랭코드 TX Insight(2024년 3월호)

 TX(Total eXperience) Insight 구독자 여러분, 잘 지내셨나요? 

매월 셋째 주 수요일에 찾아오는 랭코드 Newsletter입니다.

지난 3월 13일(현지시간) 유럽연합(EU)에서 세계 최초로 인공지능 규제법(AI Act)을 통과시켰습니다.  이는 한국 내에서도 큰 관심을 불러일으키고 있으며, 특히 AI 기술 도입을 고려하는 기업들에게 중요한 영향을 미치고 있습니다.

 이 법안은 AI 기술의 안전하고 윤리적인 사용을 강조하며, 다양한 위험 수준에 따라 AI 애플리케이션을 규제하고 있는데요, 이와 같은 국제적인 움직임은 한국에서 AI를 도입하고자 하는 기업들에게 중요한 시사점을 제공하며, 이러한 변화에 대비하는 것은 필수입니다.

이번 뉴스레터에서는 EU의 AI 법안과 한국 기업들이 이러한 변화에 대비하여 준비해야 할 사항들에 대해 알아보고자 합니다. 또한, 국내 AI 관련 정책 및 가이드라인을 통해 한국 기업들이 글로벌 스탠다드에 부합하는 AI 기술 도입 및 활용 전략 수립에 도움을 드리고자 합니다. 

AI Act 

| 세계 최초 AI 규제법 의회 통과 

인공지능 법안(AI Act)은 유럽 연합(EU)에서 제안한 법률로, 인간 중심적이며 신뢰할 수 있는 인공지능(AI)의 개발과 활용을 촉진하고, 사람들의 기본권 및 민주주의 가치를 유해한 영향으로부터 보호하는 것을 목적으로 합니다.

이 법안은 위험기반 접근법(Risk-based approach)을 채택하였는데, AI 시스템이 가질 수 있는 불투명성, 복잡성, 데이터 의존성 및 자율적 행동으로 인해 발생할 수 있는 사용자의 기본권과 안전에 대한 부정적 영향을 해소하기 위해 설계되었습니다. 위험(Risk)은 허용 불가 위험(Unacceptable risk), 고위험(High risk), 제한된 위험(Limited risk), 최소 위험(Low and minimal risk) 등 4가지 위험 수준에 걸쳐 구분되며 높은 위험성을 내포한 기술에 더 엄격한 규제를 적용하도록 했습니다. 

1. '허용 불가 위험’ 단계는  사람의 건강, 안전, 권리 또는 환경에 중대한 위협이 될 수 있는 해로운 AI 활동을 명확히 금지하고 있습니다.  여기에는ⅰ)유해한 영향을 끼치는 '무의식적 기술'을 적용하는 AI 시스템, ⅱ) 특정 취약 집단을 대상으로 하는 AI 시스템, ⅲ) 공공 당국이나 그들의 행위를 사회적으로 평가하는 목적에 사용되는 AI 시스템, ⅳ) 일부 예외를 제외하고, 법 집행을 위해 대중이 접근 가능한 장소에서 '실시간'으로 안면 인식과 같은 생체 인식 기술을 사용하는 시스템이 해당됩니다. 

2. ‘고위험’ 단계는 사람들의 안전 또는 기본권에 부정적인 영향을 미치는 AI 시스템을 규제합니다. 고위험 AI 시스템은 위험관리, 테스트, 기술적 견고성, 데이터 훈련 및 데이터 거버넌스, 투명성 등의 규제 요건을 충족해야 합니다.

3. '제한된 위험' 단계는 사용자가 기계와 소통하고 있다는 사실을 인식할 수 있는 AI, 예를 들어 챗봇과 같은 경우를 의미합니다. 제한된 위험 단계의 서비스를 운용하는 사업자는 해당 콘텐츠가 AI로 만들어진 것임을 표시하는 등 제한적인 투명성의 의무만 요구됩니다.

4. '최소 또는 무위험' 단계는 이미 스팸 메일 필터링, 재고 관리 등 업무는 물론이고 비디오 게임 등에 활용되는 AI처럼 위험이 거의 없다고 여겨지는 수준을 뜻합니다. 추가적인 법적 의무를 준수하지 않고도 EU에서 개발과 사용이 가능합니다. 

국내 AI 관련 정책 

| AI 시스템 도입을 위한 6가지 필수 고려사항

AI의 활용으로 발생할 수 있는 보안 위험에 대응하기 위한 국내 AI 관련 정책에는 어떤 것들이 있을까요? AI서비스 제공이 증가하는 만큼 AI 보안 위험에 대한 우려 또한 증가하고 있으나 한국의 AI 규제 관련 구체화 및 단일화는 여전히 진행 중인 상황입니다.

21년부터 최근까지 주요 기관에서 발표된 국내 AI 정책 및 가이드라인* 총 9개를 종합하여 분석한  ‘안전한 AI 서비스를 위한 국내 정책 및 가이드라인 개선방안 연구’**를 통해 AI 시스템 도입을 위한 6가지 핵심 요소 및 고려사항을 살펴보겠습니다.

1. 신뢰성(Reliability): 수집된 데이터의 출처가 명확하고 신뢰할 수 있는가?

2. 안전성(Safety): 데이터 활용 과정에서 데이터 개인 정보 보호가 잘 이루어지고 있는가?

3. 정확성(Accuracy): AI 서비스 사용으로 도출된 결과의 정확성을 확인 할 수 있는가?

4. 윤리성(Ethicality): AI 서비스가 일반적인 윤리 규범을 준수하는가?

5. 위험관리(Risk management): AI 서비스 모델에 대한 위험 관리 시스템이 구축되어 있는가?

6. 투명성(Transparency):  AI 서비스 모델의 작동 방식과 의사 결정 과정의 설명이 설명되어 있는가?

위에서 살펴본 것과 같이 AI 도입과 관련된 보안 위험 대응은 신뢰성, 안전성, 정확성, 윤리성, 위험 관리, 투명성의 여섯 가지 핵심 고려사항을 바탕으로 진행되고 있습니다. 이것은 AI 서비스의 안전한 활용과 발전을 위한 기반을 마련해 주며, 기업의 AI 솔루션 도입 및 정책 수립을 위한 가이드라인이 될 것입니다. 

*과학기술정보통신부, 개인정보보호위원회, 금융감독원 등

**김지연 외(2023.12), 안전한 AI 서비스를 위한 국내 정책 및 가이드라인 개선방안 연구, 한국정보보호학회 

금융 분야를 위한 AI 보안 가이드 

| AI 모델 개발 단계별 보안을 위한 원칙 및 고려사항

금융분야는 AI를 사용함에 있어 특히 엄격한 규제 환경을 요구 받습니다. 다른 어떤 분야보다 서비스의 신뢰성과 안전성을 보장하는 것이 매우 중요한 분야인데요, 금융보안원에서 발표한 ｢금융분야 AI 보안 가이드라인｣을 통해 AI의 핵심 원칙과 기본 사항을 살펴보겠습니다.

AI의 금융권 적용을 위한 AI 모델 개발 단계별 원칙 및 고려사항을 요약하면 아래와 같습니다.

1. AI 데이터 수집:  신뢰할 수 있는 출처로부터 수집하고 활용 및 수집한 데이터의 모니터링, 출처, 버전, 구축 시점, 메타정보 등 데이터 정보의 관리 필요

2. AI 데이터 처리:  수집한 데이터를 AI 모델 입력이나 분석에 적합한 형태로 가공 시 통합, 변환, 축소, 클리닝 등의 기법을 활용하여  학습에 불필요한 요소를 제거하고 단순화 필요

3. AI 모델 설계･학습:  AI 모델이 취약할 경우 공격자는 AI 서비스를 무력화하거나 모델을 복제할 수 있으므로 공격으로부터 AI 모델을 안전하게 보호할 수 있도록 보안성 확보 필요

4. AI 모델 검증･테스트:  AI 모델이 일정 수준 이하로 저하되는지 성능 수준의 평가 및 개인정보 등 민감 정보가 출력 되는지 등의 최종 출력값 확인 필요 

| AI 챗봇 서비스 보안성 체크리스트 

이 가이드라인에서는 금융 분야에서 특히 활발히 활용되는 AI 기반 챗봇 서비스의 이용을 위해 총 33개의 보안성 체크리스트를 제공하고 있습니다. 이를 통해 실무자들은 챗봇 서비스의 보안 요소들을 체계적으로 검토하고 관리할 수 있는데요, 이중에서 몇 가지 주요 항목들을 살펴보면 아래와 같습니다. 

랭코드 Solution

지금까지 살펴본 것처럼 엄격한 규제 환경이 요구되는 금융권의 AI 시스템의 도입을 위해서는 주요 AI 관련 정책 및 보안 원칙, 보안성 체크리스트를 필수로 만족시키는 솔루션의 선택이 매우 중요합니다.

AI 규제 및 보안성 문제를 해결한 금융권의 생성형 AI 도입 사례인 NH농협은행 사례를 통해  랭코드의 솔루션이 어떻게 이 조건을 만족시켰는지 살펴보겠습니다.   

위의 개념도를 통해 알수 있듯이  랭코드의 생성형 AI  CXP 솔루션은 금융권AI 챗봇 서비스 도입을 위한 AI 기반 지식베이스 구축 및 최적화를 이뤄냈습니다. 이를 통해 NH농협은행은 복잡한 금융 환경에서 발생하는 다양한 이슈들을 효과적으로 모니터링하고 관리하며, 임직원에게 맞춤형 서비스를 제공하여 금융권에서 최초로 생성형 AI를 통한 업무 혁신을 이룰 수 있었습니다.

AI 챗봇서비스의 필수 보안성 체크리스트를 만족시킬 수 있도록 랭코드가 적용한 기술과 구조는 아래와 같습니다. 

1. SSO 및 부서, 조직 정보 등 연계 지원하는 통합 인증을 통한 계정 관리

2. 결재/승인 체계와 연동된 모니터링 시스템을 활용한 접근 통제

3. 기밀, 민감정보 탐지 및 필터 모듈을 통한 입력제한

4. 철저한 암복호화 및 자동 삭제 (Retention) 통한 중요 정보 보안 실현

5. 아키텍처 구성을 통한 원격 접속 금지 및 강력한 보안 통제 클라우드 DMZ 등을 활용한 통제

6. 실시간 탐지 및 모니터링을 통한 개인 정보 활용 제한

7. 개발 및 운영 환경 클라우드 원격접속 차단을 비롯한 네트워크 접근 통제

랭코드 솔루션에 대한 자세한 문의가 필요하다면 링크를 통해 온라인 상담을 신청하세요. 

Langcode INSIGHT

이달의 Event

| 바우처 지원 사업을 통한 생성형 AI 도입

데이터바우처 지원사업(한국데이터산업진흥원 주관)이란 초기 중견기업,  중소기업, 소상공인 등 데이터 기반 비즈니스의 혁신 및 신규 제품·서비스 개발이 필요한 기업들을 대상으로 데이터의 구매 ‧ 가공을 지원하기 위해 최대 5,400만원의 바우처를 제공하는 사업입니다.

데이터의 안전하고 가치 있는 활용을 통해 신사업 분야 성장을 지원하며, 기존 전통 사업과의 융합을 통한  AI혁신을 목표로 데이터 전반의 디지털 대전환을 촉진하고자 합니다. 

랭코드에서 제공하는 데이터바우처 컨설팅 서비스는 고객님의 사업 목표를 정밀하게 설정하고, 이를 달성하기 위한 맞춤형 솔루션을 제공합니다.

서류작성 가이드부터 고도의 기술 지원에 이르기까지 A to Z의 전문적인 서비스를 제공하여, 귀사의 사업 성공을 적극 지원합니다. 다양한 사업 분야에서 축적한 폭넓은 AI 기술 지식과 전문성을 바탕으로, 사업 기획부터 구현, 활용 단계에 이르기까지 전 과정을 체계적으로 관리하여 수요 기업의 데이터 기반 사업화 과정을 성공적으로 이끌어내는 데 중점을 둡니다.

지금 바로 랭코드와 함께 데이터 혁신의 여정을 시작하세요! 

<AI 정책과 보안가이드 >를 주제로 한 랭코드의 열 번째 TX Insight는 유익하셨나요? 

랭코드는 뉴스레터를 통해

최신의 소식 및 인사이트를 여러분과 함께 나누고자 합니다.

4월에는 더욱 알찬 소식으로 찾아뵙겠습니다. 

랭코드 Business Develop Team 드림