[AWS SUMMIT 2025] 생성형 AI 보안 강화 전략의 첫번째, 심층 방어 아키텍처 설계

들어가며

생성형 AI 보안 강화 전략의 첫번째, 심층 방어 아키텍처 설계

🎙️신경식(AWS 솔루션즈 아키텍트)

🎙️이지영(AWS 솔루션즈 아키텍트)

🗂️ 세션 토픽: 보안 및 거버넌스

최근 다양한 산업에서 생성형 AI 도입이 확산되면서 모델 성능은 고도화되고 혁신 사례도 증가하고 있습니다. 그러나 기술 발전과 함께 보안 리스크 역시 커지고 있는 만큼, 이번 세션에서는 생성형 AI 환경에서 발생할 수 있는 보안 위협 요소를 짚어보고, 이에 체계적으로 대응할 수 있는 안전한 아키텍처 설계 방안을 함께 살펴보고자 합니다.

생성형 AI 애플리케이션 개발 패턴

생성형 AI 애플리케이션의 4가지 개발 패턴에 대해 먼저 살펴보고자 합니다.

• 프롬프트 엔지니어링 : 상용 또는 오픈 소스 파운데이션 모델을 활용하여 최적화된 프롬프트를 설계하여 원하는 답변을 얻는 방식입니다. 비교적 구현이 쉽고 비용도 저렴하지만 프롬프트 인젝션과 같은 보안 위협에 주의를 기울여야 합니다.
• 검색 증강 생성(RAG) : 기업의 고유 데이터를 활용해서 더 정확하고 맞춤화된 응답을 제공하는 방식입니다. 다만, 민감한 데이터가 포함되므로 보안과 접근 통제가 매우 중요합니다.
• 미세 조정된 생성형 AI 모델 : 기업의 독점 데이터나 도메인 특화 데이터셋을 활용해서 모델을 추가 학습시켜서 모델 응답 성능을 높이는 방식입니다. 이 과정에서 훈련 데이터 보호와 모델 자체 보안이라는 새로운 과제가 생깁니다.
• 에이전트 기반 오케스트레이션 : 여러 작업을 자동으로 조율하고 실행하는 AI 에이전트를 활용하는 방식입니다. 복잡한 업무 프로세스를 자동화할 수 있지만 에이전트가 접근하는 시스템과 데이터에 대한 엄격한 보안 관리가 필요합니다.

개발 패턴마다 고유한 보안 위험이 있으므로, 상황에 맞는 보안 전략이 중요합니다.

생성형 AI 애플리케이션의 동작 흐름

생성형 AI 애플리케이션이 어떻게 동작하는지 데이터의 흐름을 따라가 보겠습니다.

1. 먼저 사용자가 질문이나 요청을 입력합니다.
2. 여기에 기업의 데이터베이스나 지식 저장소에서 관련 정보를 찾아 컨텍스트로 추가합니다.
3. 그다음 입력과 컨텍스트가 LLM으로 전달되고 응답을 만들어내게 됩니다.
4. 마지막으로 최종 응답이 사용자에게 전달됩니다.

이러한 생성형 AI 애플리케이션을 AWS에서는 Amazon Bedrock이라는 서비스를 통해 구현할 수 있습니다.

Amazon Bedrock 이란?

Amazon Bedrock은 생성형 AI의 안전하고 확장 가능한 구현을 위한 서비스입니다.

Amazon Bedrock의 장점을 몇 가지 살펴보겠습니다.

1. 간단한 코드 몇 줄로 파운데이션 모델을 바로 호출해서 사용할 수 있습니다.
2. 모델에 대한 선택의 폭이 매우 넓습니다.
   • 모델 프로바이더의 50개 이상의 파운데이션 모델을 선택해서 사용할 수 있습니다.
   • 또한 조직의 데이터를 사용해서 파운데이션 모델을 커스터마이징할 수도 있습니다.
3. Bedrock은 단순히 모델만 제공하는 것이 아니라 책임감 있는 AI 구현과 AI 모범 사례 실현을 지원합니다.

