기존 보안 접근 방식은 AI에 적합하지 않습니다. 생성적 AI 기술은 이미 세상을 변화시키고 있으며 사이버 보안 및 비즈니스 프로세스에 엄청난 긍정적인 잠재력을 갖고 있지만 기존 보안 모델과 제어로는 이 새로운 기술과 관련된 보안 위험을 관리하기에 충분하지 않습니다.
우리는 최근에 새로운 백서 생성적 AI의 보안 과제와 기회, 이와 관련된 위험을 관리하기 위해 보안이 어떤 조치를 취해야 하는지, 이 AI 기술(및 기본 데이터)을 효과적으로 보호하는 데 제로 트러스트 접근 방식이 어떻게 필수적인지, 조직 전체에서 역할이 어떻게 다른지를 검토합니다. 효과적인 AI 보안을 위해 함께 협력해야 합니다.
AI의 고유한 과제 탐색
AI는 다른 사고와 다른 솔루션이 필요한 새로운 유형의 문제를 제시합니다.
생성적 AI는 역동적이다
가장 기본적인 수준에서 생성적 AI는 비결정적 컴퓨팅입니다. 즉, 실행할 때마다 정확히 동일한 출력을 제공하지 않습니다. 예를 들어, 이미지 생성 모델에 “경비원 유니폼을 입은 새끼 고양이 그림을 그려주세요”라고 반복적으로 요청하는 것은 완전히 동일한 그림을 두 번 생성할 가능성은 없습니다(모두 비슷할지라도). 정적 보안 제어는 취약성(광의의 정의)과 이를 악용하여 매번 똑같이 보이도록 하는 것이 AI에 대한 공격을 탐지하고 차단하는 데 특별히 효과적이지 않다고 가정합니다. AI용 컨트롤이 필요합니다.
제너레이티브 AI는 데이터 중심이다
Generative AI는 기본적으로 데이터 분석 및 데이터 생성 기술로, 데이터의 보안과 거버넌스가 AI 애플리케이션의 보안과 해당 출력의 신뢰성에 매우 중요합니다.
AI와 AI가 의존하는 데이터를 보호하려면 동적 변화를 처리할 수 있는 자산 중심, 데이터 중심 보안 접근 방식이 필요합니다. 이는 AI를 효과적으로 보호하려면 제로 트러스트 접근 방식이 필요하다는 것을 의미합니다..
제로 트러스트 이는 네트워크 보안 경계가 그 안에 있는 자산(데이터 포함)을 보호하기에 충분하다는 잘못된 가정이 없는 단순한 최신 보안입니다. 이는 보안 전략, 아키텍처, 제어 등을 보는 방식을 바꾸는 사고방식의 변화를 주도합니다. 제로 트러스트는 ‘모든 것의 하이브리드’ 환경(멀티 플랫폼, 멀티 클라우드, 온프레미스, 운영 기술, 사물 인터넷 등) 전반에 걸쳐 기존 네트워크 경계 내부 및 외부의 비즈니스 자산을 보호하는 보안에 중점을 둡니다.
사이버 공격자는 생성 AI를 사용하여 사용자를 공격하고 있습니다.
또 다른 문제는 AI가 모델을 훈련하기 위해 방대한 양의 데이터에 의존하므로 데이터가 사이버 공격자의 주요 표적이 되고 데이터 보호의 중요성이 높아진다는 것입니다. 사이버 범죄자들은 이제 AI를 사용하여 공격 기술을 개선하고 조직에서 훔친 데이터를 처리하고 있습니다. 조직은 이러한 위협이 이미 발생하고 있음을 인식하고 데이터, AI 애플리케이션, 비즈니스 자산 및 인력을 효과적으로 보호하기 위해 보안 전략을 시급히 조정해야 합니다.
제로 트러스트 원칙을 적용함으로써 조직은 AI와 관련된 위험을 줄이는 동시에 이 기술이 제공하는 기회를 신속하게 수용할 수 있습니다.
AI 보안 위험 관리에 도움이 되는 주요 전략
백서의 이러한 전략은 AI와 관련된 위험을 관리하는 방법을 보여줍니다.
