AI 거버넌스와 사이버 보안의 조화

최근 Sam Altman은 글로벌 AI 개발을 규제 대상으로 포착하기 위해 전 세계를 여행하고 있습니다. OpenAI가 오픈 소스 AI를 전혀 좋아하지 않는 것은 당연합니다. 그럼에도 불구하고 이 게시물은 AI 개발에 관한 것이 아니라 보안 및 표준화 문제에 관한 것입니다. 일반적으로 지능형 사이버 위협 환경과 방어자의 사이버 상황 인식 및 대응 역량(이하 '보안 자동화' 역량으로 통칭)은 모두 자동화와 AI 시스템이 압도적으로 주도하고 있습니다. 아이디어를 얻으려면 오늘 Gmail을 확인하고 응답하는 것과 같은 간단한 작업을 수행하고 이러한 간단한 활동을 보호하고 조율할 수 있는 AI 및 자동화 계층을 열거하세요.

따라서 눈에 띄는 규모와 복잡성을 지닌 모든 조직은 사이버 보안 정책에 영향을 미치기 위해 보안 자동화 시스템에 의존해야 합니다. 종종 간과되는 것은 이러한 보안 자동화 시스템의 구현을 가능하게 하는 일부 사이버 보안 " 메타 정책 "이 존재한다는 것입니다. 여기에는 자동화된 위협 데이터 교환 메커니즘, 기본 속성 규칙 및 지식 생산/관리 시스템이 포함될 수 있습니다. 이러한 모든 기능을 통해 마케팅 담당자와 변호사가 종종 "능동 방어" 또는 "선제 사이버 보안"이라고 부르는 탐지 및 대응 태세가 가능해집니다. 그러나 국가 사이버 보안 정책을 선택하면 이러한 메타 정책에 대한 내용을 찾기가 어려울 것입니다. 왜냐하면 메타 정책은 종종 암시적이며 영향과 모방(예: 네트워크 효과)에 의해 국가적으로 구현되기 때문입니다. 공식적 또는 전략적 심의.

이러한 보안 자동화 메타 정책은 AI 거버넌스 및 보안에 중요합니다. 왜냐하면 결국 이러한 모든 AI 시스템은 완전히 디지털이든 사이버 물리적이든 관계없이 더 넓은 사이버 보안 및 전략적 매트릭스 내에 존재하기 때문입니다. 우리는 널리 퍼진 자동화 메타 정책을 개조하는 것이 AI의 미래에 도움이 될지 여부를 물어볼 필요가 있습니다.

경로 의존성 방지

자동화된 정보 시스템의 경로 의존성 경향을 고려할 때 지금까지 잘 작동했던 것은 지능형/연결된 차량 생태계와 같은 보안 자동화의 새로운 보조 영역으로 더욱 확고히 자리잡고 있습니다. 또한, 바퀴 달린 소프트웨어의 보안 개발은 승무원 수 감소와 치사율 증가를 보장하는 완전히 디지털화된 탱크 부터 자동화된 차량 보안 관리 표준에 이르기까지 다양한 복잡한 자동차 시스템 전반에 걸쳐 쉽게 채택되고 있습니다. 드론 운송 시스템. 결과적으로, 사이버 보안 SOC 라인에서 작동하고 유사한 데이터 교환 메커니즘을 사용하여 동일한 보안 자동화 및 정보 배포 구현을 차용하는 차량 SOC(보안 운영 센터)가 증가하고 있습니다. 기존 수단이 새로운 위협 환경에 맞춰 맹목적으로 개조할 수 있을 만큼 충분하다면 그것은 완벽할 것입니다. 그러나 그들은 그것과는 거리가 멀다.

예를 들어, 대부분의 사이버 보안 위협 데이터 교환은 신호등 프로토콜 (TLP) 을 사용하지만 TLP 자체는 단지 정보 분류일 뿐입니다. 실행 및 배포를 의도한 대로 제한하는 암호화 체제는 보안 자동화 설계자에게 맡겨집니다. 시스템. 따라서 완전히 또는 부분적으로 자동화된 시스템과의 데이터 공유에 대해 보다 세밀하고 풍부한 제어가 필요할 뿐만 아니라 이를 준수하도록 보장해야 합니다. TLP와 같은 위협 커뮤니케이션 정책의 대부분은 사이버 보안 공급업체가 구현을 고려할 수도 있고 구현하지 않을 수도 있다는 의견을 표현한다는 점에서 악명 높은 탈린 매뉴얼과 유사합니다. 위협 데이터 표준이 자동화된 탐지 및 대응(자동차 및 산업 자동화의 경우처럼)을 포괄할 것으로 예상되고 준수 요구 사항이 부족하여 적절한 데이터 보안 및 교환 정책을 통합했을 수도 있고 그렇지 않을 수도 있을 때 문제가 더 커집니다. 그래서.

