AI 규정 및 표준은 지역 및 산업 전반에 걸쳐 부상하고 있으며, 조직이 신뢰할 수 있는 AI를 개발하고 사용하기 위해 제어를 평가, 구현 및 테스트할 수 있는 강력한 프레임워크를 제공합니다. 이 문서는 위험 및 규정 준수 팀이 규정 준수 노력을 준비하는 데 도움이 됩니다. 다음 방법을 설명합니다.
- 규정 준수 상태를 평가하고 강화합니다.
- AI 앱 및 데이터의 사용을 제어하는 컨트롤을 구현합니다.
이 문서는 시리즈의 네 번째 문서입니다. AI 보안 준비, AI앱 및 데이터 검색 및 AI 앱 및 데이터보호에서 아직 작업을 수행하지 않은 경우 다음 문서부터 시작하여 이 문서에 규정된 기능을 사용하여 환경을 준비합니다.
이 문서를 다음 리소스와 함께 사용합니다.
- 제로 트러스트 채택 프레임워크 비즈니스 시나리오 - 제로 트러스트를 사용하여 규정 및 규정 준수 요구 사항 충족
- AI를 위한 CAF(클라우드 채택 프레임워크) - AI를 제어하는 프로세스
AI 앱 및 데이터를 관리하기 위한 새로운 고려 사항은 무엇인가요?
AI가 위험 환경을 변경하는 새로운 공격 노출 영역을 도입하는 것처럼, AI는 규정 준수에 영향을 주는 데이터를 처리하고 사용하는 새로운 방법도 소개합니다. AI의 이러한 새로운 특성은 개인 정보 보호 규정과 같은 기존 규정과 AI 사용을 대상으로 하는 새로운 규정에 모두 영향을 줍니다.
다음 그림에서는 북미의 AIDA(인공 지능 및 데이터 법), EU AI 법, 호주의 AI 행동 계획 및 ISO에서 생성된 글로벌 표준을 비롯한 새로운 AI 규정을 강조합니다.
대체로 규정 준수를 위한 AI를 관리하는 데는 다음이 포함됩니다.
- AI 상호 작용 로깅 및 유지
- 잠재적 비준수 사용 감지
- 필요한 경우 AI 상호 작용에 대한 eDiscovery와 같은 도구를 사용합니다.
이를 통해 조직은 규정 준수 요구 사항을 충족하고 잠재적 소송에 효과적으로 대응할 수 있습니다.
AI를 빌드하는 조직의 경우 위험 및 규정 준수 팀은 개발 팀이 모델 이름, 버전, AI 시스템의 목적, 품질, 안전 및 보안 위험을 해결하기 위한 평가 메트릭과 같은 프로젝트 세부 정보를 문서화할 수 있도록 해야 합니다. 이러한 노력은 위험 및 규정 준수 팀이 감사를 준비하고 규제 요청에 응답하기 위한 표준화된 정보 형식을 갖도록 도울 수 있습니다.
또 다른 모범 사례는 많은 회사가 이미 GDPR과 같은 규정에 대해 구현한 제어인 개인 정보 보호 영향 평가를 사용하여 AI 앱이 개인 정보를 보호하기 위해 모든 평가 및 제어를 갖도록 하는 것입니다. Microsoft는 개발자가 개인 정보를 최우선으로 사용할 수 있도록 AI 개발 수명 주기에 쉽게 통합할 수 있는 Priva 개인 정보 평가와 같은 기능을 제공합니다.
마지막으로, 책임 있는 AI 애플리케이션을 구축하고 새로운 규정 요구 사항을 준수하기 위해 조직은 폭력, 증오, 성적 및 자해 콘텐츠와 같은 유해한 콘텐츠를 감지하고 차단하는 가드레일을 만들어야 합니다. 또한 AI 앱에서 신뢰할 수 있는 콘텐츠를 생성하려고 합니다. 가드레일은 잘못된 정보를 감지하고 수정하여 비경관 출력에 따라 잘못된 결정의 위험을 줄이는 데 도움이 됩니다. 또한 저작권을 위반하는 콘텐츠를 식별해야 합니다. 이러한 가드레일은 조직이 책임 있고 신뢰할 수 있는 AI 애플리케이션을 빌드하는 데 도움이 될 수 있습니다.
AI 앱 및 데이터를 관리하기 위한 기능
Microsoft에는 조직이 규정 표준과 기술 솔루션 간에 점을 연결하는 데 도움이 되는 기능이 포함되어 있습니다.
