AI 보안 태세는 전체 보안 전략의 중요한 부분입니다. AI는 데이터 보호와 같은 사이버 보안 전략의 특정 요소에 우선 순위를 줍니다. 이 문서는 AI 보안을 위한 전략 및 우선 순위를 개발하는 데 도움이 됩니다. 이 컬렉션의 후속 문서는 AI 도우미, 도구 및 새 앱을 채택할 때 우선 순위를 지정할 사이버 보안의 특정 요소를 식별하는 데 도움이 됩니다.
보안 태세는 지속적인 사이버 보안 위협에 대처하기 위한 준비 및 운영 상태 수준과 함께 조직의 전반적인 사이버 보안 방어 기능으로 정의됩니다. 이 자세는 조직의 운영 상태 또는 복지와 관련된 다른 주요 메트릭과 마찬가지로 정량화 가능하고 측정 가능해야 합니다.
AI에 대한 강력한 보안 태세를 구축하려면 조직 내에서 작업하는 것, 특히 조직 전체의 리더가 전략과 우선 순위 및 목표 집합을 개발하는 작업이 포함됩니다. 그런 다음 목표를 달성하는 데 필요한 기술 작업을 식별하고 다양한 팀이 목표를 달성하도록 이끌 수 있습니다. 이 라이브러리의 문서에서는 AI와 관련된 지침이 포함된 방법론을 제공합니다.
- 기본 보안 보호를 사용하여 환경을 준비합니다. 이러한 보호 기능은 이미 많이 있습니다.
- 앱에서 사용하는 데이터 형식을 포함하여 조직에서 사용되는 AI 앱을 검색합니다.
- 조직에서 AI 도구의 사용을 보호합니다. 여기에는 AI 관련 데이터 보호 기능과 조직이 강력한 위협 방지를 구현했는지 확인하는 작업이 포함됩니다.
- 규정 준수를 위해 AI를 관리하다.
Microsoft Learn의 다음 프레임워크와 함께 이 라이브러리를 사용합니다.
이미지에서:
- 이 라이브러리(AI 라이브러리용 보안)를 사용하여 사용자 환경에서 AI 앱 및 데이터를 보호하는 기능을 구현하는 방법을 알아봅니다. 이러한 보호는 제로 트러스트 기반을 구축하는 데 도움이 됩니다.
- 제로 트러스트 채택 프레임워크를 사용하여 엔드 투 엔드 보안을 계속 진행합니다. 또한 각 제로 트러스트 비즈니스 시나리오는 AI 앱 및 데이터에 대한 보안을 강화합니다.
- AI용 클라우드 채택 프레임워크를 사용하여 생성 및 비 생성 AI를 포함하여 AI 채택을 위한 엔드투엔드 로드맵을 개발합니다. 이 라이브러리에는 AI 기술 선택 전략, AI 보안 및 관리 프로세스, AI 디자인 및 구현을 위한 리소스가 포함됩니다.
비즈니스 리더의 동기 이해
강력한 AI 보안 태세를 통해 혁신을 실현할 수 있습니다. 조직은 자신감과 민첩성으로 AI를 빌드하고 배포할 수 있습니다. 목표는 조직이 신뢰, 규정 준수 또는 운영 안정성을 저해할 수 있는 위험으로부터 보호하면서 AI 시스템을 자신 있게 빌드, 배포 및 확장할 수 있도록 하는 것입니다. AI 이니셔티브의 기초에 보안을 포함함으로써 조직은 AI의 모든 잠재력을 책임감 있게 잠금 해제하여 의도하지 않은 피해의 근원이 아닌 전략적 자산으로 남을 수 있습니다.