- 사용자에게 안내 제공. 사이버 공격자는 조직 내 거의 모든 사람이 경험하게 될 사기 이메일 및 전화 통화(피싱 또는 비즈니스 이메일 침해라고도 함)의 품질과 양을 개선하기 위해 AI를 사용하고 있습니다. 조직은 매우 설득력 있는 가짜 커뮤니케이션을 보게 될 가능성이 높고 이에 대해 어떻게 해야 하는지 이해할 수 있도록 모든 사람(재정 역할 및 기타 비즈니스에 큰 영향을 미치는 역할부터 시작)을 시급히 교육해야 합니다. 사람들은 AI가 작동하는 방식, 그에 따른 위험, AI에 대해 무엇을 할 수 있는지(예: 발견 방법, 보안 팀에 보고하는 방법, 독립적으로 확인하기 위해 비즈니스 프로세스를 향상하는 방법 등)에 대한 기본 사항을 이해해야 합니다. 중요한 거래).
- AI 애플리케이션 및 데이터 보호. 사이버 범죄자들은 AI 시스템을 적극적으로 표적으로 삼고 있습니다. 나중에 비용이 많이 드는 수정을 방지하려면 AI 개발에 보안을 조기에 통합하는 것이 중요합니다.
- AI 보안 기능 채택. AI는 재능 있는 인간 전문가와 기존 도구를 대체할 수 있는 마법의 만병통치약은 아니지만, AI 기술은 사람들이 데이터와 도구를 최대한 활용할 수 있도록 지원하여 보안 운영(SecOps)을 크게 향상시킬 수 있습니다(신속한 보고서 작성, 비즈니스 영향 분석). 공격, 조사를 통해 신규 분석가 안내 등).
- 정책 및 표준. 조직에는 팀의 결정을 안내하고 규제 기관에 대한 실사를 따르고 있음을 입증하기 위해 문서화된 보안 표준 및 프로세스가 필요합니다. 이러한 표준은 보안, 개인 정보 보호 및 윤리적 고려 사항을 다루어야 합니다. Microsoft의 책임 있는 AI 표준 이 작업을 안내하기 위한 참고 자료입니다.
제로 트러스트와 AI: 공생 관계
우리는 제로 트러스트와 제너레이티브 AI 사이에 다음과 같은 공생 관계가 있음을 발견했습니다.
- AI는 데이터와 AI 애플리케이션을 효과적으로 보호하기 위해 제로 트러스트 접근 방식이 필요합니다.
- AI 기반 기능은 방대한 데이터 신호를 분석하고, 주요 통찰력을 추출하고, 핵심 프로세스를 통해 인간을 안내하고, 반복적인 수동 작업을 자동화함으로써 제로 트러스트를 가속화하는 데 도움이 될 수 있습니다. 이를 통해 팀은 소음을 줄이고 위협에 더 빠르게 대응하며 전문 지식을 지속적으로 학습하고 성장시킬 수 있습니다.
보안에 대한 제로 트러스트 접근 방식은 지속적으로 변화하는 위협과 AI가 대표하는 기술의 급속한 발전을 따라잡는 데 도움이 됩니다. 나는 이 블로그를 다음의 인용문으로 마무리하겠습니다. 새로운 백서:
“보안을 조기에 통합하고 제로 트러스트 원칙을 수용함으로써 조직은 AI를 활용하는 동시에 위험을 완화할 수 있습니다. 마치 자동차의 브레이크가 사람들이 안전하게 더 빠르게 이동할 수 있게 해주는 것과 같습니다.”
제로 트러스트 접근 방식에 대해 자세히 알아보기
제로 트러스트가 이 접근 방식을 어떻게 안내할 수 있는지 자세히 알아보려면 다음을 방문하세요. 제로 트러스트 모델 웹페이지를 방문하고 추가 리소스를 살펴보세요. 제로 트러스트 지도 센터. 확인해 보세요 마크의 목록 추가 리소스를 확인하세요.
더 많은 보안 리소스와 링크를 보려면 당사를 방문하세요. 링크드인. 북마크에 추가할 수도 있습니다.보안 블로그 보안 뉴스를 확인하고 팔로우하려면 마이크로소프트 보안LinkedIn 및 X(@MSFT보안 ).
게시물 민첩한 비즈니스, 민첩한 보안: AI와 제로 트러스트가 함께 작동하는 방식처음 등장한 Microsoft AI 블로그.