다음 단계에서는 그림을 설명하고 이러한 기능을 구현하는 단계를 안내합니다.
| 단계 | 과업 | 범위 |
|---|---|---|
| 1 | Microsoft Purview 규정 준수 관리자에서 평가 빌드 및 관리 | 엔터프라이즈 수준 |
| 2 | Defender for Cloud Apps를 사용하여 규정 준수 위험에 따라 AI 앱 관리 | SaaS AI 앱 |
| 3 | AI 워크로드에 CSPM(Cloud Security Posture Management)을 사용하여 규정 준수 위험에 따라 사용자 지정 빌드 앱을 검색하고 관리합니다. | 사용자 지정 빌드 Azure AI 기반 AI 애플리케이션 |
| 4 | 조직에서 잠재적으로 부적절한 메시지를 감지, 캡처 및 조치를 취하여 통신 위험을 최소화하도록 Purview 커뮤니케이션 규정 준수 구성 | Microsoft 365 앱 및 서비스 Microsoft Entra 또는 Microsoft Purview 데이터 맵 커넥터로 연결된 AI 앱 Azure AI 서비스 |
| 5 | 유지해야 하는 콘텐츠를 유지하고, 유지하지 않는 콘텐츠를 삭제하도록 Purview 데이터 수명 주기 관리를 구성합니다. | AI 앱의 보존 정책에는 Microsoft 365 Copilot 및 Copilot Studio에 대한 사용자 프롬프트 및 응답이 포함되며, 콘텐츠를 캡처하는 설정이 포함된 컬렉션 정책이 있는 경우 다른 Microsoft 부조종사 및 생성 AI 앱에 대한 사용자 프롬프트 및 응답도 포함됩니다. 그런 다음 준수 이유로 이러한 메시지를 보존하고 삭제할 수 있습니다. 다른 클라우드 공급자에서 개발한 AI 앱을 통합하려면 Purview SDK를 사용합니다. |
| 6 | 필요에 따라 조사를 위해 Microsoft 365 Copilot에 대한 감사 로그와 함께 eDiscovery 사용 | 감사 로그는 사용자가 Copilot 또는 AI 애플리케이션과 상호 작용할 때 자동으로 생성됩니다. 다른 클라우드 공급자에서 개발한 AI 앱을 통합하려면 Purview SDK를 사용합니다. |
| 7 | Priva 개인 정보 평가를 사용하여 빌드한 AI 앱에 대한 개인 정보 영향 평가 시작 | 모든 앱, 모든 위치 |
| 8 (여덟) | AI Foundry의 AI 보고서를 사용하여 개발하는 앱에 대한 AI 프로젝트 세부 정보 문서화 | Azure의 AI 앱 |
| 9 | Azure AI Content Safety를 구현하여 유해한 콘텐츠를 차단하고, 비그라운드 응답을 감지하고 수정 | Azure의 AI 앱 |
1단계 - Microsoft Purview 준수 관리자에서 평가 빌드 및 관리
Microsoft Purview 준수 관리자는 다중 클라우드 환경에서 규정 준수를 자동으로 평가하고 관리하는 데 도움이 되는 솔루션입니다. 준수 관리자는 데이터 보호 위험 상세 조사부터 제어 구현의 복잡성 관리, 규정 및 인증의 최신 정보 유지, 보고 및 감사까지, 여러분의 규정 준수를 향한 여정을 도와드릴 수 있습니다.
현재 준수 관리자에는 다음 AI 관련 규정에 대한 규정 템플릿이 포함되어 있습니다.
- EU 인공 지능법
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI RMF(위험 관리 프레임워크) 1.0
다음 리소스를 사용하여 준수 관리자를 시작합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| 알아보기 및 시작 | Microsoft Purview 컴플라이언스 관리자 Microsoft Purview 준수 관리자를 시작하기 Microsoft Purview 준수 관리자에서 평가 빌드 및 관리 |
| 규정 준수 관리자에 규정 템플릿이 포함되어 있는지 확인 | 규정 목록 |
| 사용자 지정 평가 빌드 | Microsoft Purview 준수 관리자에서 사용자 지정 평가(미리 보기) 빌드 |
2단계 - Cloud Apps용 Defender 사용
Defender for Cloud Apps를 사용하여 규정 준수 위험에 따라 AI 앱을 관리합니다. 이 시리즈의 이전 문서에서는 Defender for Cloud Apps를 사용하여 AI 앱 사용을 검색, 관리 및 보호하는 방법을 설명합니다. 규정 준수는 이러한 앱의 위험을 심사하고 평가하기 위한 추가 기준을 도입합니다.