수많은 다른 것 중에서 일관되지 않은 메타정책의 또 다른 예는 최근에 등장한 언어 생성 시스템과 대화형 AI 에이전트에서 찾을 수 있습니다. 문제는 모든 대화 에이전트가 ChatGPT와 같은 대규모 신경망이 아니라는 것입니다. 이들 중 대부분은 규칙 기반, 작업별 언어 생성 프로그램으로 수십 년 동안 배포되었습니다. 대화 모델링과 그러한 프로그램 간의 컨텍스트에 대한 그래프 기반 표현(여러 영역/극장에서 운영되는 조직이 요구할 수 있음)을 통해 "공통 운영 그림"을 갖는 것은 전 세계가 "주의가 필요한 전부"라는 사실을 우연히 발견하기 전에 지속적인 과제였습니다. 이제 기본적으로 우리는 인간-기계 인터페이스의 거대한 레거시 IT 인프라와 이에 도전하는 다중 모드 AI 자동화 패러다임을 보유하고 있습니다. '디지털 혁신'을 진행 중인 조직은 레거시 기술 부채 상속을 피해야 할 뿐만 아니라 AI 중심 제공 모델을 효율적으로 운영하기 위한 리소스 및 조직 요구 사항 도 고려해야 합니다. 당연히 일부 조직(정부 포함)은 완전한 변화를 즉시 원하지 않을 수도 있습니다. 표준화된 데이터와 신흥 자동화 시스템과 기존 자동화 시스템 간의 컨텍스트 교환이 부족하여 많은 사용자는 가장 혁신적인 패러다임이 아닌 가장 친숙한 패러다임을 계속 사용할 가능성이 높습니다.

실제로 오늘날 사이버 보안의 대부분은 시기적절한 데이터 교환과 자동화된 조정에 달려 있습니다. 따라서 이러한 기본 정보 표준은 현대(산업화 이후) 사회와 사이버 물리 시스템의 거버넌스에 절대적으로 중요해졌습니다. 그러나 초연결 및 초국가적 위협 환경에서 AI 보안을 관리하는 데 필요한 지식 생산 메타정책을 공식화하거나 조화시키는 대신, 우리는 실존적 구원과 끝없는 기괴한 계곡이라는 파멸의 함정에 빠지고 있는 것 같습니다. 즉, 보안 데이터 생성 시 규정 준수가 부족하고 혼란스러운 표준 개발 시나리오가 발생하는 주요 이유 중 하나는 기본 거버넌스 에이전트가 없기 때문입니다.

(사이버) 보안정보의 거버넌스

현재의 자동화 중심 사이버 위협 정보 공유 표준은 일반적으로 다중 이해관계자 거버넌스 모델을 따릅니다. 이는 근본적으로 상향식 수명 주기 접근 방식을 따른다는 것을 의미합니다. 즉, 사이버 보안 정보 표준이 개발된 다음 ITU 및 ISO와의 교차 표준화를 위해 "상향"으로 추진됩니다. 기술 표준의 상향 이동은 쉽지 않습니다. 현재 기계 판독 가능한 CTI(사이버 위협 정보) 전송을 위한 사실상의 업계 표준인 STIX(구조적 위협 정보 표현)는 여전히 ITU의 승인을 기다리고 있습니다. 꼭 필요한 것은 아닙니다. 기술 분야의 글로벌 거버넌스가 구조화되는 방식은 국가가 아닌 산업이 주도하기 때문입니다. G7은 이를 공식화할 정도로 진행했으며 일부 회원국은 다른 규범을 향한 외교적 노력을 차단하기도 했습니다 .