생성형 AI의 특성

생성형 AI는 기존의 방식과는 차별화된 혁신을 가져오고 있으며, 이에 따라 보안 관점에서도 새로운 접근이 요구됩니다. 이러한 차이를 이해하려면, 생성형 AI가 지닌 독특한 특성을 알아야 합니다.

1. 비결정적 특성 : 동일한 입력을 넣더라도 매번 다른 출력이 나올 수 있다는 것을 의미합니다. 기존 애플리케이션과는 다르게 입력에 따른 출력을 정확히 예측하고 통제하기 어렵습니다.
2. 생성형 AI 모델 내부에 코드 없음 : 모델 내부에 일반적인 프로그래밍 코드가 존재하지 않기 때문에 전통적인 코드 분석 방식으로는 보안 취약점을 찾아내기 어렵습니다.

이러한 특성으로 인해 생성형 AI에 특화된 새로운 보안 통제가 더욱 중요해지고 있습니다.

생성형 AI 애플리케이션의 계층별 방어 체계

생성형 AI 보안은 여러 층의 방어 체계가 필요한 복잡한 과제입니다. 계층별로 어떻게 서로 보완하면서 전체적인 보완성을 강화하는지 살펴보겠습니다.

• 규제 준수 : 개인정보보호법, EU AI Act, GDPR과 같은 법적 요구 사항들이 존재합니다.
• 윤리 및 행동 강령 : 규제 준수 사항을 포함해서 윤리적인 고려 사항들이 중요한 역할을 합니다.
• 업계 표준 : ISO, 산업별 표준이 이미 검증된 방법을 제시해 주므로 보안 체계를 한층 더 강화할 수 있습니다.
• 보안 및 위험 관리 : NIST, OWASP 등을 통해 체계적이고 일관된 보안 관리를 할 수 있습니다.
• 위협 탐지 완화 가이드 : 생성형 AI에 특화된 보안 가이드를 따로 제공하여 AI 특유의 문제를 해결하는 데에 실질적인 도움을 줍니다. 

이러한 접근을 통해서 기본적인 규제 준수부터 AI 특화 보안까지 포괄하는 견고한 보안 체계를 만들 수 있습니다.

NIST 프레임워크 기반 생성형 AI 보안 관리

NIST 프레임웍은 5개의 핵심 기능을 통해 보안 관리 방향을 제시합니다.

1. 식별 : 생성형 AI 시스템에서는 모델, 학습 데이터 프롬프트, 사용자 데이터 등을 핵심 자산을 식별합니다.
2. 보호 : Amazon Bedrock Guardrail을 활용하여 입출력을 제어하거나 접근 제어와 암호화를 적용하는 등 다양한 보안 대책을 구현할 수 있습니다.
3. 탐지 : 생성형 AI는 비정상적인 출력 패턴이나 프롬프트 인젝션 시도와 같은 특수한 위협들을 탐지할 수 있는 모니터링 시스템이 필요합니다.
4. 대응 : 생성형 AI 시스템에서는 문제가 빠르게 확산될 수 있기 때문에 신속한 대안이 필요합니다. 예를 들어, 유해 콘텐츠 생성이 감지되면 즉시 해당 모델의 사용을 중지한다거나 데이터 유출이 의심될 때는 관련 세션을 즉각 차단하는 등의 대응 체계를 마련해야 합니다.
5. 복구 : 다른 모델로의 전환, 대체 처리 경로에 대한 활성화 등의 서비스 연속성을 보장할 수 있는 방안이 준비되어 있어야 합니다.

이렇게 NIST 프레임워크의 다섯 단계를 통해서 보안 정책을 만들거나 실제 운영 절차를 수립할 때 좋은 기준이 될 수 있습니다.

Amazon Bedrock LLM 교차 리전 추론 흐름

Amazon Bedrock을 통한 LLM 추론 흐름은 크게 고객 계정과 AWS 계정 2개 영역으로 나뉘게 됩니다. 