Purview 준수 관리자에서 특정 규정에 대한 평가를 하나 이상 빌드한 후 Cloud Apps용 Defender 팀과 협력하여 규정 준수 의무를 AI 앱의 위험 평가, 이러한 앱의 승인 또는 차단, 세션 정책을 적용하여 이러한 앱에 액세스하는 방법(예: 준수 디바이스만 사용)을 제어하는 기준에 통합합니다.
Cloud Apps용 Defender를 시작하고 사용하려면 이 시리즈의 이전 문서를 참조하세요.
| 과업 | 권장되는 리소스 |
|---|---|
| Microsoft Defender for Cloud Apps를 사용하여 AI 앱 검색, 제재 및 차단 | AI 앱 및 데이터 검색의 3단계 참조 |
| Defender for Cloud Apps를 사용하여 AI 앱 사용 심사 및 보호 | AI 앱 및 데이터 보호에서 AI에 대한 위협 방지를 최대한 활용하세요. |
3단계 - AI 워크로드에 CSPM(Cloud Security Posture Management) 사용
클라우드용 Microsoft Defender의 Defender CSPM(Cloud Security Posture Management) 계획을 사용하여 규정 준수 위험에 따라 사용자 지정 빌드 앱을 검색하고 관리합니다. Defender for Cloud Apps와 마찬가지로 규정 준수는 AI용 CSPM을 사용하여 사용자 지정 빌드 앱의 위험을 심사하고 평가하기 위한 추가 기준을 도입합니다.
Defender for Cloud 팀과 협력하여 규정 준수 의무를 사용자 지정 빌드 앱의 위험을 평가하고 관리하기 위한 기준에 통합합니다.
클라우드용 Defender를 시작하고 사용하려면 이 시리즈의 이전 문서를 참조하세요.
| 과업 | 권장되는 리소스 |
|---|---|
| 사용자 환경에서 배포된 AI 워크로드를 검색하고 클라우드용 Microsoft Defender를 사용하여 보안 인사이트를 얻습니다. | AI 앱 및 데이터 검색의 4단계 참조] |
| Defender for Cloud에서 AI 보호 적용 | AI 앱 및 데이터 보호에서 AI에 대한 위협 방지를 최대한 활용하기 위한 2단계를 참조하세요. |
4단계 - Purview 통신 규정 준수 구성
조직에서 잠재적으로 부적절한 메시지를 감지, 캡처 및 조치를 취하여 통신 위험을 최소화하도록 Purview 커뮤니케이션 규정 준수를 구성합니다. 생성 AI의 경우 통신 규정 준수 정책을 사용하여 생성 AI 애플리케이션에 입력된 상호 작용(프롬프트 및 응답)을 분석하여 부적절하거나 위험한 상호 작용 또는 기밀 정보 공유를 감지할 수 있습니다. 적용 범위는 Microsoft 365 코필로트, Microsoft Copilot Studio를 사용하여 빌드된 코필로트, Microsoft Entra 또는 Microsoft Purview 데이터 맵 커넥터로 연결된 AI 애플리케이션 등에 대해 지원됩니다.
시작하려면 다음 리소스를 사용합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| 알아보고 시작하세요. |
커뮤니케이션 규정 준수에 대해 알아보기 통신 규정 준수 계획 커뮤니케이션 규정 준수 시작 |
| 정책 구성 |
생성 AI 상호 작용을 검색하도록 통신 규정 준수 정책 구성 커뮤니케이션 규정 준수 정책 만들기 및 관리 |
5단계 - Purview 데이터 수명 주기 관리 구성
Microsoft Purview 데이터 수명 주기 Management는 보존해야 하는 콘텐츠를 보존하고 필요하지 않은 콘텐츠를 삭제할 수 있는 도구와 기능을 제공합니다. 더 이상 유지할 필요가 없는 콘텐츠를 사전에 삭제하면 AI 도구에서 데이터 과다 노출 위험을 줄일 수 있습니다. 주요 기능은 다음과 같습니다.
- 보존 정책 및 보존 레이블
- 사서함 보관 및 비활성 사서함 - 사용자 사서함에는 코필로트 프롬프트 및 응답이 포함된 숨겨진 폴더가 포함됩니다.
시작하려면 다음 리소스를 사용합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| 알아보기 및 시작 |
Microsoft Purview 데이터 수명 주기 관리에 대해 알아보기 데이터 수명 주기 관리 시작 |
| Copilot & AI 앱의 보존에 대해 알아보기 | AI 앱에서 보존이 작동하는 방식 알아보기 |
| 다른 클라우드 공급자에서 개발된 AI 앱의 경우 Purview SDK와 통합합니다. | Microsoft Purview SDK에 대해 알아보기 |
6단계 - Microsoft 365 Copilot에 대한 감사 로그와 함께 eDiscovery 사용
Microsoft Purview eDiscovery를 사용하여 부적절한 코필로트 프롬프트 및 응답에서 키워드를 검색합니다. eDiscovery 사례에 이 정보를 포함하여 진행 중인 법적 조사를 위해 이 데이터를 검토, 내보내기 또는 보류할 수도 있습니다.
