이용 방해 차단 |
- HTTPS, SSL/TLS 보안 프로토콜 사용, OAuth 등을 통해 API 보호, 시스템 장애나 보안 사고의 효과적 대응을 위해 DRP (Disaster Recovery Plan) 등 백업/복구 전략 수립
4. AI 모델 구축 단계별 보안 위협 대응 방안
 |
- 안전한 생성형 인공지능 서비스 구축을 위해 AI 모델 도입/활용 시 고려사항과 AI 모델 구축 단계별 보안 위협 대응 방안 외 사항은 “국가 정보보안 기본지침” 등 관련 규정 준수 필요
[참고]
- 국가정보원(NIS), 챗GPT 등 생성형 AI 활용 보안 가이드라인, 2023.6
About The Author
도리
One Comment
좋은 자료 감사합니다.