• 고객 VPC에서 시작된 요청은 NAT Gateway 또는 AWS PrivateLink를 거쳐서 Bedrock API 엔드포인트에 도달하고, 이후 Amazon Bedrock 데이터 플레인 계정으로 전달됩니다.
• 이후 필요한 모델과 적절한 컴퓨팅 리소스를 식별해서 요청을 처리하게 되는데 만약 사용자가 요청한 모델에 용량 제한이 걸린 경우 자동으로 AWS의 글로벌 백본 네트워크를 통해서 다른 리전으로 라우팅됩니다. 이것을 “교차 리전 추론”이라고 합니다. 
  (단, 교차 리전이 지원되는 모델을 선택한 경우에만 가능)
• 다른 리전의 Bedrock 엔드포인트를 통해 모델이 위치하는 컴퓨터 엔드포인트로 요청이 전달되고, 처리된 응답은 AWS의 글로벌 백본 네트워크를 통해서 원래 리전으로 안전하게 전송됩니다.(리전 간 전송되는 모든 데이터는 암호화 처리가 되기 때문에 기밀성이 보장됩니다.)

Amazon Bedrock Guardrails 란?

Amazon Bedrock Guardrails는 생성형 AI 애플리케이션에 책임감 있는 AI 구현을 쉽게 적용할 수 있는 도구입니다. 개인 정보가 포함된 질문이나 유해 콘텐츠 등을 차단할 수 있습니다.

Amazon Bedrock Guardrails 동작 방식

Amazon Bedrock Guardrails의 동작 원리에 대해 살펴보겠습니다.

1. 사용자의 프롬프트 입력
   • 이때 사용자의 입력은 Amazon Bedrock Guardrails로 전달됩니다.
   • 민감한 주제에 대한 필터링, 개인 정보 마스킹 등의 동작을 거친 후 검사를 통과한 프롬프트만이 파운데이션 모델로 전달됩니다.
2. 모델 (FM) 추론
3. 모델 (FM)이 생성한 응답을 Amazon Bedrock Guardrails로 전달
   • 컨텍스트 근거 검사 등을 통해서 모델이 생성한 응답이 실제 참조 문서에 근거하는지 확인함으로써 환각 현상을 방지할 수 있습니다.
4. 모든 검사를 통과한 응답은 최종적으로 사용자에게 전달

이처럼 Amazon Bedrock Guardrails를 통해 단어 필터, 민감 정보 필터와 같은 결정적인 통제와 거부한 주제 콘텐츠 필터, 컨텍스트 근거 검사와 같은 확률적인 통제를 조합해서 안전한 생성형 AI 시스템을 구축할 수 있습니다.

Amazon Bedrock LLM 추론 네트워킹

1. 퍼블릭 서브넷 + IGW를 통한 접근

2. 프라이빗 + NAT Gateway를 통한 접근

3. 프라이빗 서브넷 + Interface endpoint

위의 슬라이드에서는 고객 VPC 내 인스턴스가 Amazon Bedrock API 엔드포인트를 호출하는 세 가지 방법을 소개하고 있습니다.

1. 퍼블릭 서브넷 + IGW
2. 프라이빗 서브넷 + NAT Gateway
3. 프라이빗 서브넷 + Interface endpoint

1번과 2번 구성은 결국 외부 인터넷을 통해 Bedrock 서비스에 접근하게 되므로, 금융권과 같이 인터넷 접근이 제한된 환경에서는 적합하지 않을 수 있습니다. 이러한 경우, 3번 방식처럼 AWS PrivateLink를 활용하여 Interface Endpoint를 구성하면 인터넷을 거치지 않고 내부망을 통해 Bedrock API를 호출할 수 있어 보안성이 크게 향상됩니다.

네트워크 다층 방어 구성

생성형 AI 애플리케이션을 중심으로 안전한 방어 아키텍처를 구축하기 위해서 네트워크 보안과 데이터 경계 보안이라는 두 가지 측면에서 아키텍처를 살펴보겠습니다.

