주요 컨텐츠로 이동

보안 및 보안 센터

여러분의 데이터 보안을 최우선으로 생각합니다

 

 

AI 보안

AI 모델과 관련된 위험을 완화하기 위한 모범 사례

AI 보안은 인공 지능 시스템, 모델 및 데이터를 무단 액세스, 조작 또는 악의적인 활동으로부터 보호하기 위해 구현되는 관행, 조치 및 전략을 의미합니다. 조직은 AI 자산을 보호하고 사용과 관련된 잠재적 위험을 완화하기 위해 강력한 보안 프로토콜, 암호화 방법, 액세스 제어 및 모니터링 메커니즘을 구현해야 합니다. 

Databricks 보안 팀은 고객과 협력하여 고객의 아키텍처 요구 사항에 맞는 적절한 기능을 사용하여 AI 및 머신 러닝을 Databricks에 안전하게 배포합니다. 저희는 또한 Databricks 내부 및 더 큰 ML 및 GenAI 커뮤니티의 수십 명의 전문가와 협력하여 AI 시스템에 대한 보안 위험을 식별하고 이러한 위험을 완화하는 데 필요한 통제 수단을 정의합니다. 

AI 시스템 이해하기

AI 시스템을 구성하는 구성 요소는 무엇이며 어떻게 함께 작동하나요?

AI 시스템은 데이터, 코드, 모델로 구성됩니다. 일반적인 엔드투엔드 AI 시스템은 12개의 기본 아키텍처 구성 요소를 가지며, 크게 4개의 주요 단계로 분류됩니다.

  1. 데이터 운영 에는 데이터 수집 및 변환, 데이터 보안 및 거버넌스 보장이 포함됩니다. 좋은 ML 모델은 신뢰할 수 있는 데이터 파이프라인과 보안 인프라에 따라 달라집니다.
  2. 모델 운영 에는 커스텀 모델 빌드, 모델 마켓플레이스에서 모델을 확보하거나 OpenAI와 같은 서비스형 소프트웨어(SaaS) 거대 언어 모델(LLM)을 사용하는 것이 포함됩니다. 모델을 개발하려면 일련의 실험과 해당 실험의 조건 및 결과를 추적하고 비교하는 방법이 필요합니다.
  3. 모델 배포 및 서빙 은 모델 이미지를 안전하게 빌드하고, 모델을 격리하여 안전하게 서빙하며, 배포된 모델의 자동 확장, 속도 제한, 모니터링으로 구성됩니다.
  4. 운영 및 플랫폼 은 플랫폼 취약점 관리 및 패치, 모델 격리 및 시스템 제어, 아키텍처에 보안이 적용된 모델에 대한 승인된 액세스를 포함합니다. 또한 CI/CD를 위한 운영 툴링으로 구성됩니다. MLOps를 위해 개발, 스테이징, 프로덕션 등 별개의 실행 환경을 안전하게 유지함으로써 전체 수명 주기가 필수 표준을 충족하도록 보장합니다.   

아래 이미지는 AI 시스템의 12가지 구성요소와 이들이 상호작용하는 방식을 보여줍니다.

ai system components and associated risks transparent

AI 보안 위험 이해하기

AI 도입 시 발생할 수 있는 보안 위협은 무엇인가요?

AI 시스템 분석에서 저희는 12개의 기본 아키텍처 구성 요소에 걸쳐 62개의 기술적 보안 위험을 확인했습니다. 아래 표에서는 모든 AI 시스템의 단계와 일치하는 기본 구성 요소를 간략하게 설명하고, 보안 위험의 몇 가지 예를 중점적으로 다룹니다. 62개 기술적 보안 위험의 전체 목록은 Databricks AI Security Framework에서 확인할 수 있습니다.

AI 시스템 단계

AI 시스템 구성 요소

잠재적인 보안 위험

데이터 운영

1. 가공되지 않은 데이터 

2. 데이터 준비 

3. 데이터 세트

4. 카탈로그 및 거버넌스

다음과 같은 20가지 특정 위험:

  • 불충분한 액세스 제어
  • 결측 데이터 분류
  • 낮은 데이터 품질
  • 데이터 액세스 로그 부족
  • 데이터 포이즈닝

모델 운영

5. ML 알고리즘

6. 평가

7. 모델 빌드

8. 모델 관리

다음과 같은 15가지 특정 위험:

  • 실험 추적 및 재현성 부족
  • 모델 드리프트
  • 하이퍼파라미터 탈취
  • 악성 라이브러리
  • 평가 데이터 포이즈닝

모델 배포 및 서빙

9. Model Serving — 추론 요청

10. 모델 서빙 — 추론 응답

다음과 같은 19가지 특정 위험:

  • 프롬프트 인젝션
  • 모델 역전
  • 서비스 거부(DOS)
  • LLM 환각
  • 블랙박스 공격

운영 및 플랫폼

11. ML 운영 

12. ML 플랫폼

다음과 같은 8가지 특정 위험:

  • 취약점 관리 부족
  • 침투 테스트 및 버그 바운티 부재
  • 승인되지 않은 권한 있는 액세스
  • 부실한 소프트웨어 개발 수명 주기(SDLC)
  • 규정 준수 부족

AI 보안 위험을 완화하기 위해 어떤 제어 기능을 사용할 수 있나요?

