Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- CCPA
- 사물인터넷 취약점
- it성숙도모델
- pdpa
- 금융보안
- 외주업무 수행 시
- 가이드라인
- 보안서약서
- 프로젝트 시작 시
- 비밀유지서약서
- 혼자쓰는보고서
- 출입보안
- ot보안 #ics보안 #기술보안 #공장신규구축
- 스마트공장보안
- 정보시스템감사사
- 재직자용
- 휴대용컴퓨터사용자
- 정보시스템감사
- OT보안
- usb사용자
- 개인정보보호
- 사례정리
- 국가핵심기술
- 보안사고
- CISA
- AI보안
- OWASP IoT
- 회사제공pc사용자
- 씨사
- 오답노트
Archives
- Today
- Total
정보보안핑(✌’ω’)✌
[가이드] 금융분야 AI보안 가이드라인- 출처 : 금융보안원 본문
반응형
📋 1. 추진 배경 및 목적
- 왜 이 가이드라인이 필요할까요?
- 최근 금융권에서 AI 서비스를 점점 더 많이 사용하고 있어요. 예를 들면, AI 챗봇이나 신용 평가 같은 서비스들이 여기에 해당돼요.
- 하지만 AI 기술이 발전하면서 개인정보 유출이나 AI 편향 등의 보안 위협이 점점 커지고 있어요. 따라서 이러한 위협을 예방하고 안전한 AI 사용 환경을 구축하기 위해 가이드라인이 필요해요.
- 실제 사례들
- AI 챗봇 이루다(2021): 사용자의 실명, 계좌번호, 주소 등이 유출되었고, 특정 소수자에 대한 차별적인 발언으로 인해 서비스가 중단됐어요.
- AI 헬스케어 GPT-3(2020): 정신과 상담 챗봇이 모의 환자에게 자살을 권유하는 일이 발생했어요.
- 이처럼 보안 및 윤리적 문제가 발생할 수 있기 때문에 가이드라인의 중요성이 강조되고 있어요.
🏗️ 2. AI 서비스 구성
- AI 서비스는 어떻게 구성될까요?
- AI 서비스는 크게 운영계와 개발계로 나눌 수 있어요.
- 운영계:
- 채널: 사용자가 AI에 접근하는 웹사이트, 애플리케이션, 전화 같은 경로를 의미해요. 예를 들어, 은행 고객이 웹페이지나 메신저 앱을 통해 상담받을 수 있는 기능을 제공해요.
- 애플리케이션 서버: 사용자의 요청을 처리하고 필요한 서비스를 호출하는 역할을 해요. 예를 들어, 고객이 요청을 보내면 이를 AI 엔진에 전달해 처리해요.
- AI 엔진: 실제 AI 모델이 작동하는 곳이에요. 사용자의 요청을 분석하고 결과를 반환하는 역할을 해요.
- 인증: 사용자가 서비스에 접근할 때 비밀번호, 지문, OTP 등의 인증 방법으로 신원을 확인해요.
- 개발계:
- 데이터 수집: AI가 학습할 데이터를 모으는 단계로, 채널 데이터, 시스템 로그, 외부 데이터 등을 수집해요.
- 데이터 처리: 수집된 데이터를 전처리해서 학습에 적합한 상태로 만들어야 해요. 예를 들어, 노이즈를 제거하거나 이상치를 처리하는 등의 작업을 통해 데이터 품질을 높여요.
- 개발·테스트 엔진: 데이터를 기반으로 AI 모델을 테스트하고, 필요한 경우 성능을 개선해요.
🔐 3. AI 학습 데이터 및 모델 보안 관리
- 데이터 수집부터 검증까지 안전하게 관리해야 해요
- 학습 데이터 관리:
- 신뢰할 수 있는 출처에서 데이터를 수집해야 해요. 출처가 불분명하면 데이터 오염이 발생할 수 있고, 잘못된 데이터가 학습되면 AI 모델의 성능이 저하되거나 편향된 결과를 낼 수 있어요.
- 데이터를 수집할 때는 출처, 구축 시점, 메타정보(칼럼 정보, 파일 포맷 등) 등을 관리해야 문제 발생 시 해결할 수 있어요.
- 적대적 예제와 공격 방어:
- 적대적 예제란 AI 모델이 잘못된 예측을 하도록 고의로 조작된 데이터를 의미해요. 이런 데이터를 미리 학습시키면 AI 모델의 보안성을 강화할 수 있어요.
- 화이트박스와 블랙박스 공격: 공격자가 AI 모델의 구조나 파라미터를 파악해 공격하는 것을 화이트박스 공격이라고 하고, 랜덤으로 예제를 생성해 공격하는 것은 블랙박스 공격이라고 해요. 이를 막기 위해 노이즈 삽입, 매개변수 축소 등의 기법을 사용할 수 있어요.
- 학습 데이터 관리:
✅ 4. AI 보안성 체크리스트
- AI 챗봇 서비스의 보안성을 점검하는 체크리스트
- 계정 관리:
- 챗봇 사용자가 관리자, 이용자인지에 따라 역할에 맞게 계정을 관리하고 있나요?
- 접근 통제:
- AI 모델 파일이나 소스코드 같은 중요한 파일에 접근하는 것을 제한하고, 이때의 내역을 정기적으로 점검해야 해요.
- 보안 점검:
- 챗봇 서비스가 개발될 때 보안 가이드라인을 참고해 개발하고, 서비스가 오픈되기 전에 보안 점검을 실시해야 해요.
- 입력 제한:
- 개인정보를 처리하지 않는 챗봇에서는 사용자가 개인정보를 입력하지 않도록 사전에 안내하거나 입력을 제한해야 해요.
- 중요 정보 보안:
- 챗봇 서비스에서 중요한 정보(예: 개인정보, AI 모델 파일, 학습 데이터)는 반드시 암호화하고 안전하게 관리해야 해요.
- 암호화 키는 안전하게 생성하고 교체 주기를 적용하는 등의 방안을 마련해 관리해야 해요.
- 원격 접속 금지:
- 내부망 이외의 위치에서 챗봇 관리자 시스템에 원격으로 접속하는 것을 원칙적으로 금지해야 해요. 꼭 필요한 경우에는 강화된 보안 통제(추가 인증, 접속 IP 제한 등)를 적용해야 해요.
- 내부망 이외의 위치에서 챗봇 관리자 시스템에 원격으로 접속하는 것을 원칙적으로 금지해야 해요. 꼭 필요한 경우에는 강화된 보안 통제(추가 인증, 접속 IP 제한 등)를 적용해야 해요.
- 계정 관리:
