AI #보안 #ai #생성형ai

생성형 AI 서비스 파일 업로드 관련 문의(공공기관)

안녕하세요, 저희 기관은 공공기관으로 보안등급이 높은 편입니다. 


최근에 chatgpt api를 연계하여 질의응답을 할 수 있는 간단한 중계 플랫폼을 도입했는데요, 구축하는 측에서 보안성 검토에 막혀서 1. 파일 업로드는 불가하며,  2. 웹서핑도 유해사이트 차단이 어렵다는 이유로 불가능 판정을 받았다고 합니다. 

내부의 자체 보안정책이라기보다는 외부(국정원 등)의 검토 결과인데, 정보 유출 가능성 차단이라고 하지만 명확하게 사유가 없는 듯합니다. 그냥 신기술이라는 미명하에 찜찜하니깐 왠지 리스키해서? 이런 느낌입니다. 예를 들어, 모니터링 체제 구비, 필터링 등 프롬프트 가드와 유사한 수준이 필요하다와 같은 보안요건이 필요한데 현 시점은 어떤게 저촉되서 안된다 이런게 없더라구요.

그런데, 사실 gpt가 현재 4o에서 웹서핑과 파일업로드가 안되면 그건 4o가 아니잖아요.. 활용도가 너무 떨어지는데 혹시 다른 기관들이나 사이트에서는 생성형ai api 활용해서 서비스 하실때 유사한 사례나 대응방법이 있으셨는지 궁금합니다. 


긴글 읽어주셔서 감사합니다!! 

17개의 답변이 있습니다.

2 추천 | 약 한 달 전

실제 도입 사례와 대응 방안

세종시의 경우 2024년 8월부터 GPT-4o 기반의 실시간 통역 서비스를 시범 도입했습니다. 
이는 명확한 활용 목적과 보안 대책을 수립했기 때문에 가능했습니다.


1. 도입을 위한 권장 대응 방안

  • 개인정보처리방침 및 사용자 약관 검토

  • 데이터 수집 및 처리 방법 명확화

  • 자동화된 콘텐츠 필터링 도구 적용

  • 정보보호 알고리즘(differential privacy) 적용


2. 보안성 검토 대응 전략

  • 행정안전부의 안내에 따르면, 다음과 같은 분야에서는 제한적으로 활용이 가능합니다

  • 정보탐색 활용 (기획 보고서 작성용 아이디어 탐색)

  • 언어능력 활용 (보도자료, 인사말 등 대외 공개자료 초안 작성)

  • 컴퓨터능력 활용 (업무 자동화 프로그램 코드 생성)

웹서핑과 파일 업로드 제한의 경우, 단계적 도입을 통해 보안성을 검증하면서 점진적으로 기능을 확장하는 방안을 고려해볼 수 있습니다.


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전 | (주)한싹 | 010-4274-4110

안녕하세요! 

11월에 있었던 MS 공공클라우드 AI 로드쇼 자료 입니다. 

MS 클라우드 로드쇼 핸드북.pdf

제가 발표했던 망간 자료전송으로 보안성 강화한 도입방안 자료는 용량이 커서 업로드가 안되네요!

현재 한국은행이 내부망에서 코파일럿 활용 POC를 하고 있어 국정원 보안성 검토가 어떻게 될지 업계가 궁금해하고 있는데요, 이미 진행하신 공공기관이 있으셨다니 대단하시네요!

이미 경북도청은 23년 챗경북을 구축해서 최근 고도화까지 진행 중인데요, KT클라우드 인프라를 통해서 서비스 되고 있어 아마 글로벌 CSP로 추진하신 듯 합니다. 

MLS 정책에선 허용해준다고 하더니 실제는 불가 방침인가 보네요..

공공기관 대상 세미나여서 MLS 정책 자체가 기관 자율 선택 및 사고 시 기관 책임, 감사기관은 사후평가라는 걸 강조하긴 했습니다. 

저희도 현재 3개 공공 산하기관에 내부망에서 코파일럿 또는 HCX를 제안 중에 있습니다. 

대부분 코파일럿에 더 관심을 두시긴 합니다. 

12월 중순 MS와 찾아가는 교육 세미나 후 국정원 보안성 검토까지 진행할 공공기관이 있어 

연락드릴 방법이 있다면 발표 자료 및 진행상황 공유드리도록 하겠습니다. 

수고하세요!


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

보안 정책에 맞게 적용을 해야 할것 같습니다.

업무망이 분리 되어 있더라도 위배 되는 경우가 있습니다.

정부 정책에 따라 움직여야 하는대 

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

어쩔수 없죠... 보장된 내용이라해봤자 AI서비스 제공회사가 안내하는 보안정책이 전부니... 공공기관이라면 ㅜ

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

답을 정하고 말씀하시는것 같긴 하지만, 일단 이야기를 드려보면

SaaS기반 서비스 대부분은 민감한 정보를 보내고 받는데 주의해야 할 필요가 있는건 맞습니다.


일반적인 경우에는 SaaS여도 남들도 쓰고 있고, 어느정도 신뢰를 가지고 있거나 계약관계가 명확해서 문제가 생겨도 커버가 되는 경우가 있는것이지만

생성형 AI쯤 되면 이야기가 달라질 수 있는 부분이 존재합니다. 그 어느곳에서도 명확하게 컨트롤되고 캐칭되지 않는 분야니까요. 지금도 학습 시키지 않는다 라는 조건을 붙이지만 과연 그게 진짜인지, '믿음으로 가는겁니다' 아니라고 한들 이미 늦었고 방법이 없으니까요.

그런 문제들 때문에 상황을 고려해서 온프레미스 LLM들을 고려하게 되는것이기도 하죠.


아마 사이트 내에서 PDF를 분할해주고 하는 웹서비스들에 대한 이야기 나왔을때, 제가 이야기 했었던게 그 서버에 데이터가 어떤식으로 보관되고 처리되며 확정적이지 못하니, 중요한 내부 정보등은 넣지 않으시는게 좋을거라 이야기 드렸던 기억이 납니다.

내가 판단할땐 괜찮을 수 있지만, 조직 및 외부에서 판단된 의견상 필요한 내용이 맞다면 따르는게 맞다고 생각되는 영역입니다.


개인적으로는 충분히 이해가는 영역입니다. 중요한 데이터가 AI라는 통로로 반출가능성이 있으며, 유해사이트등에 접속할 수 있는 백도어로 사용될 수 있다. 

이 문제에 대해 확실히 문제없다를 정리할 수 근거를 보여주실 수 있다면 해결되는 문제가 아닐까요.


물론 저렇게 이야기 하면서 Office는 365를 쓰고, OneDrive를 쓰고 있다던지... 같은 상황이라면 이해가 안가시는게 당연할 수는 있습니다.

Reply

게시글 작성자 | 약 2달 전

정성스러운 답변 정말 감사합니다 ㅎㅎ 


저도 GPT를 믿진 않아서, 통제가 필요하다는 입장인데요. 제가 조금 다르게 생각하는 부분은 민감정보 통제의 방안을 생각해야지, 파일 업로드 자체를 막는거는 방향성이 안좋지 않나하는 의견이었습니다.  실제로 정보 식별 및 통제도 불가능하진 않을거 같아서 타사의 좋은 경험이 있는지 이야기를 나눠보고 싶었습니다. 

Reply

| 약 2달 전

전산직군이시면 대충 아실텐데, 그걸 정확하게 구별할 수 있는 능력이 있다면 가능한데 그러지 못하니 그냥 제일 좋은 방법은 전체차단인것 아니겠습니까. ㅠㅠ

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

파일 업로드 시 잠재적 보안 위협이 될수도 있을것 같아요

악성코드 유입, 랜섬웨어 , 시스템 경로 추적등 여러 사항들을 고려한것 같아요


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

공공기관이라면 현재로선 제약적인 서비스를 이용할 수 밖에 없을 것 같습니다.

많은 기관들에서 유사한 프로젝트를 하는데, 전문가들의 의견도 그렇고 아직까지는 사용성에 있어서는 제한적인 서비스라고 생각됩니다.

특히 공공은 정보보안 및 개인정보보호 실태점검을 받기 때문에 그에 대한 대비를 안할 수 없습니다.

좋은 취지에서 도입한 챗gpt가 사실 실태점검을 받았더니 여러가지로 취약하더라? 보안 강화 측면에서 보완해야할 정책들이 많더라?? 이런것들로 인해 본연의 서비스를 이용하지 못한다더라??? 이러면

기관차원에서 도입한 목적성이 없어져 버리기 때문에 저 같은 경우는 아직까진 검토만 하고 실제 이용은 필요시 그냥 유료버전 가입하여 이용합니다. 직원들에게도 권하고 있구요... 

Reply

게시글 작성자 | 약 2달 전

정성스러운 답변 정말 감사합니다 ㅎㅎ 


사실 많은 레퍼런스가 나오고 나중에 AI에 대한 취약점 분석 가이드라인 같은 것들도 나온 뒤 하면 정말 말씀해주신 것처럼 편하련만, 상황이 조금 선도적으로 액션을 취해야하는 상황이라서요. 


혹시 비슷한 고민을 하다가 좋은 방법을 시도해보신 분들이 있을까 하여, 글을 올려봤습니다. 



Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

정보 유출 가능성이라는 명확한 사유가 나온 것 아닌가요?

보안이 중요한 곳에서 신뢰하는 곳을 빼고, 웹사이트나 서비스에 파일 업로드를 허용하는 곳이 있을까요? 몰라서 차단이 안된거 아니면 기본으로 업로드는 모두 차단일 듯 합니다.


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

1st 5stars

0 추천 | 약 2달 전

챗GPT에게 자료 분석을 요청하고, 제공한 자료를 기반으로 문서를 요약하게 한다거나 추가적인 결과를 산출하게 하려 한다면, 내부 자료들을 OpenAI 클라우드 서버로 보내야하겠죠.

자료 전송과정에서 철저하게 암호화시켜서 유출되지 않게해서 보내더라도, 정작 중요한 문제는 OpenAI를 어떻게 믿냐는 것이죠.

이익을 추구하는 별개 기업이 겉으로는 고객 정보를 절대 유출하지 않고, 정해진 목적을 달성한 후에 안전하게 제거하겠다거나, 고객 데이터를 그대로 분석하는 목적으로만 처리하고 저장하지 않게해서 다른 목적으로 사용하지 않겠다는 약속을 하더라도... 고양이에게 생선을 맡겨두는 꼴이 아닐까 싶네요.

분석에 이용된 자료가 학습이 되어 다른 누군가가 요청한 질문에 대한 답을 생성하면서 참조될 수도 있는 것이고요.

회사 내부 문서는 내부에서만 접근 권한이 있는 사용자만이 사용할 수 있도록 엄격히 관리되어야 보안의 구멍을 최대한 막을 수 있는 것인데... 외부로 빠져나가는 순간 내부 통제 범위를 벗어나게 되는 것이기 때문에 파일 첨부, 문서 전송 등을 외부로 빠져 나가지 못하게 엄격히 통제하는 것이 보안의 기본이고, 외부 유출을 허용하지 않는것이 당연한거라 생각되네요.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

그런 보안상 문제 때문에 결국 큰 기업들은 프라이빗AI 구축하려는것 같네요  

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 2달 전

첨부 파일 업로드로 인한 정보 유출 가능성 차단이 불합리한 내용은 아닙니다. 