비즈니스 리더와 연계하여 전략 및 우선 순위 개발을 시작합니다. 리더에게 동기를 부여하는 것은 무엇이며, AI에 대한 보안 태세에 관심이 있는 이유는 무엇인가요? 다음 표에서는 예제 관점을 제공하지만 이러한 각 리더 및 팀과 만나 서로의 동기를 공유하는 것이 중요합니다.
| 역할 | AI에 대한 강력한 보안 태세를 구축하는 것이 중요한 이유 |
|---|---|
| 최고 경영자(CEO) | AI 시스템은 점점 더 전략적 의사 결정과 고객 상호 작용을 형성합니다. AI를 위반하거나 조작하면 잘못된 의사 결정, 규제 조사, 평판 손상 및 신뢰 손실이 발생할 수 있습니다. 강력한 AI 보안은 조직에서 회사의 평판을 보호하고, 법적 규정 준수를 보장하며, 성공적인 AI 변환을 보장하는 데 매우 중요합니다. |
| CMO(최고 마케팅 책임자) | AI 도구는 고객 인사이트, 대상 지정 및 개인 설정을 지원합니다. 손상된 경우 이러한 도구는 부적절한 콘텐츠 또는 타겟팅으로 인한 데이터 유출, 편향된 출력 또는 브랜드 손상으로 이어질 수 있습니다. AI 보안은 고객 참여에 대한 신뢰를 보장하고, 브랜드 무결성을 유지하고, PR 재해를 방지하며, 고객 개인 정보 보호에 대한 회사의 의지를 입증합니다. |
| CIO(최고 정보 책임자) | 보안 AI 환경은 시스템 안정성을 보장하고, 무단 액세스를 방지하며, 운영 복원력을 유지하는 데 필수적입니다. 이를 통해 CIO는 기업에 과도한 위험을 노출하지 않고 비즈니스를 향상시키는 AI 기술을 자신 있게 통합할 수 있습니다. |
| CISO(최고 정보 보안 책임자) | AI는 새로운 공격 표면과 새로운 위험을 도입하는 동시에 기존 위험을 증폭합니다. 새로운 공격 표면에는 프롬프트, 응답, 모델, RAG 데이터, MCP(모델 컨텍스트 프로토콜), 학습 데이터 및 데이터 중독, 탈옥 공격, 데이터 보안 등이 포함됩니다. CISO는 엔터프라이즈 보안 태세를 유지하기 위해 AI 파이프라인의 위협 모델링 및 보안에 대한 노력을 주도해야 합니다. 강력한 AI 보안은 조직의 자산을 보호하고, 보안 프레임워크를 준수하며, 지능형 시스템의 시대에 고객 및 이해 관계자의 신뢰를 유지하기 위한 전반적인 사이버 방어 전략의 확장입니다. |
| CTO(최고 기술 책임자) | 강력한 AI 보안 태세는 CTO가 조직의 기술 자산을 보호하고 AI 시스템이 의도한 대로 안정적으로 수행되도록 하는 데 중요합니다. CTO는 AI 개발 수명 주기에 보안을 포함함으로써 중요한 알고리즘의 위반을 방지하고 AI 기반 제품에 대한 높은 품질과 신뢰를 유지할 수 있도록 지원합니다. 이를 통해 과도한 위험 없이 혁신을 진행할 수 있습니다. |
| COO(최고 운영 책임자) | AI는 공급망, 물류 및 운영에서 중요한 프로세스를 자동화합니다. AI 시스템에 대한 공격은 서비스를 방해하고, 운영 위험을 증가시키며, 비용이 많이 드는 지연을 일으킬 수 있습니다. 강력한 AI 보안 태세는 비즈니스 연속성과 효율성을 보장합니다. |
| CFO(최고 재무 책임자) | CFO는 강력한 AI 보안 태세를 조직 보호에 필수적인 것으로 봅니다. 예기치 않은 재정적 손실을 방지하고 법률 및 보고 의무를 준수하는 데 도움이 됩니다. |
AI의 진화하는 위협 환경 해결
GenAI는 새로운 공격 표면을 도입하여 위험 환경을 효과적으로 변경합니다. 보안 및 위험 리더는 기존의 위협 벡터를 관리하는 것 외에도 데이터 유출 및 데이터 과잉 공유와 같은 증폭된 위험과 프롬프트 주입, 잘못된 정보, 모델 취약성 및 잘못된 정보와 같은 새로운 위험을 해결해야 합니다. 진화하는 위협 환경을 해결하는 것은 신뢰할 수 있는 AI를 사용하도록 설정하는 데 매우 중요합니다.
그림에서:
- GenAI 공격 표면은 새롭고 증폭된 위험을 초래합니다.
- 변경되지 않은 상태로 유지되는 위협 벡터에는 애플리케이션, ID, 엔드포인트, 네트워크, 데이터 및 클라우드 리소스가 포함됩니다.
- GenAI는 프롬프트, 응답, AI 오케스트레이션, 학습 데이터, RAG 데이터(Retrieval-Augmented 생성 데이터, 즉, 언어 모델과 데이터 또는 기타 외부 데이터의 상호 작용으로 인한 데이터), AI 모델 및 AI 플러그 인을 포함한 새로운 공격 노출 영역을 소개합니다.
- GenAI는 데이터 유출, 탈옥(보안이 되어 있는 경우에도 디바이스를 손상시키는 것), 간접 프롬프트 주입 및 모델 취약성을 포함한 증대된 새로운 위험을 초래합니다.
현재 AI에서 가장 일반적인 보안 인시던트에는 다음이 포함됩니다.
- 데이터 유출 및 과잉 공유 - 사용자가 중요한 데이터를 섀도 AI 앱(IT 팀에서 승인하지 않은 앱)으로 누수할 수 있습니다. 사용자는 AI 앱을 사용하여 중요한 데이터에 액세스할 수도 있습니다.
- 취약성 및 새로운 위협 - 악의적인 행위자가 AI 앱의 취약성을 악용하여 중요한 리소스에 액세스할 수 있습니다.
- 비준수- 새로운 AI 규정을 포함한 규정은 불확실성을 증가시킬 수 있습니다. 비준수 AI 채택은 책임을 증가시킬 수 있습니다.
다음 두 가지 예제 시나리오에서는 AI에 대한 강력한 보안 태세를 구축해야 하는 필요성을 강조합니다.
데이터의 과잉 공유 및 누출은 어떻게 발생하나요?
이 예제에서 Contoso 직원인 Adele은 여러 AI 앱에서 중요한 데이터를 찾아 사용합니다.
| 단계 | 설명 | 완화되지 않은 위험 |
|---|---|---|
| 1 | 아델은 팀 구성원이 프로젝트 Obsidian에 대해 말하는 것을 우연히 듣습니다. Microsoft 365 Copilot를 사용하여 자세한 정보를 찾습니다. 코필로트는 그녀에게 요약과 문서에 대한 링크를 제공합니다. | 부조종사에서는 제한 없이 중요한 데이터를 처리할 수 있습니다. 중요한 데이터는 액세스 권한이 없어야 하는 직원을 포함하여 직원에게 과도하게 노출됩니다. |
| 2 | 아델은 계속해서 코필로트를 사용하여 프로젝트 Obsidian에 대한 자세한 정보를 찾고 수집합니다. | AI 앱에서 변칙을 검색하는 컨트롤은 없습니다. |
| 3 | 호기심에서, 아델은 ChatGPT가 요약 할 것을보고 싶어, 그래서 그녀는 ChatGTP에 파일의 내용을 붙여 넣습니다. | 소비자 AI 앱에 대한 데이터 유출을 방지하기 위한 DLP(데이터 손실 방지)는 없습니다. |
| 4 | 프로젝트 세부 정보가 조기에 공개되어 데이터 위반이 발생했습니다. 따라서 Contoso는 작업 공간의 모든 AI 앱을 금지했습니다. | 소비자 AI를 완전히 금지하면 어두운 사용량이 증가할 수 있습니다. |
Contoso는 AI 앱 사용을 준비, 검색 및 보호하는 작업을 수행하여 이러한 위험을 완화할 수 있습니다.
| 단계 | 설명 |
|---|---|
| 준비 |
Entra 및 SharePoint Advanced Management를 사용하여 직원의 리소스 액세스 권한을 조정합니다. Purview Information Protection을 사용하여 중요한 데이터를 분류하고 레이블을 지정합니다. |
| 발견하세요 |
AI용 Purview DSPM을 사용하여 데이터 위험을 검색합니다. 초과 공유 평가 보고서를 사용하여 초과 공유 위험을 평가합니다. |
| 보호하다 |
Microsoft 365 Copilot용 Purview DLP를 적용하여 코필로트가 중요한 데이터를 요약하지 못하도록 합니다. Purview 참가자 위험 관리를 사용하여 변칙 활동을 감지하고 조사합니다. 적응형 보호를 사용하여 위험 수준이 높은 사용자의 액세스를 동적으로 제한합니다. Defender for Cloud Apps를 사용하여 위험 수준이 높은 앱을 차단합니다. Entra 조건부 액세스를 사용하여 ChatGPT에 대한 액세스 권한을 부여하기 전에 Adele이 사용 약관에 동의하도록 요구합니다. Purview 엔드포인트 DLP를 사용하여 소비자 AI 앱에 중요한 데이터 붙여넣기를 차단합니다. |
AI는 규정 준수에 대한 위험을 어떻게 도입할 수 있나요?
다음 예제에서는 Jane이 Contoso의 AI 거버넌스를 이끌도록 할당됩니다.
| 단계 | 설명 | 완화되지 않은 위험 |
|---|---|---|
| 1 | Jane은 IT 팀이 구현할 수 있도록 규제 요구 사항을 실행 가능한 제어로 해석하는 데 어려움을 겪습니다. | 규제 요구 사항과 기술 모두에 정통한 전문가의 부족. |
| 2 | Jane은 위험 평가 준비를 시작하지만 Contoso에서 빌드 및 사용되는 AI 시스템을 인식하지 못합니다. 또한 사용량 및 잠재적인 규정 준수 위험에 대한 가시성이 없습니다. | 환경에 배포된 AI 시스템에 대한 가시성이 없습니다. AI 사용에 대한 거버넌스가 없습니다. |
| 3 | 여러 내부 인터뷰를 통해 Jane은 개발자가 보안, 안전 및 개인 정보 보호 제어의 다양한 표준을 구현하는 약 14개의 AI 앱을 동시에 빌드하고 있음을 알게 됩니다. | 개발자가 AI 시스템에서 빌드한 컨트롤에 대한 가시성이 없습니다. |
| 4 | 일부 AI 앱은 표준 가드레일이 없는 개인 데이터를 사용하여 위험을 평가합니다. | 위험 평가가 없습니다. |
| 5 | 고객은 Contoso AI가 유해하고 비경지적인 콘텐츠를 만드는 것에 대해 불평하고 있습니다. | AI 출력에 대한 컨트롤이 부족합니다. |
AI 규정은 AI 거버넌스를 담당하는 리더에게 불확실성과 압도적인 책임 위험을 초래합니다. 변경하지 않으면 Contoso는 AI 규정 요구 사항을 위반할 위험이 있으며 잠재적으로 처벌 및 평판 손상에 직면할 수 있습니다.
Contoso는 AI 앱 사용을 준비, 검색 및 보호하는 작업을 수행하여 이러한 위험을 완화할 수 있습니다.
| 단계 | 설명 |
|---|---|
| 준비 | Purview 준수 관리자를 사용하여 규정 준수 요구 사항을 충족하는 데 도움이 되는 컨트롤 구현에 대한 지침을 가져옵니다. |
| 발견하세요 | Defender for Cloud를 사용하여 클라우드 환경에 배포된 AI 리소스를 검색합니다. Defender for Cloud Apps를 사용하여 사용 중인 SaaS AI 앱을 검색합니다. |
| 통치하다 |
Microsoft Purview 감사, 데이터 수명 주기 관리, 커뮤니케이션 규정 준수 및 eDiscovery를 사용하여 AI 사용을 관리합니다. 개발자 를 위해 Azure AI Foundry의 AI 보고서를 사용하여 AI 프로젝트 세부 정보를 문서화합니다. Priva 개인 정보 평가를 사용하여 각 AI 프로젝트에 대한 개인 정보 위험을 사전에 평가합니다. Azure AI Content Safety를 사용하여 유해하거나 비경지된 콘텐츠의 위험을 완화합니다. |
거버넌스 기능을 사전에 사용하면 조직은 AI를 채택하면서 위험을 평가하고 해결할 수 있습니다.
AI에 대한 효과적인 보안을 구현하기 위한 5단계
GenAI의 신속한 구현과 관련된 위험에 대한 인식이 증가함에 따라 많은 조직에서는 보안 조치를 강화하기 위해 상당한 리소스를 헌납하여 사전에 대응하고 있습니다. 보안 및 위험 리더는 몇 가지 실행 가능한 단계를 수행하여 안전하고 안전한 AI 혁신을 향한 길을 만들 수 있습니다.
이러한 권장 사례는 공동 작업 환경을 조성하고 조직의 이익을 보호하면서 GenAI의 발전을 지원하는 효과적인 보안 조치를 구현하는 데 초점을 맞춥니다.
