인공지능 (AI) 탐구: 규제 및 위협 완화 - 인공지능 권리장전

인공지능(AI) 탐구: 규제 및 위협 완화

 

​

"AI가 인류의 미래를 형성할 것입니다"

이 말은 지금까지 우리가 반복해서 듣던 말이지만, 다시 강조할 만한 충분한 가치가 있는 말입니다. 이 사실은 정책 입안자들이 간과할 수 없는 말이며, 현재까지 그에 적절히 대응하고 있습니다.

​

2022년 10월, 미국은 "AI 권리장전 청사진"을 발표했습니다. 이 청사진이 여전히 법적 구속력은 없지만, 미국 정부가 이 프레임워크를 "권리장전"이라고 부른다는 점은 AI에 얼마나 진지하게 대응하고 있는지를 반영합니다.

​

유사한 내용으로, 2024년 5월 유럽 의회는 "인공지능법"을 승인했는데, 이는 AI에 대한 최초의 법적 체계입니다. 이 법은 유럽 연합 내에서 AI를 설계 및/또는 사용하는 기업에 요구사항을 부과하고 위험 수준을 평가할 수 있는 방법을 제공합니다.

​

그러나 이를 좀 더 자세히 살펴보겠습니다.

​

AI 규제가 필요한 이유

​

이러한 규제들은 지난 몇 년간 발생했던, 논란의 여지가 있는 몇가지 AI 사건들에 부분적으로 대응하기 위해 도입되었습니다.

"AI 권리장전 청사진"은 잠재적인 취약점 영역을 설명하고 있는데, 예를 들어 2024년 2월 캐나다 항공이 가상 조수가 제공한 잘못된 항공권 정보에 대해 손해배상 판결을 받은 사례 등이 있습니다. 캐나다 재판부는 항공사가 채팅봇의 정확성을 보장하기 위한 "합리적인 조치"를 취하지 않았다고 판단했습니다. 미국의 청사진은 AI 기반 채팅봇(및 다른 AI 시스템)의 신뢰성을 보장하고, 기업들이 이러한 시스템에 의해 내려진 결정에 대해 책임을 지도록 하는 것을 목적으로 합니다.

​

마찬가지로, 청사진의 "안전하고 효과적인 시스템" 섹션은 DPD의 고객 서비스 채팅봇과 같은 비효과적인 시스템을 예방하는 것을 목적으로 합니다. 2024년 초, 사용자 Ashley Beauchamp는 이 채팅봇이 가장 단순한 고객 서비스 쿼리도 답변할 수 없지만, 자신이 얼마나 끔찍한지에 대한 기본적인 시를 쓸 수 있다는 것을 발견했습니다.

​

한편 EU 인공지능법은 AI가 여전히 초기 단계에 있으며, 사용 목적과 배치 위험에 따라 적절한 수준의 주의를 기울여야 한다는 점을 강조합니다.

​

AI 권리장전 청사진

​

미국의 "AI 권리장전 청사진"은 자동화 시스템의 안전하고 공정한 사용을 보장하기 위한 5가지 원칙과 실천 사항을 개요로 설명하고 있습니다. 이 원칙들과 현실 사례는 다음과 같습니다:

​

• 안전하고 효과적인 시스템 - 시스템은 배치 전 테스트, 위험 식별 및 완화, 그리고 의도된 용도에 기반한 지속적인 모니터링을 거쳐 안전하고 효과적임을 입증해야 합니다.
• 알고리즘 차별 방지 - 자동화 시스템의 설계자, 개발자, 배치자는 알고리즘 차별로부터 개인과 지역사회를 보호하기 위한 선제적이고 지속적인 조치를 취해야 하며, 공평한 방식으로 시스템을 사용하고 설계해야 합니다.
• ​데이터 프라이버시 - 개인은 내장된 보호 장치를 통해 남용적인 데이터 관행으로부터 보호받아야 하며, 개인 데이터 사용에 대한 권한을 가져야 합니다. 설계자, 개발자, 배치자는 간단하고 접근성 있는 동의 요청으로 개인의 허가를 구해야 하며, 데이터 수집, 사용, 접근, 전송, 삭제에 대한 개인의 결정을 존중해야 합니다.
• ​고지 및 설명 - 개인은 자동화 시스템 사용 시 이를 통지받아야 하며, 시스템이 어떻게 작동하고 왜 자신에게 영향을 미치는 결과를 산출하는지 설명받아야 합니다.
• 인간 대안, 고려 및 대체 - 적절한 경우 개인은 배제될 수 있어야 하며, 문제를 신속히 고려하고 해결할 수 있는 담당자에게 접근할 수 있어야 합니다.