이는 민관 기술 파트너십 내에서 필요한 구조적, 생산적 역량을 갖춘 국가에 적합합니다. 결과적으로, 사이버 기술 표준의 글로벌 거버넌스는 글로벌 질서를 반영하게 됩니다. 사이버 위협 행위자의 이름을 제외하면 이는 여전히 본질적으로 상대적으로 객관적이었습니다. 그러나 온라인 허위 정보가 공격적인 사이버 작전 및 국가 사이버 보안 정책에 통합되면서 더 이상 사실이 아닙니다. 기존의 정보 표준이 의미론적 충돌을 겪을 뿐만 아니라 정보 환경에 대한 새로운 가치 중심 표준도 등장하고 있습니다. 자동화 기반 사회/정치적 위협 지표의 생산 및 공유는 정치적 선호에 따라 형성되고 영향을 미칠 수 있으므로 AI 생성 정보 및 소셜 봇넷의 위협이 증가함에 따라 사이버 보안 위협 정보 표준도 충분히 객관적인 수준에서 보다 주관적인 수준으로 이동합니다. 자세. 그리고 사이버 보안 표준의 정치가 시장 주도의 다중 이해관계자 개발과 깊이 얽혀 있기 때문에 국가는 이 현재 시스템을 재구성하기 위해 거의 할 수 없습니다.

사이버 위협 속성이 좋은 사례입니다. MITRE는 DARPA 계약자로 시작되었으며 현재는 컴퓨터 네트워크 위협 및 취약점에 대한 업계 전반의 사실상 지식 기반 역할을 하고 있습니다. MITRE ATT&CK에 나열된 지능형 지속 위협 그룹 중 사이버 위협의 거의 1/3은 중국이고, 또 다른 1/3은 러시아/한국/중동/인도/남아메리카 등에서 왔으며 나머지 1/3( 가장 정교한 TTP, 제로데이 공격의 가장 큰 비율, 지정학적으로 정렬된 타겟팅을 포함하는)은 귀속되지 않은 상태로 유지됩니다. 여기서 추측하지는 않겠지만, 원인이 밝혀지지 않은 위협 클러스터 에 대한 귀추적인 추론은 독자들에게 글로벌 CTI 생산의 선호도와 정치에 대한 몇 가지 아이디어를 남길 수 있습니다.

삶의 사실은 사이버 공간에서 권력을 추구하는 국가가 다음과 같은 역할을 해왔다는 것입니다.

거버넌스 행위자와 교묘한 범죄자가 동시에 존재하므로 이 시장이 주도하는 다중 이해관계자주의는 상호 운용성의 글로벌 정치를 선포하는 운영 논리에 잘 작동했습니다. 그러나 이는 사이버 위협 지식의 생산과 보안 자동화 자체에는 좋지 않으며, 때로는 인터넷을 통해 상당히 편향되고 정치적인 동기를 부여받을 수 있습니다. 사회는 점점 더 자율화되는 시스템으로 둘러싸인 세상으로 나아가면서 그것을 문제로 생각조차 하지 않을 만큼 오랫동안 이 길을 걸어왔습니다.

앞으로 나아갈 길

소셜 AI 위험이 점점 더 커짐에 따라 오늘날 방어 가능한 사이버 보안 자동화 태세를 구현하려는 국가는 사이버 보안 위협 정보, 여러 CTI 벤더 및 메타 정책의 높은 신호 대 잡음비뿐만 아니라 업계 및 국제의 지속적인 압력을 헤쳐나가야 할 수도 있습니다. "AI 윤리" 및 "사이버 규범"에 관한 조직(여기서는 "누구의 윤리"에 대해 논의하지 않겠습니다). 우리가 언급했듯이 이러한 혼란은 상향식 접근 방식 설계의 결과입니다. 그러나 하향식 접근 방식에는 상향식 접근 방식의 유연성과 민첩성이 부족할 수 있습니다. 이러한 이유로 최선의 다자주의와 최선의 다자주의를 통합하는 것이 필요합니다.

이는 다자간 비전과 프레임워크 하에서 현재의 상향식 정보 표준 설정을 합리화하는 것을 의미합니다. 우리는 당파적 위협 데이터 생성을 피하고 싶지만 조정, 해결 및 조정이 필요한 다양한 업계 전문 지식 풀을 활용하고 싶습니다. ITU 및 UNDIR과 같은 일부 UN 기관은 글로벌 사이버 보안 메타 정책에서 중요한 역할을 하지만 인터넷을 통해 악의적인 소셜 AI를 관리하거나 위협 공유에 대한 메타 정책 제어를 구현하는 데 필요한 일종의 하향식 규제 효과가 없습니다. 분산 자율 플랫폼. 따라서 다자주의와 다자주의의 이러한 통합은 UNSC 자체 또는 기타 이에 상응하는 국제 안보 조직에서 시작되어야 합니다.

