데이터브릭스 AI 보안 프레임워크(DASF) 소개

(번역: Youngkyong Ko) Original Post

데이터브릭스 AI 보안 프레임워크(DASF) 버전 1.0 백서를 발표하게 되어 기쁘게 생각합니다! 이 프레임워크는 비즈니스, IT, 데이터, AI, 보안 그룹 간의 팀워크를 개선하기 위해 설계되었습니다. 실제 공격 관찰을 기반으로 AI 보안 위험에 대한 지식 기반을 카탈로그화하여 AI와 ML 개념을 단순화하고, AI 보안에 대한 심층적인 방어 접근 방식을 제공하며, 즉각적인 적용을 위한 실용적인 조언을 제공합니다.

머신러닝(ML)과 생성형 AI(GenAI)는 혁신, 경쟁력, 직원 생산성을 향상시켜 업무의 미래를 변화시키고 있습니다. 그러나 조직은 데이터 유출과 규정 미준수 같은 잠재적인 보안 및 개인정보 보호 위험을 관리하면서 인공지능(AI) 기술을 기회로 활용해야 하는 이중의 과제를 안고 있습니다.

이 블로그에서는 DASF에 대한 개요를 설명하고 이를 활용하여 조직의 AI 이니셔티브를 보호하는 방법, 외부 모멘텀에 대한 업데이트를 공유하고 조직에서 AI를 안전하게 도입할 수 있도록 안내합니다.

데이터브릭스 AI 보안 프레임워크의 기반 구축

AI는 모든 산업에 영향을 미치고 업무 방식을 변화시키고 있습니다. 이제 그 어느 때보다 많은 리더들이 데이터와 AI를 활용하여 조직을 혁신하고자 합니다. AI 보안 및 거버넌스는 조직의 AI 목표에 대한 신뢰를 구축하는 데 매우 중요합니다. Gartner에 따르면 2024년에 비즈니스와 기술 결정에 영향을 미칠 가장 중요한 전략 트렌드는 AI 신뢰, 위험 및 보안 관리이며, 2026년까지 AI 투명성, 신뢰, 보안을 운영하는 조직의 AI 모델은 채택이 50% 증가하고 비즈니스 목표와 사용자 수용을 달성할 것으로 예상됩니다.

올해 초에는 데이터브릭스의 MosaicML 인수를 발표하며 책임감 있는 AI를 위한 우리의 노력에 대해 자세히 공유한 바 있습니다. 지난 몇 달 동안 새로운 파트너십을 통해 AI 업계 리더로서의 노력과 추진력을 더욱 강화해 왔습니다. 이러한 투자를 보완하기 위해 데이터브릭스 보안팀은 이제 CISO를 위한 AI 보안 워크샵을 개최하여 조직이 위험을 고려한 방식으로 AI 여정을 성공적으로 이끌 수 있는 방법을 교육하고 있습니다.  AI가 무엇인지, 어떻게 작동하는지, 이러한 기술이 출시될 때 어떤 보안 위험이 발생할 수 있는지 설명하는 신뢰할 수 있는 자료를 찾는 데 보안 및 거버넌스 팀이 어려움을 겪고 있다는 사실을 많은 고객사례에서 배울 수 있었습니다.

이러한 사실을 바탕으로 다음과 같은 원칙에 따라 비즈니스, IT, 데이터, AI, 보안 팀이 AI를 배포할 때 더 잘 협력할 수 있도록 돕기 위해 DASF 프레임워크를 개발했습니다:

1. AI 및 ML 이해하기: DASF는 AI 시스템의 12가지 구성 요소, 존재하는 AI 모델 유형 및 이들이 함께 작동하는 방식을 세분화합니다. 이는 관련된 AI 시스템, 프로세스 및 페르소나의 공통 명명법을 정의하여 팀이 함께 작업하는 데 도움이 됩니다.
2. AI 보안에 대한 심층적인 접근 방식 제공: 보안 리더와의 대화에서 보면, AI 보안이 사이버 보안 문제인지, 적대적인 머신 러닝 문제인지, 아니면 완전히 새로운 문제인지 명확히 구분해야 합니다. 현실은 이 모든 것이 다 포함됩니다. DASF는 특정 AI 사용 사례와 배포 모델을 기반으로 모든 AI 시스템의 3단계에 걸쳐 55가지 보안 위험을 이해할 수 있는 프레임워크를 제공합니다. 또한 MITRE ATLAS, OWASP Top 10 for LLMs, 그리고 NIST AML Taxonomy와 같은 일반적인 AI 보안 프레임워크에 위험을 매핑합니다.
3. 실행 가능한 권장 사항 제공: 기존의 많은 프레임워크는 AI와 관련된 위험을 잘 설명하지만, 이를 완화하는 데 필요한 제어를 명확하게 설명하지는 않습니다. DASF는 사용되는 모든 데이터 및 AI 플랫폼에 적용할 수 있는 53가지 제어를 권장합니다. 데이터브릭스 고객인 경우, 한 걸음 더 나아가 각 완화 제어를 구현하는 구체적인 지침을 제공하기 위해 데이터브릭스 문서(클라우드별) 링크를 포함했습니다!

데이터브릭스 AI 보안 프레임워크 시작하기

DASF는 어떤 데이터 및 AI 플랫폼을 사용하든 조직의 AI 배포 요구 사항에 대한 엔드투엔드 위험 프로필과 구현을 고려해야 하는 구체적인 제어 세트를 제공하도록 설계되었습니다. DASF를 시작하려면 아래 그림과 같이 다음 접근 방식을 권장합니다:

1단계 - AI 비즈니스 사용 사례 파악: 이미 구현되었거나 계획 단계에 있는 조직의 AI 사용 사례에 대해 이해관계자들과 협력하세요. 가장 일반적이고 영향력이 큰 AI 및 ML 사용 사례 전반에서 결과를 빠르게 도출할 수 있도록 특별히 제작된 가이드인 데이터브릭스 솔루션 액셀러레이터를 활용하는 것이 좋습니다. 어떤 데이터 세트가 사용될지, 어떤 규정 준수 요건이 적용될 수 있는지, 이러한 AI 시스템이 어떤 애플리케이션에 영향을 미칠지 검토하여 데이터 및 AI 플랫폼에 필요한 기본 기능을 마련하세요.

2단계 - AI 배포 모델 결정: 예측 ML 모델, RAG-LLM, 미세 조정된 LLM, 사전 학습된 LLM, 기초 모델, 외부 모델 등 적절한 배포 모델을 선택합니다. 각 배포 모델에는 12가지 AI 시스템 구성 요소와 조직, 데이터 및 AI 플랫폼, 관련된 모든 파트너 간에 다양한 책임 분담이 있습니다.

3단계 - 가장 관련성이 높은 위험을 선택: 문서화된 55가지 보안 위험 목록에서 조직이 구현 중인 사용 사례와 배포 모델을 기반으로 조직과 가장 관련성이 높은 위험을 찾아내세요. 대부분의 사용 사례의 경우 55개 위험 중 일부만 해결하면 됩니다.

4단계 - 제어를 선택하고 구현: 조직의 위험 성향에 맞는 제어를 선택합니다. 이러한 제어는 모든 데이터 및 AI 플랫폼과의 호환성을 위해 일반적으로 정의됩니다. 또한, 우리의 프레임워크는 클라우드별 특정 데이터브릭스 구현 지침과 함께 데이터브릭스 데이터 인텔리전스 플랫폼에 맞게 이러한 제어를 조정하는 지침을 제공합니다. 이러한 제어를 조직의 정책과 함께 사용하면 적절한 보증을 받을 수 있습니다.

여전히 어렵게 느껴지신다면 대화형 경험을 원하시는 분들을 위해 AI 보안 워크샵을 계속 개최할 예정입니다.