1단계 - AI용 보안 팀 빌드
대부분의 회사에서는 AI가 제기하는 고유한 보안 문제를 관리하기 위해 전담 부서 간 팀을 구성해야 할 필요성을 인식하고 있습니다. 전용 보안 팀은 AI 시스템을 엄격하게 테스트하고, 취약성을 신속하게 식별하고 완화하며, 보안 프로토콜을 지속적으로 업데이트하여 진화하는 위협에 보조를 맞추도록 합니다.
설문 조사 응답자의 80%는 현재(45%) 또는 AI 보안 문제를 해결하기 위한 전담 팀(35%)을 가질 계획입니다. 10명 중 6명 이상이 보안 의사 결정자에게 보고하여 방심하지 않는 감독뿐만 아니라 AI 관련 위험을 해결하는 전략적 비전과 리더십을 보장할 것이라고 말했습니다.
특히 이러한 전용 보안 팀의 평균 팀 규모 또는 의도된 팀 규모는 24명의 직원으로, 기업이 AI 이니셔티브를 보호하기 위해 최선을 다하고 있는 상당한 리소스를 강조했습니다. 회사 규모가 고려되었을 때 팀 크기는 다양했습니다.
다음은 조직에서 AI를 위한 효과적인 기능 간 보안 팀을 성공적으로 빌드하는 데 사용할 수 있는 몇 가지 모범 사례입니다.
부서 간 협업을 촉진하기 위한 AI 위원회 구성
AI 보안은 IT 부서를 넘어서는 집단적인 노력입니다. 보안, IT, 법률, 규정 준수 및 위험 관리와 같은 팀 간의 협업을 장려하여 포괄적인 보안 전략을 수립합니다. 다양한 관점과 전문 지식을 보유하면 보안 프로토콜의 효율성이 향상됩니다.
다양한 기술 세트 고용
AI를 위한 성공적인 보안 팀을 구성하려면 기술의 균형이 필요합니다. 데이터 과학, 사이버 보안, 소프트웨어 엔지니어링 및 기계 학습에 대한 전문 지식을 갖춘 팀 구성원을 찾습니다. 이러한 다양성을 통해 기술 개발에서 위협 방지에 이르기까지 다양한 보안 측면을 다룰 수 있습니다.
명확한 역할 및 책임 설정
효과적인 생산성을 위해 각 팀 구성원의 역할을 명확하게 정의합니다. 모든 사람이 자신의 특정 책임을 이해하도록 하여 책임을 촉진하고 노력의 중복을 방지합니다.
지속적인 교육 및 개발에 투자
AI 기술의 급속한 발전은 보안 팀을 위한 지속적인 교육을 요구합니다. AI 보안과 관련된 관행, 새로운 위협 및 윤리적 고려 사항에 초점을 맞춘 교육 프로그램 및 워크샵에 대한 액세스를 제공합니다. 이 투자는 팀 구성원에게 권한을 부여할 뿐만 아니라 조직이 잠재적 취약성보다 앞서 나가도록 보장합니다.
2단계 - GenAI를 보호하기 위해 리소스 최적화
조직 내에서 AI 애플리케이션을 도입하는 것은 운영에 혁명을 일으킬 뿐만 아니라 특히 IT 보안에서 리소스 및 예산 할당을 크게 변경해야 합니다.
보안 및 위험 리더의 상당수(78%)는 AI가 초래하는 고유한 과제와 기회를 수용하기 위해 IT 보안 예산이 증가할 것이라고 믿습니다. 이러한 조정은 여러 가지 이유로 중요합니다. AI 시스템은 안전하게 작동하려면 강력한 보안 인프라가 필요합니다. 여기에는 기존 보안 시스템을 업그레이드하고, 보다 엄격한 액세스 제어를 구현하고, 데이터 보안 및 거버넌스를 강화하는 작업이 포함될 수 있습니다. 새로운 AI 규정 요구 사항을 충족하기 위해 다른 리소스가 필요할 수도 있습니다.
이 문서의 앞부분에서 Microsoft는 조직 전체의 비즈니스 리더 및 여러 사업부의 동기를 이해하기 위해 작업을 수행하는 것이 좋습니다. 주요 관심사 및 공유 비즈니스 목표를 식별하는 것은 목표를 달성하기 위해 리소스를 협상하는 중요한 단계입니다.