이것이 예상치 못한 것은 아닙니다. 1998년 정보 기술, 특히 인터넷을 평가하는 첫 번째 UN 결의안이 작성되었을 때 일부 국가에서는 이러한 기술이 결국 국제 안보 및 안정성과 상충될 수 있음을 명시적으로 지적했으며 최고 수준의 국제 안보에서 필요한 개혁이 필요함을 암시했습니다. 실제로 UNSC는 기관으로서 디지털 기술 및 포스트 인터넷 보안 현실과 잘 조화롭게 발전하지 못했습니다. 국가 연계 APT 활동의 무제한 확산은 불안정한 국가 활동을 규제하지 못한 사례 중 하나일 뿐입니다. 더욱이 위원회는 여전히 전략적 안보에 대한 1945년 비전에 갇혀 있는 것처럼 보이지만, 전략적으로 배치된 공격적인 사이버 및 AI 역량에 비추어 "국가 폭력"이라는 개념을 재배치할 충분한 이유 와 증거가 있습니다.

글로벌 질서의 회복력과 고착된 관료제를 극복하는 것이 쉽지는 않지만, 헌장과 구성이 개혁된다면 협의회(또는 그 대체체)는 조직의 부족으로 인해 발생하는 공백을 메울 수 있는 귀중한 기관의 역할을 할 수 있습니다. 사이버 공간에서 보안 자동화 및 AI 애플리케이션을 추진하는 보안 및 거버넌스 표준을 안내하는 주요 에이전트입니다.

그것은 과정이다

이 시점에서 우리는 몇 가지 오해를 지적할 필요가 있습니다. 규제 당국은 "AI 제품" 관리에 대해 몇 가지 아이디어를 갖고 있는 것으로 보이며, 적어도 EU의 AI 법도 같은 것을 제안하고 있습니다 . 여기에서 우리는 "AI" 또는 "자율적 행동"이 무엇인지 생각해 보기 위해 침묵의 시간을 가져야 합니다. 그리고 우리 대부분은 곧 현재의 제품 인증 방법이 AI에 기반을 둔 적응 시스템을 다루는 데 적합하지 않을 수 있다는 사실을 깨닫게 될 것입니다. 지속적인 학습과 현실 세계와의 데이터 교환. 우리가 말하려는 것은 규제 당국이 AI 규제에 대한 제품 중심 접근 방식과 프로세스 중심 접근 방식의 장단점을 진지하게 고려해야 한다는 것입니다.

AI는 결국 결과물이다. 결과 자체가 아니라 거버넌스 및 표준의 초점이 맞춰져야 하는 것은 데이터 엔지니어링 관행 및 모델 아키텍처부터 기계 간 정보 교환 및 최적화 메커니즘에 이르기까지 기본 프로세스 및 정책입니다. 또한 소프트웨어가 객체 지향에서 에이전트 지향 엔지니어링 패러다임으로 전환함에 따라 규제 기관은 코드 측면에서 정책에 대해 생각하고 정책 측면에서 코드를 생각해야 합니다. 다른 모든 것은 항상 의도와 구현 사이에 큰 격차를 남길 것입니다.

앞서 언급한 오늘날 다중 이해관계자 사이버 보안 거버넌스의 혼란이 해결된다면 AI 보안 및 거버넌스를 위해서는 증거 기반(최종 CTI로 이어진 데이터를 고려하고 새로운 유형의 기술 증거와 관련) 위협 데이터 오케스트레이션, 런타임 검증이 필요합니다. 사이버 방어 및 보안 시스템의 AI 기반 자동화, 사이버 위협 정보 거버넌스를 위한 명확한 초당적 채널 및 표준, 이에 대한 다자간 합의. 최종 AI 제품에만 집중하면 전 세계적으로 보안 자동화 시스템을 구동하는 정보 메타정책 생태계에서 볼 수 있듯이 해결되지 않고 잠재적으로 당파적일 수 있습니다. 따라서 우리는 이러한 시스템을 구동하는 기본 프로세스와 정책을 더 잘 관리하는 데 집중해야 합니다. 해당 프로세스와 정책의 결과.