국정원, '챗GPT 보안 가이드라인' 공개…"기관 민감한 정보 입력 금지"

공공영역?API?기반 서비스 구축 시 주의 사항 포함
외부망 도입 시 데이터 대상 보안등급 분류 적용

정기홍 기자 승인 2023.06.30 23:45 | 최종 수정 2023.07.01 01:14 의견 0

국가정보원이 최근 챗GPT 열풍에 따른 인공지능(AI)의 부작용을 막기 위해 보안 가이드라인을 공개했다. 생성형 AI를 공공 영역에서 활용하는 경우 비공개 정보가 유출되지 않도록 주의해야 한다는 것이 골자다.

생성형 인공지능 API 기반 공공서비스 구축 시 주의 사항. 국정원 제공

30일 국정원의 '챗GPT 등 생성형 AI 활용 보안 가이드라인'에 따르면 생성형 AI 보안 위협은 ▲잘못된 정보 ▲AI 모델 악용 ▲유사 AI 모델 서비스 빙자 ▲데이터 유출 ▲플러그인‧응용프로그램 인터페이스(API) 취약점 등이다.

따라서 국정원의 가이드라인은 공공기관이 민간에서 개발된 AI 모델을 활용하거나 내부 업무시스템 형태로 구축될 경우 주의할 내용을 담았다.

앞서 국정원은 지난 4월 말 정부 부처와 지방자치단체에 '챗GPT 등 언어모델 AI 활용 시 보안 유의사항 안내'라는 공문을 발송한 바 있다.

당시 공문에는 개인정보와 비공개 자료를 챗GPT에 입력하지 말고 공공이 API를 활용하려면 사전 보안성 검토를 받아야 한다고 밝혔다. 이번에 공개한 가이드라인은 그 후속 조치다.

공공기관이 생성형 AI 서비스를 활용할 때 ▲답변 정확성 검증 ▲유해성 차단 ▲기관 민감 정보‧개인정보 입력 금지 ▲데이터 관리 ▲정식 배포된 플러그인 사용 ▲AI 모델 생성기반 공격 대응체계 구축 등을 준수해야 한다.

국정원은 "주민등록번호와 신용카드 정보, 비밀번호 등 개인정보뿐만 아니라 소속기관의 내부 민감 정보를 입력하지 않도록 주의해야 한다"며 "기술 취약점으로 인해 내부 주요 정보가 유출될 위험이 있기 때문"이라고 설명했다.

또 "가명·익명화를 통한 실제 개인정보와 기관과의 관계를 유추할 수 있는 가능성을 사전 차단하고, 생성한 데이터의 경우 보관 기간이 지난 후 삭제해야 한다"고 권고했다.

불필요한 권한을 요구하는 확장 프로그램의 경우 개인정보 유출이나 데이터 손상 위험이 있으므로 사용을 피해야 한다.

공공기관이 API 기반 공공서비스를 구축할 때 유의해야 할 내용도 포함됐다.

내부 행정 업무 활용 시스템과 대민서비스 등 외부 시스템으로 분류된다.

국정원은 "기관은 생성형 AI 모델 기반 서비스를 개발하기 위해 정부 기관 소유의 정보 시스템을 통해 추진할 수 있다. 이 경우 AI 모델 학습에 이용되는 데이터와 개발‧운용 과정에서 발생하는 생성물은 기관 외부로 직접적으로 옮길 수 없다"고 했다.

다만 망분리 관련 보안대책을 준수하는 경우에 한해 해당 기관 외부로 데이터가 전달될 수 있다고 덧붙였다.

국정원은 내부 업무를 클라우드 기반으로 운용하는 기관은 '국가 클라우드 컴퓨팅 보안 가이드라인'의 보안등급과 대책을 준수해야 한다고 강조했다. 내부망 외 네트워크 연결 혹은 물리적 영역 분리가 이뤄지지 않으면 이용할 수 없다.

아울러 기관이 외부 업무 시스템에 상용 AI 모델을 도입할 경우 모든 데이터를 대상으로 기관 자체 보안등급 분류를 적용해 도입 여부를 판단해야 한다고 했다. 개발 이후에도 주기적 데이터 등급 지정·점검을 통한 관리가 필요하다고 권고했다.

저작권자 ⓒ 사이렌스. 무단 전재 및 재배포 금지