X

안전한 생성형 인공지능 서비스 구축 방안

1. 안전한 생성형 인공지능 서비스 구축 개요

  • 인공지능 모델은 의료, 복지, 금융, 교육 등 다양한 분야에서 활용될 수 있으며, 대국민 서비스 또는 각급 기관의 효율적 업무를 위한 내부 업무 시스템 등의 형태로 구축될 수 있음
  • 생성형 인공지능(Generative AI) 보안 위협에 대비하여 ChatGPT 등 생성형 대규모 언어모델 기반 안전한 서비스를 구축/활용하기 위해 AI 모델 도입/활용 시 보안성을 고려해야 하며 AI 모델 구축 단계별 보안 위협에 대응 필요

 

2. 구축 유형에 따른 인공지능 모델 도입 시 고려사항

(1) 내부 업무 활용 시스템 도입 시 고려사항

구분 고려사항 세부 활동
기본 고려사항 민감 정보  고려 – 비공개 데이터 등 민감 정보 파악
– AI 모델 처리 시 신중한 방안 수립
외부망 분리 운영 – 인터넷 등 외부망과 분리 상태 운영
– 논리적/물리적 망분리, 망연계 적용
자체 구축 / 정부  자원 활용 기관 소유 시스템 필요 – 기관/정부 소유 정보시스템 기반 추진
– 기관 자체 AI 모델로 학습/강화/가공
제한적 데이터 전달 – 기본적으로 외부로 데이터 전달 불가
– 보안성 담보 망연계 활용 전달은 가능
클라우드 컴퓨팅 환경 활용 보안 등급/대책 준수 – “국가 클라우드 컴퓨팅 보안 가이드라인”의 보안등급 구분, 보안대책 준수
국가정보원 보안성 검토 보안성 검토 절차 준수 – 국가정보보안기본지침, 제15조 제1항
– 국가정보원의 보안성 검토 절차 준수

(2) 외부 업무 활용 시스템 도입 시 고려사항

구분 고려사항 세부 활동
기본 고려사항 데이터 유출 대비 – 외부/전용망으로 데이터 유출 대비
– 대민서비스 등 공개 업무 주의
자체 구축 / 정부 자원 활용 기관 소유 시스템 필요 – 기관/정부 소유 정보시스템 기반 추진
– 기관 자체 AI 모델로 학습/강화/가공
자체 보안 등급 분류 및 AI 모델 도입 판단 – 모든 데이터에 자체 보안등급 분류
– 도입 가능 여부 판단, 주기적 점검
클라우드 컴퓨팅 환경 활용 보안 등급/대책 준수 – “국가 클라우드 컴퓨팅 보안 가이드라인”의 보안등급 구분, 보안대책 준수
민감 데이터 관리 – 상용 서비스 활용 개발 가능
– 민감 정보는 AI 모델 학습 활용 불가
국가정보원 보안성 검토 보안성 검토 절차 준수 – 국가정보보안기본지침, 제15조 제1항
– 국가정보원의 보안성 검토 절차 준수

 

3. 인공지능 모델 API 활용 시 고려사항

(1) AI 모델 API의 데이터 보안 고려사항

구분 고려사항 세부 활동
입력 데이터 검증 유효성 검사 – API 호출 입력 데이터 유효성 검사
– SQL Injection, XSS 공격 행위 방지
개인정보 여부 확인 – API 호출 입력 데이터에 기관 내부 또는 개인정보 포함 여부 확인
개인정보 처리 규정 준수 – “개인정보 보호법” 등 규정 준수
– 민감정보 처리 전 사용자 동의 수집
개인정보 비식별 조치 – 데이터 가명화 및 익명화 조치
– 정보 유출 시 개인 식별 불가 처리
데이터 오남용 방지 데이터 안전성 확인 – API 전달 시 입력 데이터 최소화
– API 반환 결과 검토, 안전성 확인
필수 데이터만 저장 – 불필요 데이터 저장/공유 금지
– 최소 기간만 저장, 이후 완전 삭제
API 키 관리 API 키 암호화 및 관리 – API 키를 암호화된 파일에 보관
– APP 및 사용자 접근권한 최소화
API 키 보안성 유지 – 정기 및 수시 API 키 갱신
– API 키 사용 내용 지속 모니터링

(2) AI 모델 API의 서버 보안 고려사항

구분 고려사항 세부 활동
보안 요구사항 준수 보안 규정 준수 – 국내 보안 법률/규정 기반 운영
– 개인정보보호법, 전자정부법 등
API 이용약관 확인 – API를 사용하기 전 반드시 이용약관을 확인하고 이를 준수
접근 제한 및 인증 접근 제한 – 시스템 특정 부분에 대한 접근제어
RBAC, 사용자, 역할, 권한
사용자 인증 – 사용자 신원 확인, 무단 접근 방지
– 기본 인증, 이중 인증(2FA), 생체 인증
예외 및 오류 처리 올바른 예외 처리 – 시스템이 예외 상황에서도 안정적으로 작동하도록 시스템 신뢰성 확보
적절한 오류 처리 – 예상치 못한 문제로부터 시스템 보호 위해 발생한 오류를 적절하게 처리
사용량 관리 사용량 제한/최적화 – API 사용량 추적하여 사용량 제한
– 사용 패턴 최적화 기반 비용 효율화
타 사용자 방해 차단 – 특정 사용자 과도한 시스템 사용 방지
– 다른 사용자의 서비스 이용 방해 차단
  • HTTPS, SSL/TLS 보안 프로토콜 사용, OAuth 등을 통해 API 보호, 시스템 장애나 보안 사고의 효과적 대응을 위해 DRP (Disaster Recovery Plan) 등 백업/복구 전략 수립

 

4. AI 모델 구축 단계별 보안 위협 대응 방안

  • 안전한 생성형 인공지능 서비스 구축을 위해 AI 모델 도입/활용 시 고려사항과 AI 모델 구축 단계별 보안 위협 대응 방안 외 사항은 “국가 정보보안 기본지침” 등 관련 규정 준수 필요

 
[참고]

  • 국가정보원(NIS), 챗GPT 등 생성형 AI 활용 보안 가이드라인, 2023.6
Categories: 보안
도리:

View Comments (1)