생성AI 붐이 시작된 지 2년이 지났고, 공격자들은 AI를 활용해 더 똑똑하고 빠르게 움직이고 있다. 보안 리더와 소프트웨어 개발자는 이에 대응해야 한다.
사이버 보안 및 AI 전문가들로 구성된 글로벌 커뮤니티가 주도하는 오픈 소스 프로젝트인 OWASP LLM 애플리케이션 보안 프로젝트가 LLM 및 생성AI 애플리케이션을 안전하게 채택, 배포 및 관리하는 데 필요한 리스크 식별 및 관리 지침을 제공하기 위한 프로젝트 확대와 이니셔티브의 일환으로 새로운 보안 가이드를 발표했다.
2023년 5월에 시작된 OWASP LLM 리스크 및 완화 가이드는 LLM 보안 모범 사례를 위한 주요 산업 자원으로 자리잡았다. 현재 이 프로젝트는 110개 이상의 기업 소속 500명 이상의 전문가와 5500명의 글로벌 커뮤니티 회원이 참여하고 있으며, NIST와 MITRE 같은 표준 기구와 협력하고 있다. 처음에는 LLM 취약점과 완화 조치에 집중했던 이 그룹은 LLM과 생성AI의 급성장에 따라 사명을 확장하여 더 넓은 대상을 위한 추가 자료를 제작하고 있다.
2024년 초 OWASP LLM 애플리케이션 보안 프로젝트는 개발자, 데이터 과학자, 보안 실무자뿐만 아니라 CISO와 컴플라이언스 담당자 같은 전략적 이해관계자도 포함하도록 범위를 확장했다. 이는 CISO를 위한 LLM 사이버 보안 및 거버넌스 체크리스트와 같은 유용한 자료를 제공했으며, 현재는 LLM 배포를 위한 거버넌스, 리스크 관리 및 컴플라이언스를 포함하고 있다. 이 범위 확장은 리스크 및 익스플로잇 데이터 매핑, LLM AI 사이버 위협 인텔리전스, 안전한 AI 채택, AI 레드 팀 평가 등을 담당하는 다양한 프로젝트 이니셔티브와 워킹 그룹에 의해 지원되고 있다.
이에 조직이 LLM 및 생성AI 시스템과 애플리케이션을 안전하게 채택, 개발 및 배포하는 데 필요한 포괄적인 전략을 지원하기 위한 새로운 연구, 지침 및 리소스의 첫 번째 자료를 발표한다.
초현실적 디지털 위조 대응 딥페이크 대응 가이드
딥페이크 이벤트 준비 및 대응 가이드는 "초현실적 디지털 위조"라는 증가하는 위협에 대응한다. 이 AI 사이버 위협 인텔리전스 이니셔티브에서 파생된 이 새로운 리소스는 익스플로잇 탐지 가능성, 모델 출력 간 차이, 윤리적 AI 사용에 중점을 두고 있으며, 딥페이크 기술이 발전함에 따라 조직이 안전할 수 있도록 실용적이고 현실적인 방어 전략을 강조한다. 연구팀의 블로그에서 더 많은 정보를 확인할 수 있다.
센터 오브 엑설런스 가이드는 AI 보안 센터를 구축하거나 기존의 보안 노력을 강화하는 데 도움이 되는 비즈니스 프레임워크와 모범 사례 모음을 제공한다. 이 가이드는 보안, 법률, 데이터 과학 및 운영 팀 간 협력을 강조하며, 생성AI 보안 채택과 리스크 관리의 협력 환경을 구축하기 위한 것이다. 안전한 AI 채택 이니셔티브의 일환으로 이 가이드는 조직이 보안 정책을 개발 및 시행하고 AI 사용에 대해 직원들을 교육하며 생성AI 기술이 안전하고 책임감 있게 배포되도록 돕는다.
AI 보안 솔루션 지형도 가이드는 LLM 및 생성AI 애플리케이션을 보호하기 위한 오픈 소스 및 상업적 솔루션에 대한 통찰을 제공하는 포괄적인 참조 자료이다. 기존 및 신규 보안 솔루션을 분류하여 Top Ten 목록에서 식별된 리스크에 효과적으로 대응할 수 있는 지침을 제공한다. 프로젝트는 주요 연구 격차를 해결하기 위한 전담 워킹 그룹과 함께 지속적으로 범위를 확장하여 사용자가 새로운 AI 도구와 기술을 안전하게 도입할 수 있도록 추가 자료를 제공하고 있다.
OWASP LLM 프로젝트 공동 리더 스콧 클린턴은 “생성AI가 산업을 재편함에 따라 보안 과제는 점점 복잡해지며 보안 팀은 뒤처지고 위협 행위자들은 강화되고 있다.”라며, “이 프로젝트의 강점은 다양한 사이버 보안 및 AI 전문 지식을 결합하여 업계를 위해 전문가 통찰을 제공하는 오픈 소스 커뮤니티 주도의 협력에 있다. 이러한 통찰 덕분에 우리는 보안 연구와 지침의 격차를 빠르게 발견하고 이를 채우며 복잡한 원칙을 실질적이고 실행 가능한 리소스로 번역할 수 있었고, 이는 빠르게 변화하는 생성AI 환경에서 보안 리더, 실무자 및 개발자들에게 도움이 될 것이다.”라고 말했다.
관련기사
- 2025년에 가장 중요한 기술 ‘AI’, 문제는 ‘대중화’
- 개인정보위, ‘AI로 악용되는 개인정보 노출·불법유통 대응 강화’
- 2025년에 주목할 6대 기술 트렌드
- 생성AI 악용 신종 사기 “합성 신원 및 딥페이크”
- 美, MS 등 주요 기관 대상 3만 5000건 DDoS 공격 배후 인프라 차단
- AI·ML 기술 접목 ‘피싱 공격 대응 솔루션’ 견고한 성장세
- 시도때도 없는 SW 공급망 공격, AI로 진화하며 피해는 막대
- 딥페이크와 신원 도용 막는 다중인증
- AI 기반 신원 도용 및 딥페이크 위협 증가에도 소비자들은 방심
- 생성AI 기반 사기의 주요 표적 ‘소기업’
- 전 세계 ‘딥페이크 스캠’ 기승...단일 그룹 소행 가능성 高
- [한선화의 소소(昭疏)한 과학] 우리가 알아야 할 딥페이크
- AI 위협·AI 기술 이슈 및 7대 공격 벡터 대응 통합 보안 플랫폼 ‘트렌드 비전 원’
- 2025년 IT를 주도할 6대 핵심 동향
- “재무·회계 데이터 딥페이크 공격 증가”...사기가 평균 이상 증가 전망
- 소셜 미디어 겨냥 자동화 봇 공격 ‘역대 최고’
- 30개 언어로 글로벌 협업 효율 높이는 ‘글로벌 비즈니스 커뮤니케이션’ 플랫폼
- 특허청, ‘지식재산권 컨퍼런스’ 개최
- 오픈 소스 ‘위협이 되기 전에 철저히 관리’
- ‘98% 정확도’ AI 딥페이크 탐지 브라우저...딥페이크 사기 꼼짝마!
- [2025년 전망] “AI로 더 정교해지는 신원 도용·사기·데이터 도난 위협”
- ‘AI 가짜 이미지’ 심각성에 ‘가짜 이미지 탐지’ 시장 파죽지세 성장
- “기업 리더의 90%가 AI 기반 사이버 보안 솔루션 못 믿어”
- “심각한 애플리케이션 보안 위협에 직면한 100%의 조직”을 위한 개선 전략
- 인터넷 규제 미비 국가, 딥페이크 사기 범죄 온상으로…국제 사회 협력 시급