파일 첨부로 인해 보통 정보 유출 가능성을 판단하여 매체 제어를 하니까요 


gpt가 사용자 답변을 요구하는 질문이나 문서 등을 수집하지 않는다고는 하지만 데이터베이스 상

어떤 형태로 남을지 모르니까 보안에 민감한 회사나 기관은 쉽지 않아 보입니다.

아니면, 국내 생성형 ai 기업으로 요구하는 조건을 협의해서 개발 진행해보는 것도 방법이 되지 않을까 싶어요!

Reply

게시글 작성자 | 약 2달 전

저도 그 부분은 동의합니다, 다만 명확한 정의 없이 그냥 민감해서 안되라고 하는 방식이 옳은지가 의문입니다. 


사실 모든 인터넷망의 업로드를 막을게 아니라면 어떤 형태로든 유출의 가능성은 존재하는 거잖아요. 오히려 중계플랫폼을 통해서만 질의응답 서비스를 이용하게하고, 모니터링, 감사로그 저장, 업로드 파일 필터링을 거치는게 사실상 더 안전하지 않으려나요

Reply

| 약 2달 전

파일 첨부로 인한 정보 유출이 명확한 정의라고 생각한다면 민감하게 반응하는 게 

맞을 수도 있습니다.!

모니터링,감사로그,필터링은 파일 첨부로 인한 정보 유출을 방지하기 위함이고

원천적으로 생각하면 방지보다는 차단이 더 안전하다고 생각하는거죠


말씀하신대로 업무를 하면서 모든 걸 차단할 수 없기 때문에 방지를 목적으로 모니터링도 하고 감사로그 수집, 파일 필터링을 하는건데 예를 들어, 첨부가 허용된 파일이긴 하지만 첨부의 범위를 벗어날 수 있는 부분 때문이지 않을까 싶어요, 앞서 말씀 드렸듯이 프라이빗한 서비스가 아닌 사용화된 gpt이므로 보안 상 확신이 없는거죠, 저 상용화된 gpt가 내가 첨부하는 데이터를 저장하지 않는다고 하는데 이게 진짜일까? 우리가 확인 가능한가? 이랬을 때 확인이 불가하죠 사실상

그렇기 때문에 상용화 된 생성형ai가 아닌 기업 전용으로 구축하는 프라이빗 생성형 ai를 

구축하는 쪽으로 진행하시는 게 조금 더 원할하지 않을까 싶습니다!


Reply

게시글 작성자 | 약 2달 전

정성스러운 답변 정말 감사합니다 ㅎㅎ 


저도 GPT를 믿진 않아서, 통제가 필요하다는 입장인데요. 제가 조금 다르게 생각하는 부분은 민감정보 통제의 방안을 생각해야지, 파일 업로드 자체를 막는거는 방향성이 안좋지 않나하는 의견이었습니다.  실제로 정보 식별 및 통제도 불가능하진 않을거 같아서 타사의 좋은 경험이 있는지 이야기를 나눠보고 싶었습니다. 


돈 많으면 사실 온프렘 프라이빗으로 구축하는게 제일 좋은데, 그정도의 예산투자는 또 안하면서 남들 다하는 건 써보고 싶고 생산성도 끌어올리고 싶은 회사라서요.. ㅎㅎ



Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

답변 달기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

IT 솔루션 또는 하드웨어 도입을 검토 중 이신가요?

쉐어드IT 솔루션 상담실에서 믿을 수 있는 제품과 업체를 추천 받으실 수 있습니다.

솔루션 상담실 IT 컨시어지 서비스

AI 카테고리의 다른 질문들...

  • 6달 전
  • 댓글 : 6달 전
  • 7달 전
  • 댓글 : 7달 전
  • 9달 전
  • 댓글 : 9달 전
  • 9달 전
  • 댓글 : 9달 전
  • 10달 전
  • 댓글 : 10달 전