Microsoft Purview 감사 로그를 사용하여 부조종사 상호 작용이 발생한 방법, 시기 및 위치 및 해당 항목의 민감도 레이블을 포함하여 액세스된 항목을 식별합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| 코필로트 사용량 현황 데이터가 저장되는 위치 및 감사 방법 알아보기 | Microsoft 365 Copilot 데이터 보호 및 감사 아키텍처 |
| eDiscovery 시작하기 | eDiscovery 솔루션에 대해 알아보기 |
| Purview 감사 로그에 대해 알아보기 | Microsoft Purview의 감사 솔루션에 대해 알아보기 |
| AI 앱에 대한 감사 로그에 대해 알아보기 | AI 앱에 대해 기록되는 관리자 및 사용자 활동 알아보기 |
| 다른 클라우드 공급자에서 개발된 AI 앱의 경우 Purview SDK와 통합합니다. | Microsoft Purview SDK에 대해 알아보기 |
7단계 - Priva 개인 정보 평가 사용
Priva 개인 정보 평가(미리 보기)를 사용하여 빌드한 AI 앱에 대한 개인 정보 영향 평가를 시작합니다. 이렇게 하면 AI 앱이 개인 정보를 존중하는 방식으로 빌드되도록 할 수 있습니다. 개인 정보 평가는 전체 데이터 자산에서 개인 데이터 사용의 검색, 설명서 및 평가를 자동화합니다.
다음 리소스를 사용하여 Priva 개인 정보 평가를 시작하고 개인 정보 보호 영향 평가를 시작합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| 알아보기 및 시작 |
개인 정보 평가에 대해 알아보기 개인 정보 평가 시작 |
| 평가 만들기 | 개인 정보 평가 만들기 및 관리 |
8단계 - AI Foundry에서 AI 보고서 사용
Azure AI Foundry의 AI 보고서는 개발자가 프로젝트 세부 정보를 문서화하는 데 도움이 될 수 있습니다. 개발자는 모델 카드, 모델 버전, 콘텐츠 안전 필터 구성 및 평가 메트릭과 같은 AI 프로젝트의 모든 세부 정보를 보여 주는 보고서를 만들 수 있습니다. 이 보고서는 PDF 또는 SPDX 형식으로 내보낼 수 있으므로 개발 팀이 GRC(거버넌스, 위험 및 규정 준수) 워크플로 내에서 프로덕션 준비 상태를 입증하고 프로덕션 환경에서 애플리케이션에 대한 보다 쉽고 지속적인 감사를 용이하게 할 수 있습니다.
시작하려면 다음 리소스를 사용합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| AI Foundry의 AI 보고서 읽기(블로그) | AI 보고서: 일관된 설명서를 사용하여 AI 거버넌스 및 GenAIOps 개선 |
| AI Foundry에 대해 알아보고 시작 | Azure AI Foundry란? |
9단계 - Azure AI 콘텐츠 안전 구현
Azure AI 콘텐츠 보안은 애플리케이션과 서비스에서 사용자가 생성한 유해한 콘텐츠와 AI가 생성한 콘텐츠를 검색하는 AI 서비스입니다. Azure AI 콘텐츠 보안에는 유해한 자료를 탐지할 수 있는 텍스트 및 이미지 API가 포함되어 있습니다. 대화형 콘텐츠 보안 스튜디오를 사용하면 다양한 형식에서 유해한 콘텐츠를 검색하기 위한 샘플 코드를 보고, 탐색하고, 시험해 볼 수 있습니다.
시작하려면 다음 리소스를 사용합니다.
| 과업 | 권장되는 리소스 |
|---|---|
| 알아보기 및 시작 | Azure AI 콘텐츠 안전이란? - Azure AI 서비스 | Microsoft Learn Azure AI Foundry 포털에서 콘텐츠 안전 사용 |
AI 보안을 위한 다음 단계
제로 트러스트 리소스를 사용하여 엔드 투 엔드 보안을 계속 진행합니다.
- 제로 트러스트 지침 센터
- 제로 트러스트 채택 프레임워크
- Microsoft 365를 사용한 제로 트러스트 배포 계획
- XDR 및 통합 SIEM 사용하여 인시던트 대응
- Azure 서비스에 제로 트러스트 원칙 적용