보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

인공지능 보안을 위한 CISA 로드맵, 어떤 내용 담겨 있나

입력 : 2023-11-27 00:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미국 CISA가 발표한 인공지능 보안 로드맵에는, 앞으로 인공지능 분야가 안전하게 잠재력을 발휘하려 할 때 필요한 것들이 무엇인지를 전반적으로 담고 있다. 이 문건을 바탕으로 세부 내용들이 추가로 나올 것이라고 하니 미리 봐두면 좋을 듯하다.

[보안뉴스 문정후 기자] 미국의 사이버 보안 전담 기관인 CISA가 인공지능 로드맵이라는 문서를 발표했다. 인공지능이라는 강력한 기술과 관련된 여러 가지 위험 요소들을 미국이라는 국가가 어떤 방향으로 다룰 것인지를 알리는 내용이 담겨져 있다. 이에 보안뉴스에서는 꼭 필요하다고 여겨지는 내용들을 발췌해 한글화 하여 소개한다. 요약문도 아니지만 전문 번역도 아니니 참고하시기 바란다.

[이미지 = gettyimagesbank]


1. 들어가며
2023년 10월 30일 대통령이 서명한 행정명령 14110호의 제목은 “인공지능의 안전하고 믿을 수 있는 개발과 활용”이다. 여기에는 이런 내용이 나온다. “인공지능은 안전해야 하며, (사람이) 안심하고 쓸 수 있어야 한다.” 이러한 행정명령을 실제적으로 구현하는 데 있어 국가 전체의 보안을 책임지는 CISA의 역할이 중대할 수밖에 없다. 그래서 로드맵을 작성하여 인공지능과 관련된 개발과 활용에 일종의 안전선을 긋고 기준을 수립하려 한다.

이 로드맵을 통하여 CISA는 다음과 같은 일을 하려 한다.
- 인공지능을 활용하여 CISA가 맡고 있는 여러 가지 일들을 원활하게 처리하되 특히 사이버 보안 분야의 기능을 강화한다.
- 국가 전체의 인공지능 시스템들을 강화하여 사이버 보안 위협을 막는다.
- 악성 행위자들이 인공지능 기술을 활용해 사회 기반 시설을 공격하려는 것을 방해한다.

2. 비전
우리는 인공지능 시스템들이 국가 전체의 사이버 방어력을 증진시키는 미래를 기획한다. 사회 기반 시설의 복구력이 강해지고 인공지능을 악의적으로 활용하려는 시도로부터 보호받으며, 인공지능 개발자들이 제품과 핵심 사업 역량의 강화와 보호라는 가치부터 생각할 때 이런 미래는 우리의 현실이 될 수 있다.

3. 인공지능 보안에 있어 CISA의 역할
CISA는 ‘2023-2025 전략적 계획’을 수립하고, 이를 기반으로 기술들을 도입하고 있다. 기술을 도입함에 있어 지켜야 할 목표들도 있는데, 인공지능과 관련되어 있고, 인공지능에 영향을 받는 것들은 크게 다음 네 가지라고 볼 수 있다.

1) 사이버 방어 : 인공지능 도구들은 전통적인 방식의 공격과 인공지능을 기반으로 한 새로운 방식의 공격으로부터 사이버 공간을 지키는 데 도움이 되기도 하지만, 인공지능 기반 소프트웨어 시스템 역시나 소프트웨어 시스템이기 때문에 보호가 필요하며, 따라서 인공지능을 위한 사이버 보안 기술도 반드시 있어야 한다.

2) 위험 감소와 복구력 강화 : 중요 사회 기반 시설을 관리하고 담당하는 조직들 사이에서 효율적인 관리와 유지 및 보수를 위해, 그리고 더 나은 복구력을 위해 인공지능을 활용하는 곳이 많아지고 있다. CISA는 이런 조직들에서 인공지능 기반 소프트웨어 시스템들을 어떻게 선정하고 구축해야 하는지를 안내한다. 위험성은 최대한 낮추고 책임감은 높이며, 특히 설계에서부터 보안 개념이 적용된 것들을 사용하도록 한다.

3) 운영에서의 협업 추구 : 인공지능 기술의 활용도가 높아지고, 이로 인해 IT 지형도 전체가 변하고 있다. 그에 따라 CISA는 미국의 사회 기반 시설 조직들은 물론 일반 대중들과도 위협과 위험에 대한 정보를 전달하도록 한다. 여기에 더해 인공지능 기업들과 인공지능의 활용처들이 표적 공격에 노출될 수 있음을 인지하여 필요한 경우 이들을 보호하기 위한 특수 서비스를 마련한다.

