AWS Audit Manager, 생성형 AI 모범 사례 프레임워크 Amazon SageMaker 확장하기

때때로 저는 기술 책임자들로부터 그들의 생성형 인공 지능 애플리케이션에 대한 가시성과 거버넌스를 개선하고 싶다는 이야기를 듣습니다. 보안, 복원력, 개인 정보 보호 및 정확성과 관련된 문제를 해결하거나 책임감 있는 AI의 모범 사례에 대해 검증하기 위해 데이터의 사용 및 생성을 어떻게 모니터링하고 관리하시나요? 구현 단계에서 이러한 사항을 단순히 고려하는 것 외에도 소프트웨어 수명 주기 전반에 걸쳐 장기적인 관찰성을 유지하고 규정 준수 검사를 수행하는 방법은 무엇일까요?

오늘, AWS Audit Manager에서 생성형 AI 모범 사례 프레임워크에 대한 업데이트를 시작합니다. 이 프레임워크는 증거 수집을 간소화하고 모범 사례 요구 사항을 구현하도록 사전 구성된 110개의 표준 제어를 통해 생성형 AI 워크로드의 규정 준수 상태를 지속적으로 감사하고 모니터링할 수 있도록 합니다. 몇 가지 예로 모델 교육에 사용하기 전에 익명화되지 않았을 수 있는 잠재적인 개인 식별 정보(PII) 데이터에 대한 가시성 확보, 사용된 모든 데이터세트에 대한 액세스 권한을 얻기 위해 다중 인증(MFA)이 시행되는지 검증, 시스템 중단 전에 사용자 지정 모델의 백업 버전을 주기적으로 테스트하여 신뢰성 확인 등이 있습니다.

이러한 제어는 AWS Config 및 AWS Security Hub에서 규정 준수 검사를 가져오고, AWS CloudTrail에서 사용자 활동 로그를 수집하고, 관련 AWS 서비스에 대한 애플리케이션 프로그래밍 인터페이스(API) 직접 호출을 통해 구성 데이터를 캡처하여 태스크를 수행합니다. 이러한 수준의 유연성이 필요한 경우 사용자 지정 제어를 직접 생성할 수도 있습니다.

이전에는 v1에 포함된 표준 제어가 Amazon Bedrock과 함께 작동하도록 사전 구성되어 있었지만, 이제 이 새 버전에서는 Amazon SageMaker도 데이터 소스로 포함되므로 Amazon Bedrock과 Amazon SageMaker 모두에서 더 적은 노력으로 생성형 AI 워크로드를 더 엄격하게 제어하고 가시성을 확보할 수 있습니다.

생성형 AI 워크로드에 대한 모범 사례 시행
‘AWS 생성형 AI 모범 사례 프레임워크 v2’에 포함된 표준 제어는 정확성, 공정, 개인 정보 보호, 복원력, 책임, 안전, 보안 및 지속 가능 영역으로 구성됩니다.

제어는 자동 또는 수동 검사를 수행하거나 이 두 가지를 혼합하여 수행할 수 있습니다. 예를 들어, 시간 경과에 따라 모델의 정확도를 주기적으로 검토하는 제어가 있습니다. 이 제어는 Amazon Bedrock 및 SageMaker API를 직접적으로 호출하여 관련 모델 목록을 자동으로 검색하지만, 각 모델에 대해 검토가 수행되었음을 보여주는 수동 증거를 특정 시간에 업로드해야 합니다.

제어를 포함 또는 제외하거나 사전 정의된 제어를 사용자 지정하여 프레임워크를 사용자 지정할 수도 있습니다. 이는 여러 국가의 규정에 맞게 프레임워크를 조정하거나 시간 경과에 따라 변경되는 규정을 업데이트해야 할 때 매우 유용합니다. 제어를 처음부터 직접 생성할 수도 있지만, 시간을 절약할 수 있으므로 먼저 Audit Manager 제어 라이브러리에서 시작점으로 사용하기에 적합하거나 가까운 항목을 검색하는 것이 좋습니다.

시작하려면 먼저 평가를 생성해야 합니다. 이 과정을 살펴보겠습니다.