규정 준수 평가, 법률 자문 및 감사를 위한 자금을 할당하는 것은 조직의 AI 전략을 업계 프레임워크에 맞게 조정하고 보다 안전하고 안전하며 규정을 준수하는 AI 사용 및 시스템을 가능하게 하는 데 필수적입니다. AI용 보안 도구에 대한 전문 교육, 위험 관리 전략 및 AI 사용의 윤리적 고려 사항을 포함할 수 있는 지속적인 직원 교육 및 기술 개발을 위한 자금 우선 순위를 지정하는 것도 예산 및 리소스를 할당할 때 고려해야 합니다.
3단계 - 제로 트러스트 접근 방식 수행
AI 채택을 준비할 때 제로 트러스트 전략은 보안 및 위험 리더에게 데이터 과잉 공유 또는 과다 노출, 섀도 IT 등 주요 문제를 해결하는 데 도움이 되는 일련의 원칙을 제공합니다. 제로 트러스트 접근 방식은 네트워크 중심 중심에서 자산 및 데이터 중심 포커스로 이동하고 모든 액세스 요청을 원본에 관계없이 잠재적인 위협으로 처리합니다.
제로 트러스트는 모든 사용자 및 디바이스의 ID에 대한 유효성을 지속적으로 검사하여 명확한 권한이 있는 사용자만 중요한 정보에 도달할 수 있도록 합니다. 제로 트러스트는 실시간 평가에 따라 보안 조치를 동적으로 조정하여 데이터 유출 위험을 최소화하고 내부 및 외부 위협으로부터 조직을 보호합니다. 지속적인 확인, 최소 권한 액세스 및 동적 위험 관리는 조직의 엔드 투 엔드 보안의 성공을 지원하는 강력하고 적응 가능한 보안 프레임워크를 제공하는 이 방법의 초석입니다.
제로 트러스트를 수용하면 조직은 AI 배포를 보호하고 보안이 지속적으로 검증되고 보호된다는 것을 알 수 있습니다. 제로 트러스트는 조직이 AI를 자신 있게 수용하여 AI의 강력한 기능을 안전하고 효과적으로 활용할 수 있도록 합니다.
Microsoft에서 제공하는 AI에 대한 모든 보안 지침은 제로 트러스트 원칙에 고정됩니다. GenAI에 권장되는 보안 지침에 따라 강력한 제로 트러스트 기반을 구축하고 있습니다.
4단계 - 신뢰할 수 있는 파트너와 공동 책임에 투자
전략 및 우선 순위를 알리는 데 자주 사용되는 리소스는 공유 책임 모델입니다. 조직에서 AI 사용을 보호하는 책임은 사용되는 앱 유형을 기반으로 합니다. 귀하가 투자하는 파트너는 귀하와 공유 책임을 지고 있습니다.
공유 책임 모델은 보안 팀이 조직에서 다음을 선택하도록 안내하는 데 도움이 됩니다.
- 조직에 대한 책임을 줄이는 GenAI 앱입니다.
- 신뢰를 얻은 파트너.
이 다이어그램에는 사용자와 Microsoft 모두에 대한 책임의 균형이 요약되어 있습니다. 많은 조직에서 공유 책임 모델을 사용하여 신뢰할 수 있는 공급자와 협력하여 SaaS 앱의 사용 우선 순위를 지정하고 사용자 지정 빌드 앱 수를 줄입니다.
자세한 내용은 AI 공유 책임 모델인 Microsoft Azure를 참조하세요.
신뢰를 얻은 파트너와의 투자 외에도 많은 보안 전문가는 보안 도구와 공급업체를 통합하는 것이 좋습니다. Microsoft는 함께 작동하는 도구를 사용하여 AI를 위한 포괄적인 보안 솔루션을 제공하여 보안 팀의 통합 작업량을 크게 줄입니다.
5단계 - AI를 위한 포괄적인 보안 솔루션 채택
AI는 기존의 보안 조치가 완전히 해결하지 못할 수 있는 특정 위험을 도입합니다. AI 보안은 이러한 위험을 완화하도록 설계되었습니다.