4) 정부 기관 통합 : CISA는 인공지능 소프트웨어 시스템들을 여러 연방 기관들에 책임감 있게 구축한다. 또한 인공지능 소프트웨어 시스템들을 능숙하게 다룰 수 있는 인력들을 개발하고 채용하는 데에도 책임을 다한다. 그리하여 CISA의 과업을 완수해낸다.

4. 다섯 가지 중점 노력 사항
CISA는 인공지능 기술과 관련하여 다음 다섯 가지 과제에 특히 집중할 예정이다.
1) 법과 규정의 측면에서 : CISA의 과업을 달성하기 위해 인공지능을 활용하되 책임감 있게 활용한다. CISA는 사이버 방어력을 강화하고 사회 기반 시설을 보호하기 위해 인공지능을 기반으로 한 소프트웨어 도구들을 사용하기로 한다. 인공지능을 윤리적이면서 안전하게 활용하고, 연방 조달, 프라이버시, 시민권, 시민 자유와 관련된 헌법은 물론 모든 관련 규정과 정책들을 침해하지 않도록 한다.

2) 인공지능 보안의 측면에서 : 인공지능 시스템들을 보호하고 확인한다. 인공지능 기반 소프트웨어를 다양한 분야와 조직들(연방 민간 정부 기관들과 민간 부문의 기업들, 주 정부 및 지자체 등)에 도입하고 구축할 때 설계 단계에서부터 보안이 적용되었는지 평가하고, 그렇게 되도록 돕는다. 인공지능 소프트웨어 개발과 도입 단계에서 가장 안전하고 복구력을 높일 수 있는 실천 사항들을 만들고 가이드를 제공한다.

3) 인공지능 기반 공격을 방어하는 측면에서 : 인공지능을 악용한 공격으로부터 사회 기반 시설을 보호한다. CISA는 국가의 기반을 구성하는 시설들이 직면한 인공지능 관련 위협들을 평가하고 대처 방법을 제안한다. 이 때 다른 정부 기관들 및 산업 내 전문가들과 협업하여 인공지능 도구들을 개발하고 실험하고 평가한다.

4) 정책과 원칙을 실체화시키는 측면에서 : 일반 대중, 국제 파트너, 유관 기관들과 손 잡아 주요 인공지능 관련 사안들을 나누고 같이 해결한다. CISA는 인공지능 기반 소프트웨어와 관련된 국토안보부의 결정과 그 결정의 집행 과정에 기여한다. 미국 정부가 수립한 국가 전체의 인공지능 관련 전략을 구체화시키기 위한 정책과 접근법을 개발하고, 인공지능 기반 소프트웨어 정책 문제들에 대한 국토안보부 전체의 접근법을 지원한다. 또한 국제 파트너들과의 협업도 CISA가 조율해 전 세계적인 인공지능 보안 베스트 프랙티스와 원칙을 향상시킨다.

5) 교육과 훈련의 측면에서 : 인공지능 전문가를 육성한다. CISA는 인공지능 소프트웨어 시스템과 인공지능 기술들과 관련된 교육을 꾸준히 진행한다. 또한 인공지능 관련 전문성을 갖춘 인턴과 전임자, 미래 담당자들을 능동적으로 찾아서 채용하는 작업을 지속한다. 내부 훈련 과정에서 인공지능 기반 소프트웨어 시스템들이 가지고 있는 법적, 윤리적, 정책적 요소들이 충분히 반영되도록 하며, 새롭게 합류한 직원들의 경우에도 이러한 내용을 충분히 이해할 수 있도록 해준다.

5. 세부 계획 - 책임감 있는 인공지능 활용
첫 번째 중점 노력 사항은 “인공지능을 안전하게 활용하여 CISA 본연의 과업을 성취하는 것”이라고 요약할 수 있다. 이와 관련하여 CISA는 여섯 가지 세부 목표를 설정하여 명시하고 있으며, 이는 다음과 같다.

1) CISA의 인공지능 활용 현황에 관한 거버넌스와 감독 프로세스를 설정한다 : CISA는 제일 먼저 빈틈없는 인공지능 거버넌스 프로세스를 수립해야 한다. 그리고 이것을 기반으로 연방 정부 기관들 내에 인공지능이 구축될 수 있도록 한다. 이 때 법 준수, 윤리, 안전, 프라이버시, 조달, 시민권, 시민 자유와 같은 가치를 침해하지 않도록 고루 고려한다. 책임감 있는 인공지능 기술의 활용은 이 지점에서부터 시작한다.