1단계 – 평가 세부 정보
먼저 AWS Management Console에서 Audit Manager로 이동하고 ‘평가’를 선택합니다. ‘평가 생성’을 선택하면 설정 프로세스로 이동합니다.

평가에 이름을 지정합니다. 원하는 경우 설명을 추가할 수도 있습니다.

다음으로 Audit Manager가 생성하는 평가 보고서를 저장할 Amazon Simple Storage Service(S3) 버킷을 선택합니다. 평가와 동일한 AWS 리전에 있는 버킷을 선택할 필요는 없지만 평가에서 최대 22,000개의 증거 항목을 수집할 수 있으므로 권장됩니다. 반면 크로스 리전 버킷을 사용하면 할당량이 3,500개 항목으로 크게 줄어듭니다.

다음으로 사용할 프레임워크를 선택해야 합니다. 프레임워크는 모든 제어를 평가에 사용할 수 있도록 활성화하는 템플릿으로 효과적으로 작동합니다.

여기서는 ‘AWS 생성형 AI 모범 사례 프레임워크 v2’ 프레임워크를 사용하고자 합니다. 검색 상자를 사용하고 표시되는 일치하는 결과를 클릭하여 필터를 활성화합니다.

그러면 프레임워크의 카드가 나타납니다. 원하는 경우 프레임워크의 제목을 선택하여 프레임워크에 대해 자세히 알아보고 포함된 모든 제어를 찾아볼 수 있습니다.

카드의 라디오 버튼을 선택하여 프레임워크를 선택합니다.

이제 평가에 태그를 지정할 수 있습니다. 다른 리소스와 마찬가지로 이 리소스에도 의미 있는 메타데이터로 태그를 지정하는 것이 좋으므로 지침이 필요한 경우 AWS 리소스 태그 지정 모범 사례를 검토하세요.

2단계 – 범위 내 AWS 계정 지정
이 화면은 아주 간단합니다. 평가 시 제어를 통해 지속적으로 평가하려는 AWS 계정을 선택하기만 하면 됩니다. 기본적으로 현재 사용 중인 AWS 계정이 표시됩니다. Audit Manager는 여러 계정에 대한 평가를 실행하고 보고서를 하나의 AWS 계정으로 통합하는 기능을 지원하지만, 해당 기능을 사용하려면 먼저 명시적으로 AWS Organizations와의 통합을 활성화해야 합니다.

나열된 내 계정을 선택하고 ‘다음’을 선택합니다.

3단계 – 감사 소유자 지정
이제 이 평가를 사용하고 관리할 수 있는 전체 권한이 있어야 하는 IAM 사용자를 선택하기만 하면 됩니다. 말처럼 간단합니다. 사용 가능한 Identity and Access Management(IAM) 사용자 또는 역할 목록에서 선택하거나 상자를 사용하여 검색합니다. AWSAuditManagerAdministratorAccess 정책을 사용하는 것이 좋습니다.

여기서 제가 하는 일이 본인이더라도 적어도 하나는 선택해야 합니다.

4단계 – 검토 후 생성
이제 남은 일은 선택 사항을 검토하고 ‘평가 생성’을 클릭하여 프로세스를 완료하는 것뿐입니다.

평가가 생성되면 Audit Manager가 선택된 AWS 계정에서 증거 수집을 시작하고 사용자는 보고서를 생성하고 요약 화면에 규정 미준수 리소스를 표시하기 시작합니다. 첫 번째 평가가 표시되려면 최대 24시간이 걸릴 수 있다는 점을 염두에 두세요.

결론
‘AWS 생성형 AI 모범 사례 프레임워크 v2’는 현재 Amazon Bedrock과 Amazon SageMaker를 사용할 수 있는 모든 AWS 리전의 AWS Audit Manager 프레임워크 라이브러리에서 사용할 수 있습니다.

리전별 AWS 서비스를 방문하여 원하는 리전에서 Audit Manager를 사용할 수 있는지 확인할 수 있습니다.

더 자세히 알아보려면 시작 방법에 대한 단계별 안내서를 확인하세요.

– Matheus Guimaraes