​

인공지능법(EU AI Act)

​

유럽연합의 인공지능법은 AI 시스템에 대한 위험 기반 접근법을 취하며, 4가지 수준의 위험을 정의하고 있습니다:

​

• 허용 불가능한 위험 - 사람들의 안전, 생계, 권리를 명백히 위협하는 것으로 간주되는 AI 시스템은 금지될 것입니다. 이에는 정부에 의한 사회 점수 평가, 위험한 행동을 유발하는 음성 지원 장난감 등이 포함됩니다.​
• 고위험 - 이에는 핵심 인프라, 필수적인 민간 및 공공 서비스, 이민/난민/국경 관리에 사용되는 AI 기술이 포함됩니다. 이러한 AI 시스템은 시장에 출시되기 전에 다음과 같은 의무사항을 준수해야 합니다:
• ​적절한 위험 평가 및 완화 시스템 구축
• • 편향적 결과를 최소화하기 위한 고품질 데이터셋
  • 활동 기록을 통한 결과의 추적성 보장
  • 시스템 및 목적에 대한 상세 문서화
  • 배포자를 위한 명확하고 적절한 정보 제공
  • 위험 최소화를 위한 적절한 인간 감독 조치
  • 높은 수준의 견고성, 보안, 정확성

• 제한적 위험 - 주로 AI 사용에 대한 투명성과 관련됩니다. 예를 들어 채팅봇과 상호작용할 때 이를 공개하거나 AI 생성 콘텐츠를 식별할 수 있도록 하는 등입니다.
• 최소 위험 - AI 게임이나 스팸 필터와 같은 최소 위험 AI 시스템은 이 법 하에서 자유롭게 허용됩니다.

​

이 두 체계의 공통점은 보안과 보호의 개념입니다. 이제 AI 플랫폼에 대한 가장 일반적인 위협과 기업이 이를 완화할 수 있는 방법을 살펴보겠습니다.

​

AI 플랫폼에 대한 위협

​

사이버 보안 팀에게 큰 위협으로 다가오는 AI 플랫폼에 대한 위협은 다음의 두 가지가 가장 일반적입니다:

​

• 모델 도용 - 공격자가 AI 플랫폼의 기계 학습 모델을 훼손하려 시도하는 것입니다. 일반적인 기술로는 대상 모델에 질의하고 응답을 활용하여 복제본을 생성하거나, 훈련 데이터를 훼손하여 새로운 모델을 만드는 것 등이 있습니다. 이를 통해 무허가 접근자가 라이선스 없이 기계 학습 모델을 사용할 수 있게 되어, 결국 수익 손실로 이어질 수 있습니다.​

• 데이터 오염 - 악의적인 데이터를 주입하여 AI 모델의 학습 데이터를 손상시키는 것입니다. 이렇게 거짓 정보가 포함되면 공격자가 의도적으로 훼손된 모델을 악용하거나 무단으로 민감한 데이터를 추출할 수 있는 취약점이 생깁니다.

​

AI 플랫폼 위협 완화

​

AI 모델 도용을 막기 위해서는 기관이 기계 학습 모델에 대한 접근을 통제해야 합니다. 이를 위한 가장 좋은 방법은 암호화와 관련 암호화 키 관리입니다. 모델을 암호화하고 강력한 인증, 권한, 정책에 기반하여 암호화 키에 대한 접근을 엄격히 통제하면, 승인된 사용자만 모델에 접근할 수 있으므로 공격자가 모델 구조를 분석하여 복제하는 것을 막을 수 있습니다. 또한 강력한 라이선싱 체계를 통해 무단 사용을 방지할 수 있습니다.

​

데이터 오염을 방지하려면 기관이 AI 소프트웨어를 모니터링, 평가, 디버깅해야 합니다. 이를 위해 AI 모델 학습 및 테스트에 사용되는 데이터를 신중히 선택, 검증, 정제하고, 신뢰할 수 없거나 통제할 수 없는 데이터 소스(크라우드소싱, 웹 스크래핑 등)는 사용하지 말아야 합니다. 데이터 거버넌스 강화도 데이터 오염 공격 예방에 필수적입니다.

​

기관은 신뢰할 수 있는 기밀 컴퓨팅 환경에서 AI 프로세스를 실행하는 기밀 AI 모델을 구축하는 것을 고려해볼 수 있습니다. 이 방식에서는 하드웨어 실행 환경, 데이터, 애플리케이션의 보안과 무결성이 독립적인 제3자에 의해 인증됩니다.

​

Thales는 Intel TDX 칩을 지원하는 Google Cloud와 Microsoft Azure의 컨피덴셜 컴퓨팅 서비스를 위해 자사의 CipherTrust Data Security Platform(CDSP)에 End-To-End Data Protection(E2EDP) 기능을 구현하고 있습니다. 이 아키텍처에서는 Intel Trust Authority가 클라우드 독립적인 attestation을 제공하고, Thales가 이를 검증합니다.

​

또한 Thales와 Imperva가 클라우드, 데이터, 소프트웨어 중심의 세상을 위한 보안 솔루션을 제공하고 있습니다. Cloud Protection and Licensing 솔루션을 통해 AI 시스템을 보호할 수 있습니다.

​

보다 자세한 내용은 탈레스 담당자에게 문의하여 주세요.

 

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.