섀도우 ML 및 행위 기반 AI 방어 전략
AI 시대, 섀도우 ML 통제 중요성 부각
AI와 머신 러닝(ML) 기술은 많은 기업과 산업에서 필수적인 요소로 자리 잡으며 "섀도우 ML"의 부상을 초래하고 있습니다. 이는 IT 부서의 통제 없이 직원들이 AI 에이전트와 ML 모델을 배포하는 것을 말하며, 이로 인한 데이터 유출, 모델 편향, 위협 행위자에 대한 취약성 등의 위험이 발생할 수 있습니다.
이와 같은 상황에서 정보 보안 책임자(CISO)와 IT 리더들은 AI 기반 의사 결정이 기업 정책에 부합하고 안전하게 작동하도록 보장해야 합니다. MLOps의 복잡성을 이해하고, 이 과정에서 발생할 수 있는 고유의 위험과 구현 관련 취약성을 파악하는 것이 중요합니다. 고유 위험은 ML 환경의 복잡성과 악의적인 데이터 셋으로 인해 발생할 수 있습니다. 반면, 구현 관련 취약성은 인증 부족, 컨테이너 탈출, 성숙하지 않은 MLOps 플랫폼 등에서 비롯됩니다.
AI/ML의 도입이 증가함에 따라, 빠른 개발과 보안이 함께 고려되어야 합니다. 이를 위해 개발자는 공공 저장소로부터 모델을 검증하고, 입력 유효성 검사 및 연속적인 취약점 평가를 수행해 위험을 완화해야 합니다.
MLOps 보안을 위한 핵심 방안
-
의존성 및 패키지: 신뢰할 수 있는 출처로부터 오픈 소스 프레임워크를 사용하고 취약점 스캔을 수행합니다.
-
소스 코드: 정적 애플리케이션 보안 테스트(SAST)를 적용해 모델 개발에서 발생할 수 있는 잠재적 보안 위험을 식별합니다.
-
컨테이너 이미지: 배포 전에 컨테이너 이미지를 스캔하여 보안 위험을 예방합니다.
-
아티팩트 서명: 새로운 서비스 구성 요소에 서명하고 이를 불변으로 간주하여 무결성을 유지합니다.
-
프로모션/릴리스 차단: MLOps 파이프라인의 각 단계에서 애플리케이션을 재검토하여 문제를 신속히 식별하고 해결합니다.
이러한 방안을 준수함으로써 조직은 MLOps 파이프라인을 안전하게 유지하고, 보안 조치가 개발 및 배포 프로세스를 강화하도록 할 수 있습니다. 이는 우리의 디지털 시스템의 신뢰성과 보안을 유지하는 데 중요한 역할을 합니다.
출처 : 원문 보러가기