업계 동맹, 파트너, 고객을 통한 AI 보안 강화

보안 업계에서는 집단적 안전과 보안, 성공을 보장하기 위해 동료 간의 협업을 증진하는 것이 필수적입니다. 안전한 AI 시스템 개발을 위한 가이드라인, NIST AI 위험 관리 프레임워크, AI를 위한 모범 사이버 보안 관행을 위한 다계층 프레임워크와 같은 선행 표준, 프레임워크 및 타사 도구가 없었다면 오늘날 DASF와 같은 문서를 발표할 수 없었을 것입니다. 이 외에도 더 많은 자료가 DASF 전반에 걸쳐 참조되어 있으며 리소스 섹션에서 검토할 수 있습니다.

우리는 데이터브릭스의 AI, 머신러닝, 보안 전문가들과 함께 수많은 내부 검토를 진행했으며, HITRUST, 카네기멜론대학교, Capital One, Protect AI, 바라쿠다(아래 인용문 참조) 등 15명의 AI 보안 업계 리더들과도 만났습니다. 시간, 통찰력, 그리고 동료들에게 가장 실용적인 DASF를 만드는 방법에 대한 피드백을 제공해 주신 모든 분들께 감사드립니다. 전체 리뷰어 목록은 DASF의 감사 섹션에서 확인할 수 있습니다.

"좋은 액셀러레이터란 무엇인가에 대해 생각해 보면, 일을 더 원활하고 효율적으로 만들고 혁신을 촉진하는 것입니다. DASF는 보안 팀이 파트너로 하여금 AI를 최대한 활용할 수 있도록 지원하는 입증되고 효과적인 도구입니다. 또한 NIST와 같은 기존 위험 프레임워크와 일치하므로 단순히 작업 속도를 높일 뿐만 아니라 보안 작업의 견고한 기반을 마련합니다."

— Riyaz Poonawala, 해군 연방 신용 조합, 정보 보안 담당 부사장

"기업은 AI 혁신을 위해 보안을 희생할 필요가 없습니다. 데이터브릭스 AI 보안 프레임워크는 AI를 안전하게 도입할 수 있는 종합적인 도구입니다. 이 프레임워크는 AI 보안 문제를 AI 개발 파이프라인에 매핑할 뿐만 아니라 실용적인 제어 기능을 통해 데이터브릭스 고객이 실행할 수 있도록 지원합니다. 이 귀중한 커뮤니티 리소스를 개발하는 데 기여하게 되어 기쁘게 생각합니다."

— Hyrum Anderson, CTO, Robust Intelligence

"DASF는 인공지능 분야에서 데이터브릭스의 리더십을 보여주는 좋은 예이며, 중요한 시기에 업계에 기여하는 귀중한 공헌입니다. 가까운 미래에 인공지능과 관련된 가장 큰 위험은 악의적인 사람들이라는 것을 알고 있으며, 이 프레임워크는 이러한 사이버 범죄자들에 대한 효과적인 대응책을 제공합니다. DASF는 조직을 보호할 수 있는 실용적이고 운영적이며 효율적인 방법입니다."

— Chris "Tito" Sestito, HiddenLayer의 CEO 겸 공동 설립자

강력한 AI 보안 기반을 확장하기 위한 첫걸음을 내딛으세요 - 데이터브릭스 AI 보안 프레임워크를 다운로드하고 데이터브릭스 팀과 협의하세요.

데이터브릭스 AI 보안 프레임워크 백서는 데이터브릭스 보안 및 신뢰 센터에서 다운로드할 수 있습니다. 정확성을 보장하기 위해 많은 노력을 기울였으며, 여러분의 피드백을 기다리고 있습니다. 피드백이나 질문이 있으시면 이메일([email protected])로 문의해 주세요. 이 이메일을 통해 예정된 AI 보안 워크샵에 참여하거나 귀사를 위한 전용 워크샵을 예약하는 방법에 대한 자세한 정보를 요청할 수도 있습니다. AI 및 머신러닝 보안에 대한 자세한 리소스는 새로운 AI 보안 페이지를 참조하세요.