이를 위해 CISA는 :
- NIST의 인공지능 리스크 관리 프레임워크를 기반으로 한 프로파일링 작업을 실시해 인공지능 제어 방법을 개발하고 구축한다.
- CISA의 보안 임무를 수행하기 위한 목적으로 인공지능 기술을 도입하는 것이므로, 그에 맞는 실용적인 구축 방법론과 구조를 만든다.
- 인공지능 사용 사례들을 점검한다.
- 생성형 기술을 업무 현장에서 활용할 때의 가이드를 개발한다.
- 인공지능 데이터와 활용에 있어서 필요 조건들을 충족시킨다.

2) CISA 본연의 임무를 기준으로 인공지능 활용 사례들을 수집하고 점검하고 우선순위를 정한다. CISA는 정부 기관을 위한 인공지능 활용 사례 저장소를 만들고, 거기에 각종 인공지능 활용 사례들을 수집하고 점검한다. 그런 후 CISA의 존재 이유와 목적에 맞춰 우선순위를 정한다. 이 저장소를 활용해 IT 시스템들과 협업 도구, 워크플로우, 사회 기반 시설 보호 프로그램, 인공지능 훈련을 위한 데이터 수집 방법론을 향상시킨다.

3) 차세대 인공지능 기반 기술들을 위한 전략을 개발하고 도입한다. 프라이버시를 침해하지 않고 시민권을 훼손하지 않는 선에서 인공지능 기반 기술의 도입률과 활용도를 높이기 위해 CISA는 인공지능 관련 연구와 개발 전문가들과 밀접한 관계를 유지하여 불충분한 부분을 메운다. 인공지능의 안전한 실험 환경을 조성하기 위한 기본 요건을 파악하고, 사이버 보안 분야에 인공지능을 응용하기 위한 기술적 기본 요건들을 개발한다.

4) 사이버 방어, 사건 관리, 수정 절차를 인공지능 시스템과 인공지능 업무 프로세스에 적용시킨다. CISA는 인공지능 활용에 있어서 사건이 발생했을 때 대응 방법과 능력들을 갖추는 데 힘써야 한다. 필요에 따라 위험을 완화하는 것이 될 수도 있고, 각종 절차를 수정하는 것도 될 수 있다. 여기에 더해 인공지능 모델들에 대한 지속적 평가 방법을 도입하고, 동시에 IT 보안 실천사항들도 새롭게 점검하여 인공지능 기술의 구축과 활용을 확실하게 보호한다.

5) CISA에서 인공지능을 활용할 때 편향성이 개입되지 않도록 총체적인 인공지능 모델 훈련 방법을 고안한다. 인공지능을 사용한다고 했을 때 편향성을 최대한 제한할 수 있도록 하는 총체적 접근법을 고민하여 마련해야 한다. 개발과 실험, 도입과 구축, 유지와 보수 단계에서 편향성이 형성될 수 있는 지점들을 찾아내 검토해 최대한 공정한 결과가 나오도록 한다. 뿐만 아니라 훈련용 데이터에 대한 품질 평가도 사전적으로 진행하며, 인공지능 활용 사례 저장소를 일반 대중들에게도 공개한다.

6) 인공지능 시스템들을 책임감 있고 안전하게 구축하여 CISA의 보안 관련 임무를 지원한다. CISA의 핵심 가치는 국가 전체의 사이버 보안이다. 따라서 인공지능 기술을 활용해 더 강력한 보안 체제를 구축할 수 있어야 한다. 이를 위해 CISA는 사이버 방어에 필요한 인공지능 기술들인 식별, 실험, 평가, 구축과 같은 것들을 재점검할 필요가 있다. 미국 정부 기관에서 사용하는 소프트웨어와 시스템, 네트워크의 취약점을 탐지 및 점검하고, 처리 과정 중에 배운 것들까지도 문서화 한다.

6. 세부 계획 - 인공지능의 검토와 확인
두 번째 중점 노력 사항은 “인공지능을 보호하고, 안전성을 검토하여 확인한다”라고 요약할 수 있다. 이와 관련하여 CISA는 여섯 가지 세부 목표를 설정하여 명시하고 있으며, 이는 다음과 같다.