식별된 62개의 AI 보안 위험을 완화하기 위한 64개의 규범적 통제가 있습니다. 이러한 통제에는 다음이 포함됩니다.

  • 위험 관리를 위한 심층 방어 접근 방식과 함께 싱글 사인온, 암호화 기술, 라이브러리 및 소스 코드 제어, 네트워크 액세스 제어와 같은 사이버 보안 모범 사례
  • 데이터 및 AI 거버넌스 관련 통제(예: 데이터 분류, 데이터 리니지, 데이터 버전 관리, 모델 추적, 데이터 및 모델 자산 권한, 모델 거버넌스)
  • AI 특화 제어 기능(모델 서빙 격리, 프롬프트 도구, 모델 감사 및 모니터링, MLOps 및 LLMOps, 중앙 집중식 LLM 관리, 모델 미세 조정 및 사전 학습 등)

AI 시스템과 관련된 보안 위험 및 각 위험에 대해 구현해야 할 통제 방법에 대한 심층적인 개요를 원하시면 Databricks AI 보안 백서를 다운로드해 보세요.

AI 및 ML 모델 보안을 위한 모범 사례

데이터 및 보안 팀은 AI 시스템의 보안을 개선한다는 목표를 추구하기 위해 적극적으로 협력해야 합니다. 기존 머신러닝 솔루션을 구현하든 LLM 기반 애플리케이션을 구현하든, Databricks는 Databricks AI 보안 백서에 설명된 다음 단계를 따를 것을 권장합니다.

Identify the AI business use case

Always remember your business goals. Ensure there is a well-defined use case with your stakeholders, whether already implemented or in the planning phases. We recommend leveraging Databricks Solution Accelerators, which are purpose-built guides to speed up results across your most common and high-impact AI and ML use cases.

Determine the AI deployment model

Choose an appropriate model such as a traditional custom tabular model, SaaS LLM, retrieval augmented generation (RAG), fine-tuned model or external model. Each deployment model has a varying shared responsibility split across the 12 AI system components and among your organization, the Databricks Data Intelligence Platform and any partners involved. 

Select the most pertinent risks

From our documented list of 62 security risks, pinpoint the most relevant to your organization based on its deployment model.

Enumerate threats for each risk

Identify the specific threats linked to each risk and the targeted AI component for every threat.

Choose and implement controls

Select controls that align with your organization’s risk appetite. The responsibility for the implementation of these controls may be shared among your organization, your cloud provider and your data and AI vendor(s). You can leverage the Databricks AI Security Framework compendium (Google Sheets, Excel) to help you map this out.

FAQ

AI 보안 리소스

Databricks AI 보안 프레임워크(DASF)

Databricks 보안팀은 모델 보안을 넘어 위험을 완화하는 전체론적 접근 방식을 통해 AI 시스템의 진화하는 취약점에 대응하고자 Databricks AI 보안 프레임워크(DASF)를 개발했습니다.

DASF 백서 보기

Databricks AI 위험 워크숍

Databricks 보안팀은 리더들이 AI 시스템, 그 리스크 및 완화 전략을 이해할 수 있도록 AI 리스크 워크숍을 개최합니다.

참여하려면 문의하세요플라이어에서 자세한 정보 보기

AI 보안 기본 교육

이 과정은 5개의 포괄적인 모듈을 통해 Databricks Data Intelligence Platform 내 AI 시스템의 보안 기본 사항을 살펴봅니다.

Databricks Academy에서 1시간 과정 수강하기

AI 보안 이벤트 및 웨비나

Databricks 보안 리더들은 업계 리더, 기업, 기관, 벤더와 함께하는 행사에서 정기적으로 전문 지식을 공유합니다.

자세한 정보는 안내문을 참조하세요

AI 및 ML 리소스

웹페이지

AI 거버넌스
Databricks AI 및 Mosaic AI
레이크하우스 모니터링
Databricks Unity Catalog
Mosaic AI 게이트웨이

eBook 및 블로그

MLOps Big Book
데이터 과학 및 ML 블로그
책임감 있는 AI 블로그
데이터 및 AI 거버넌스
생성형 AI Big Book

교육 및 산업 백서

생성형 AI 기초
CISA 보안 AI 시스템 개발 가이드라인
NIST AI 위험 관리 프레임워크
LLM을 위한 OWASP Top 10
SAFE AI 보안 위험 관리
문제 신고