안전한 AI 시스템 개발을 위한 지침(Guidelines for secure AI system development) [영문/PDF/20p]

9bow · 11월 28, 2023, 7:46오전

안전한 AI 시스템 개발을 위한 지침 (Guidelines for secure AI system development)

소개

미국과 영국을 비롯하여 여러 국가들(+ 대한민국 포함)이 참여한 가이드라인이 공개되었습니다.

크게 가이드라인에 대한 소개(Introduction)과 가이드라인으로 나뉘어져있으며, 가이드라인은 안전한 설계(Secure design), 안전한 개발(Secure development), 안전한 배포(Secure deployment), 안전한 운영 및 유지보수(Secure operation and maintenance)의 4개 챕터로 구성되어 있습니다.

Executive summary
Introduction
- Why is AI security different?
- Who should read this document?
- Who is responsible for developing secure AI?
Guidelines for secure AI system development
- Secure design
- Secure development
- Secure deployment
- Secure operation and maintenance
Further reading

주요 내용 / About the guidelines

AI 시스템은 사회에 많은 혜택을 가져다줄 잠재력을 가지고 있습니다. 하지만 AI의 기회를 온전히 실현하려면 안전하고 책임감 있는 방식으로 개발, 배포, 운영되어야 합니다.

AI systems have the potential to bring many benefits to society. However, for the opportunities of AI to be fully realised, it must be developed, deployed and operated in a secure and responsible way.

AI 시스템에는 표준 사이버 보안 위협과 함께 고려해야 하는 새로운 보안 취약점이 존재합니다. AI의 경우처럼 개발 속도가 빠르면 보안은 종종 부차적인 고려 사항이 될 수 있습니다. 보안은 개발 단계뿐만 아니라 시스템의 수명 주기 전반에 걸쳐 핵심 요건이어야 합니다.

AI systems are subject to novel security vulnerabilities that need to be considered alongside standard cyber security threats. When the pace of development is high – as is the case with AI – security can often be a secondary consideration. Security must be a core requirement, not just in the development phase, but throughout the life cycle of the system.

이러한 이유로 이 가이드라인은 AI 시스템 개발 수명 주기 내에서 안전한 설계, 안전한 개발, 안전한 배포, 안전한 운영 및 유지 관리의 네 가지 주요 영역으로 분류됩니다. 각 섹션마다 조직의 AI 시스템 개발 프로세스에 대한 전반적인 위험을 줄이는 데 도움이 되는 고려 사항과 완화 방법을 제안하고 있습니다.

For this reason, the guidelines are broken down into four key areas within the AI system development life cycle: secure design, secure development, secure deployment, and secure operation and maintenance. For each section, we suggest considerations and mitigations that will help reduce the overall risk to an organisational AI system development process.

안전한 설계 / Secure design

이 섹션에는 AI 시스템 개발 수명 주기의 설계 단계에 적용되는 지침이 포함되어 있습니다. 이 섹션에서는 위험 및 위협 모델링에 대한 이해와 시스템 및 모델 설계 시 고려해야 할 특정 주제 및 절충점에 대해 다룹니다.

This section contains guidelines that apply to the design stage of the AI system development life cycle. It covers understanding risks and threat modelling, as well as specific topics and trade-offs to consider on system and model design.

안전한 개발 / Secure development

이 섹션에는 공급망 보안, 문서화, 자산 및 기술 부채 관리 등 AI 시스템 개발 라이프사이클의 개발 단계에 적용되는 지침이 포함되어 있습니다.

This section contains guidelines that apply to the development stage of the AI system development life cycle, including supply chain security, documentation, and asset and technical debt management.

안전한 배포 / Secure deployment

이 섹션에는 손상, 위협 또는 손실로부터 인프라 및 모델 보호, 장애 관리 프로세스 개발, 책임 있는 릴리즈 등, AI 시스템 개발 수명 주기의 배포 단계에 적용되는 지침이 포함되어 있습니다.

This section contains guidelines that apply to the deployment stage of the AI system development life cycle, including protecting infrastructure and models from compromise, threat or loss, developing incident management processes, and responsible release.

안전한 운영 및 유지 관리 / Secure operation and maintenance

이 섹션에는 AI 시스템 개발 수명 주기의 안전한 운영 및 유지 관리 단계에 적용되는 지침이 포함되어 있습니다. 로깅 및 모니터링, 업데이트 관리, 정보 공유 등 시스템이 배포된 후 특히 관련된 작업에 대한 지침을 제공합니다.

This section contains guidelines that apply to the secure operation and maintenance stage of the AI system development life cycle. It provides guidelines on actions particularly relevant once a system has been deployed, including logging and monitoring, update management and information sharing.

이 가이드라인은 '안전이 기본'이라는 접근 방식을 따르며, NCSC의 보안 개발 및 배포 지침, NIST의 보안 소프트웨어 개발 프레임워크, CISA, NCSC 및 국제 사이버 기관에서 발표한 '설계 원칙에 따른 보안'에 정의된 관행과 긴밀히 연계되어 있습니다.

The guidelines follow a ‘secure by default’ approach, and are aligned closely to practices defined in the NCSC’s Secure development and deployment guidance, NIST’s Secure Software Development Framework, and ‘secure by design principles’ published by CISA, the NCSC and international cyber agencies.