1) 사회 기반 시설 분야에 인공지능을 도입함에 있어서 발생할 수 있는 보안 관련 위험 요소들을 평가한다. CISA는 주요 사회 기반 시설에서 인공지능이 활용된다고 했을 때 어떤 위험이 있을 수 있는지를 평가한다. 사회 기반 시설들이 고장과 멈춤에 취약해지지 않도록 하고, 물리적 공격으로부터 보호하며, 사이버 공격에 당하지 않도록 하는 것을 포함한다. 여러 고장과 공격, 위험 가능성을 평가한 후에는 대처법도 강구한다.

2) 사회 기반 시설 관계자들과 협업하여 인공지능 도입 시 발생할 수 있는 위험과 복구력 문제를 파악한다.

3) 연방 기업들 전체에 인공지능 시스템들이 어떤 식으로, 또 어떤 규모로 활용되는지 파악한다. CISA는 소프트웨어 물자표(SBOM)를 생성하고 관리하고 추적하는 데 필요한 도구들과 포맷, 표준, 자동화 기술, 번역 소프트웨어 등을 점검하여 인공지능 소프트웨어에도 적용할 수 있도록 한다.

4) 안전한 보안 시스템을 확보하고 개발하고 운영하는 데 필요한 베스트 프랙티스와 가이드라인을 개발한다. 인공지능 기술들을 안전하게 활용하기 위한 가이드를 제공하고, 이 가이드가 인공지능 및 관련 시스템들의 사이버 보안 기능성 목표 도달 과정에 활용될 수 있도록 한다.

5) 인공지능 시스템들과 관련된 강력한 취약점 관리 실천 방법들을 수립하여 도입하도록 한다. 적대적 머신러닝 프로세스들과 인공지능 시스템에서 발견된 취약점들을 국가 취약점 데이터베이스에 포함시킨다. 보안 점검을 위한 전략적 가이드를 작성하고 인공지능 시스템과 소프트웨어, 특히 오픈소스 소프트웨어와 관련된 레드팀 훈련 방법 또한 제시한다.

6) 설계에서부터 보안 개념이 도입될 수 있도록 인공지능 시스템을 구성한다. CISA의 기본적인 보안 접근 방법은 ‘설계에 의한 보안(security by design)’이다. 인공지능 도구이건 무엇이건 처음부터 보안을 염두에 둔 채 만들어져야 한다고 믿고 있으며, 따라서 이 개념이 인공지능 시스템에도 도입되도록 한다. 이러한 개념이 연구 분야에도 적용될 수 있도록 CISA는 계속해서 권장하며, 인공지능 보안을 강화할 수 있는 여러 방법들을 계속해서 발굴하여 전파한다.

7. 세부 계획 - 사회 기반 시설 보호
세 번째 중점 노력 사항은 “사회 기반 시설 보호라는 측면에서 인공지능”이라고 요약할 수 있다. 이와 관련하여 CISA는 세 가지 세부 목표를 설정하여 명시하고 있으며, 이는 다음과 같다.

1) 인공지능 기반 도구들을 개발하고 연구하는 산업 내 관계자들 및 파트너들과 주기적으로 연락을 취해 사회 기반 시설들에 대한 보안 문제를 꾸준히 점검하고 파악하고 해결한다. 또한 산업 내 관계자들과 파트너들을 교육하고 평가할 방법들을 개발한다. 현존하는 방법들을 보강하여 인공지능 보안을 산업 전체가 협업하여 강화할 수 있도록 한다. 2023년 3월에 설립된 정보기술분야조정협의회(Information Technology Sector Coordinating Council)의 인공지능워킹그룹(AI Working Group)은 지속적으로 인공지능 보안과 관련된 자문과 피드백을 제공할 것이다.

2) CISA 파트너십과 워킹그룹들을 활용해 인공지능을 기반으로 한 위협들을 정보로 만들어 공유한다. 산업 내 전문가와 단체들, 연방 정부, 내부 파트너들과 계속해서 연락하여 새롭게 등장하는 위협들을 빠르게 이해하고, 그와 관련된 정보들을 보다 광범위하게 전파한다.

3) 사회 기반 시설에 인공지능이 미칠 수 있는 위험들을 평가한다. 모든 사회 기반 시설 분야들은 고유의 기능과 필요를 가지고 있다. 그런 상황에서 공격자들은 인공지능 기반 소프트웨어 시스템들을 도입하고 있고, 인공지능 기술은 사이버 위협들을 증대시키고 있기 때문에 CISA는 끊임없이 새로운 위협들을 알려 인지 제고의 노력을 이어간다. 또한 리스크 관리 방법과 분석 접근법에 대한 평가 방법도 개발하고, 기존의 방법들을 향상시키기도 한다.

