SK쉴더스의 AI 보안 전략 요약
1. 보안 사업 구체화
- 목표: 기업들의 거대 언어 모델(LLM) 도입에 맞춰 생성형 AI 보안을 지원하는 서비스 출시.
- 대상: 데이터 보안 태세 관리(DSPM) 솔루션 검토 중.
2. 주요 보안 위협
- EQST(Experts, Qualified Security Team): 해킹 사고 사례와 연구 결과를 바탕으로 2024년 상반기 주요 보안 트렌드 발표.
3. 생성형 AI 주요 위협 3가지
- 프롬프트 인젝션 (Prompt Injection):
- 악의적인 질문을 통해 AI 서비스의 지침이나 정책을 우회.
- 악성코드 생성, 마약 제조, 피싱 공격 등에 악용 가능.
- 불안전한 출력 처리:
- LLM이 생성한 출력물을 시스템이 적절하게 처리하지 못할 때 발생.
- 2차 공격으로 이어질 수 있어 위험도가 높음.
- 예: 원격 접속 코드 실행 요청이 포함된 질문으로 AI LLM 운영 서버에 접속.
- 민감 정보 노출:
- LLM 모델 학습 시 민감 정보 필터링이 미흡하거나 애플리케이션 권한 관리 미흡으로 발생.
- 학습 데이터에 가명 처리를 하거나 데이터를 검증하는 등의 추가 보완책 필요.
4. 맞춤형 보안 서비스
- AI 모의해킹부터 연계 보안 서비스까지 제공.
- LLM 인프라: 서버, 모델 저장소, 플러그인 등 일반적인 웹 서버 구성보다 복잡.
- 제공 서비스:
- AI 인프라 운영에 특화된 제로 트러스트 환경 구축 및 운영 체계 수립.
- SBOM(Software Bill Of Materials) 등을 활용해 보안 이력 관리.
5. 제로 트러스트 보안 접근
- AI 인프라의 복잡성으로 인해 권한 분리와 신뢰할 수 있는 단말기만 접근을 허용하는 제로 트러스트 보안이 적합.
- 이재우 EQST 사업 그룹장: “AI는 데이터레이크와 유사하며, 데이터 레이크에 필요한 접근 통제나 데이터 보안을 제로 트러스트 보안 접근 방식으로 커버할 수 있다. 생성형 AI에 특화된 보안도 제로 트러스트 관점에서 접근.”
SK쉴더스는 이러한 전략을 통해 생성형 AI 보안을 강화하고, 고객 맞춤형 보안 시스템을 구축해 나갈 계획입니다.