먼저, 네트워크 보안을 강화하기 위한 AWS 기반의 다층 방어 아키텍처 구성을 살펴봅니다.

• 퍼블릭/프라이빗 서브넷 분리 구성
  외부 접근 필요 여부에 따라 NAT Gateway, ALB, 애플리케이션 등을 적절히 배치합니다.
• 인터페이스 엔드포인트 및 접근 제어
  Amazon Bedrock 호출을 위해 프라이빗 서브넷에 인터페이스 엔드포인트를 생성하고, 엔드포인트 정책으로 특정 주체만 API를 호출하도록 제한합니다.
• 다층 보안 구성
  DNS Firewall로 API 도메인을 검증하고, Network Firewall과 AWS WAF로 인/아웃바운드 트래픽 및 웹 공격을 사전 차단하여 전체 경로에 다층 방어를 적용합니다.

이와 같은 구성을 통해 엔드 유저에서 애플리케이션 서비스까지 들어오고 나갈 때까지 여러 단계의 방어 전략을 적용할 수 있습니다.

통합 계정 보안

다음은 데이터 경계 보안을 구성하는 데 활용할 수 있는 AWS 서비스를 살펴보겠습니다.

• AWS IAM 및 IAM Identity Center

인증 및 인가를 구성하여 사용자의 데이터 접근이나 모델 접근에 대한 권한을 관리할 수 있습니다.

• IAM Access Analyzer

인증과 인가 권한이 최소 권한 정책을 가지고 운영되고 있는지 주기적으로 접근 권한을 검토합니다. 

• Amazon Verified Permissions 및 AWS Verified Access

권한을 세분화해 관리하고, 사용자 요청을 지속적으로 검증함으로써 제로 트러스트 보안 환경을 구현할 수 있습니다.

사고 대응 준비 및 전략

1. 사고 대응 준비

먼저, 사고 대응 체계 구축을 위한 준비 사항으로 세 가지 측면에 대해 살펴보겠습니다.

• 사람 : 보안 운영 인력의 생성형 AI 이해도를 높이기 위해 AI 관련 교육을 제공해야합니다.
• 프로세스 : 보안 사고에 대응하고 새로 도입된 Amazon Bedrock, Amazon SageMaker 서비스 등에 대한 절차적 대응 방식을 마련해야합니다.
• 기술 : 생성형 AI는 비결정적 요소를 포함하고 있기 때문에, 컴포트 및 출력 내용을 분석할 수 있도록 파운데이션 모델 호출 내역을 로깅하는 기능을 활성화해야합니다.

2. 사고 대응 전략

네트워크를 안전하게 구축하더라도 운영 시에 발생할 수 있는 사고 대응 전략이 필요합니다.

위의 슬라이드에서는 사고 대응 전략으로 7가지의 주요 요소를 제공합니다.

핵심 보안 전략 요약

또한, 핵심 보안 전략 요약을 참고하여 AWS 애플리케이션 네트워크 전반에 종합적인 보안 체계를 다시 한번 확인할 수 있습니다.

마무리하며

생성형 AI는 기업에 새로운 가능성과 큰 혁신을 가져다주고 있지만, 기존 시스템과는 다른 보안 관점이 필요합니다. 특히 예측 불가능한 출력이나 코드가 존재하지 않는 모델 구조 등 생성형 AI 고유의 특성으로 인해 전통적인 보안 방식만으로는 한계가 있으며, 이에 맞는 체계적인 대응이 요구됩니다.
Amazon Bedrock과 Guardrails는 이러한 보안 요구에 대응할 수 있는 강력한 도구를 제공하며, AWS의 다양한 서비스와 연계하여 안전하고 신뢰할 수 있는 생산형 AI 애플리케이션을 구축할 수 있습니다.

글 │ │메가존클라우드, Cloud Technology Unit(CTU), AWS Delivery SA 1 Team, 서승아  SA