8. 세부 계획 - 인공지능 보호와 향상을 위한 소통과 협업
네 번째 중점 노력 사항은 “여러 파트너 기관들과의 소통과 협업을 통한 인공지능 보호”라고 요약할 수 있다. 이와 관련하여 CISA는 다섯 가지 세부 목표를 설정하여 명시하고 있으며, 이는 다음과 같다.

1) 국토안보부 전체를 아우르는 인공지능 정책 수립을 지원한다. CISA는 CISA만을 위한 인공지능 보호 정책과 방안을 마련하는 데 그치지 않고 국토안보부 전체에 적용할 수 있는 것들까지도 마련하는 데 기여한다.

2) 기관 간 인공지능 관련 정책 수립 회의에 참석하고, 기관 간 워킹그룹 활동에도 참여한다. 그렇게 하여 연방 정부 기관들이 각각 인공지능 정책을 일관되게 수립해 적용할 수 있도록 한다.

3) 선언문이나 제안서 등 국가 전체를 아우를 수 있는 전략적 인공지능 정책 문서를 만드는 데 참여한다. 그렇게 함으로써 CISA가 기존에 해왔던 국가 전체의 보안 강화 노력들이 인공지능 분야에도 일관되게 적용될 수 있도록 한다. 그리고 그러한 문건의 내용들이 각 기관이나 모든 수준에서의 국가 전략 수립 시에도 반영되도록 한다. 여기에 더해 일반 대중들의 인식 향상도 꾀한다.

4) CISA의 전략과 우선순위, 정책 프레임워크가 타 기관의 그것과 충돌하지 않도록 한다. 인공지능은 모든 기관들에 영향을 주는 기술이므로 기관별로 상이한 정책을 가져가서는 안 된다. 통합적인 인공지능 보안 정책을 수립한 후 이것이 각 기관의 특성에 따라 적용될 수 있도록 한다.

5) 국제 파트너들과 협업하여 인공지능 보안을 강화한다. 다른 연방 기관들과 협업하는 것은 물론 국제 파트너들과도 긴밀히 소통하여 인공지능 보안 가이드라인을 공동으로 만들고 도입한다.

9. 세부 계획 - 인공지능 전문가의 육성
다섯 번째 중점 노력 사항은 “인공지능 전문가의 발굴과 육성”이라고 요약할 수 있다. 이와 관련하여 CISA는 네 가지 세부 목표를 설정하여 명시하고 있으며, 이는 다음과 같다.

1) 인공지능 전문가들을 육성하여 수를 늘리고, 서로가 연계될 수 있도록 한다. CISA는 국가 보안을 책임지는 기관이라 보안 전문가들을 충분히 보유하고 있다. 이들 중 인공지능에 대한 전문성을 보유하고 있는 사람이 누구인지 파악하고 활용한다. 또한 인공지능 전문가 및 종사자들의 커뮤니티를 만들어 인공지능 관련 개발 및 연구 행위를 선도할 수 있도록 한다. CISA는 인공지능 보안의 아교와 가교 역할을 수행한다.

2) 인공지능에 대한 기반 지식을 보유한 인턴과 전임자, 담당자를 채용한다. 다양한 경로로 인제들을 발굴하도록 하며, 적임자나 잠재력을 가진 후보를 찾았을 때 곧바로 채용할 수 있도록 한다. 뿐만 아니라 육성과 훈련에도 힘을 쓴다.

3) 기존 CISA 인력들을 대상으로 인공지능 관련 교육을 실시한다. 주기적인 교육과 훈련 프로그램을 운영함으로써 인공지능을 안전하게, 그러나 최대치로 활용할 수 있도록 해준다. 지식도 늘리고 기술적 기반도 강화한다.

4) 내부 훈련 시 기술적인 측면에만 치우치는 게 아니라 법적, 윤리적, 정책적 사안들도 균형 있게 알려줄 수 있도록 한다.

10. 결론
인공지능의 위험성을 온전히 제거하고 잠재력을 완전히 활용하려면 총체적인 접근이 필요하다. 한 기관이 전담해서 될 일이 아니다. 그럼에도 CISA는 이 로드맵에서 제시된 내용 그대로 인공지능 기술의 보편화라는 흐름에 맞서 국가 전체의 안전을 강화하기 위해 애쓸 것이다. 인공지능을 활용한 위협에도 사회 기반 시설들이 안전해질 수 있도록 하고, 사고 발생 시에도 금방 복구될 수 있도록 할 것이며, 인공지능 개발자들이 신기술을 창의적으로 만드는 것보다 보안을 우선시하도록 할 것이다.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대