11월 27일 우리나라를 포함한 전 세계 18개국이 AI 개발에 관한 가이드라인인 보안 AI 시스템 개발을 위한 가이드라인(Guidelines for secure AI system development)을 공동 발표했다. 가이드라인은 AI 개발과 운영 유지 보수에서 사용자 프라이버시를 보호하고 문서를 적절하게 관리해야 하는 점을 밝히고 있다.
이번 가이드라인을 지지하는 국가는 우리나라 외에 미국, 영국, 일본, 호주, 캐나다, 칠레, 체코, 에스토니아, 프랑스, 독일, 이스라엘, 이탈리아, 뉴질랜드, 나이지리아, 노르웨이, 폴란드, 싱가포르 등이다.
가이드라인은 보안 설계, 안전한 개발, 완전한 전개, 안전한 운영과 유지 보수 등 4개 항목으로 나뉘어져 있으며 항목마다 AI 개발 주기를 개선하기 위한 제안과 일반 시민을 보호하기 이한 제안이 포함되어 있다.
항목별 주요 내용을 보면 먼저 보안 설계. 개발을 시작하기 전부터 AI가 갖는 보안 위험이나 경감책에 대해서 개발 스탭 의식을 높일 필요가 있다. 또 개발하는 AI 기능 결정과 동시에 보안에 관한 결정도 할 필요가 있다. 또 안전한 개발에선 개발 단계에서 공급망 보안, 문서 관리, 자산 보호와 기술적 부채에 대한 적절한 관리가 필요하다. 다음은 안전한 배포. API와 모델, 데이터 액세스 제어 권한 등 AI 시스템을 지원하는데 사용되는 인프라를 적절하게 보호해야 한다. 또 보안 인시던트가 발생하고 문제가 표면화될 경우를 대비해 개발자는 대응‧복구 계획을 미리 준비하는 게 중요하다. 또 AI 모델 기능과 훈련된 데이터는 공격자로부터 지속적으로 보호되어야 하며 철저한 보안 평가를 통과한 경우에만 출시되어야 한다.
다음은 안전한 운영과 유지보수. AI 동작을 모니터링할 때에는 개인정보보호와 데이터 보호 요건을 충족하기 위해 오용 징후가 없는지 적절히 모니터링하고 기록해야 한다. 또 정기적으로 업데이트를 자동 업데이트해 이전 버전이나 취약한 버전이 사용되지 않도록 해야 한다.
영국 사이버보안청 관계자는 이 가이드라인은 일부가 아니라 AI 전체 핵심 부분을 보장하는 것이라고 밝히고 있다. 이번 가이드라인은 법적 구속력은 없지만 CIA 측은 AI 시스템 보안 보호를 일순위로 생각한다는 이번 가이드라인에 이렇게 많은 국가가 이름을 올린 건 중요하다며 이번 가이드라인은 AI 개발이나 전개에 중요한 건 획기적인 기능이나 시장 투입 속도, 비용 삭감 만은 아니라며 각국 합의를 얻은 첫 가이드라인이라는 점을 강조했다. 관련 내용은 이곳에서 확인할 수 있다.