대부분의 회사에서는 AI 애플리케이션의 사용 및 개발을 모두 보호하기 위해 특수 도구와 플랫폼을 조달할 계획입니다. 조직에서 AI 애플리케이션의 사용 및 개발을 보호하고 보호하는 방법을 묻는 질문에 대부분의 설문 조사 응답자(72%)는 AI 사용 및 개발을 보호하기 위해 새로운 전용 보안 솔루션을 조달할 계획이라고 답했으며, 64명의% 기존 보안 솔루션을 사용하여 AI를 보호할 계획이라고 밝혔습니다.
IT 및 보안 리더는 AI의 보호 및 거버넌스를 위한 새로운 솔루션에 대한 주요 예산 기여자는 IT 부서(63개%) 및 정보 보안/사이버 보안 부서(57개%)가 될 것이라고 믿습니다. 이러한 연구 결과에 따르면 조직은 기존 보안 솔루션을 계속 사용하는 것 외에도 AI의 증폭되고 새로운 위험을 해결하는 데 도움이 될 수 있는 새로운 솔루션을 찾아야 한다는 것을 알 수 있습니다.
Microsoft는 Microsoft의 엔드 투 엔드 보안 플랫폼 외에도 AI 도구 및 데이터 검색부터 AI 위협을 완화하기 위해 특별히 설계된 보호에 이르기까지 AI를 보호하는 포괄적인 보안 도구를 제공합니다. 이러한 도구에는 정교한 대시보드 및 규정 준수 리소스가 포함되어 있어 위험 및 규정 의무를 계속 유지할 수 있습니다.
다음 이미지는 Microsoft가 AI 채택을 보호하기 위해 제공하는 모든 기능에 대한 요약 보기입니다. 이러한 기능은 아래 표에도 나와 있습니다.
| 주요 고객 관심사 | 역량 |
|---|---|
| 데이터 유출 및 초과 공유 방지 | - 액세스 및 엔드포인트 컨트롤 - Microsoft Entra 및 Intune - AI용 데이터 보안 상태 관리 - Microsoft Purview - 데이터 분류, 레이블 지정 및 보호 — Microsoft Purview - 데이터 손실 방지 - Microsoft Purview - 변칙 및 위험한 활동 검색 및 응답 - Microsoft Purview - SaaS 앱 보안 - Microsoft Defender |
| 취약성 및 새로운 위협으로부터 AI 보호 | - 데이터 보안 및 거버넌스 - Microsoft Purview - 품질, 안전 및 보안 제어 평가 - Azure AI Foundry - AI 자산(앱, 모델, 오케스트레이터, SDK)에 대한 보안 상태 관리 - Microsoft Defender - 모델 거버넌스 정책 - Azure Portal - 콘텐츠 안전 프롬프트 보호 - Azure AI - AI 워크로드에 대한 위협 방지 - Microsoft Defender |
| 규정 요구 사항을 준수하도록 AI 관리 | - AI 규정 및 표준에 대한 규정 준수 평가 - Microsoft Purview - AI 검색 및 카탈로그 - Microsoft Defender - 프롬프트 및 응답 감사, 수명 주기 관리, eDiscovery, 통신 규정 준수 — Microsoft Purview - 개발자가 프로젝트 세부 정보 및 컨트롤을 기록하기 위한 AI 보고서 - Azure AI Foundry - 개인 정보 영향 평가 - Microsoft Priva - 유해한 콘텐츠, 잘못된 정보 및 보호된 자료에 대한 완화 - Azure AI 콘텐츠 안전 |
AI 보안을 위한 다음 단계
이 라이브러리는 단계적 접근 방식에서 AI에 대한 보안을 구현하는 프로세스를 안내합니다.
이 문서 시리즈의 지침에 따라 AI 보안에 대해 자세히 알아보고 조직의 목표를 달성하기 위한 기능을 식별하고 구현합니다.
전반적인 보안 상태 및 제로 트러스트를 최적화하는 방법에 대한 자세한 내용은 보안 태세를 신속하게 현대화하는 방법을 참조하세요.
AI 도우미에 대한 권장 보안 보호를 시작하려면 제로 트러스트 보안을 사용하여 Microsoft Copilots를 비롯한 AI 도우미를 준비하는 방법을 참조하세요.