Github Copilot Compliance
Github Copilot 도입에 따른 다양한 요소에 대한 검토가 필요합니다.
저작권 및 라이선스 문제
•
Copilot은 공개적으로 이용 가능한 코드를 학습하여 제안을 생성합니다.
•
이로 인해 생성된 코드가 기존의 저작권이나 라이선스 요건을 위반할 수 있는 위험이 있습니다.
•
사용자는 Copilot이 제안한 코드가 자신의 라이선스 요건과 일치하는지 확인합니다.
Open source license litigation
Github Copliot 저작권 침해 논란 (1)
Quake 3(GPL)의 Fast Inverse Square Root 구현 코드를 그대로 생성해 저작권 문제에서 자유로울 수 없음을 보여줍니다.
[출처 : https://drewdevault.com/2022/06/23/Copilot-GPL-washing.html]
Github Copliot 저작권 침해 논란 (2)
GitHub Copilot과 관련된 저작권 위반 사례 중 하나는 Joseph Saveri Law Firm LLP와 오픈 소스 프로그래머 겸 변호사인 Matthew Butterick이 2022년 11월 3일 미국 캘리포니아 북부 지방법원에 제기한 집단 소송입니다. 이 소송은 GitHub Copilot, 그의 모회사인 Microsoft, 그리고 AI 기술 파트너인 OpenAI를 대상으로 하며, 오픈 소스 라이선스 위반을 주장합니다. 이 소송에 따르면, Copilot은 공개적으로 접근 가능한 오픈 소스 라이선스 코드를 기반으로 훈련된 AI 기반 시스템이며, GitHub는 Copilot이 프로그래머에게 제공하는 코드가 단순한 복사본이 아니라고 주장하지만, 실제로는 훈련 데이터에서 거의 동일하게 재생산된 코드라고 합니다.
개인정보 보호
•
Copilot은 공개 소스에서 학습된 데이터를 바탕으로 작동합니다.
•
개인정보 또는 민감한 데이터가 포함된 코드를 제안할 위험이 있습니다.
•
사용자는 Copilot이 생성한 코드에 개인정보가 포함되지 않도록 주의를 기울여야 합니다.
보안
•
AI가 생성한 코드는 보안 취약점을 포함할 수 있음
•
사용자는 보안 모범 사례를 준수하는지 확인하기 위해 생성된 코드를 신중하게 검토
•
정기적인 코드 리뷰와 취약점 검사를 통해 보안을 강화해야 함
코드 품질
•
Copilot으로 생성한 코드는 반드시 최고의 솔루션이나 최적화된 코드가 아닐 수 있습니다.
•
코드 품질과 성능을 검토하고 필요에 따라 개선하는 것이 중요합니다.
규정 준수 및 감사 준비성
•
조직의 내부 규정 준수 요건에 따라 Copilot의 사용을 관리해야 합니다.
•
감사 트레일을 포함하여 언제 어떤 코드가 사용되었는지 추적할 수 있어야 합니다.
데이터 관리 및 책임
•
Copilot 사용으로 생성되는 데이터와 관련하여, 데이터 관리 정책과 책임을 명확히 해야 합니다.
•
이는 데이터 저장, 액세스, 백업 및 복구 정책을 포함합니다.
법적 고려사항
•
지역별 법률과 규정에 따라 Copilot의 사용에 제약이 있을 수 있으므로, 관련 법률을 검토하고 준수해야 합니다.
국정원 - ChatGTP 등 생성형 AI 활용 보안 가이드라인(2023.6)
•
안전한 생성형 인공지능 기술 사용 가이드라인 개요
◦
ChatGPT 와 같은 대규모 언어모델 등 생성형 AI 기술(이하 ‘ AI 모델’)의 안전한 사용을 위한 기본 지침을 제공하여 각급기관의 정보화·정보보안 담당자들이 보다 효율적이고 안전하게 서비스를 이용하도록 하는데 그 목적이 주입니다.
주제 | 내용 |
1. 서비스 사용 주의사항 | 1.1. 서비스 접근
1.2. 계정 관리법 |
2. 서비스와의 대화 시 주의사항 | 2.1. 답변 검증 (정확성 및 유해성)
2.2. 개인정보 및 민감 정보 처리
2.3. AI 모델이 생성한 데이터 관리
2.4. 책임감 있는 사용
2.5. 업무에서 올바르게 AI 모델 활용하기 (이용목적 및 협업) |
3. AI 모델 플러그인 사용 주의사항 | 3.1. 올바른 서비스 플러그인 사용 및 관리
3.2. 개인정보 및 민감 정보 처리 |
4. AI 모델 확장 프로그램 사용 주의사항 | 4.1. 올바른 서비스 확장 프로그램 사용 및 관리
4.2. 개인정보 및 민감 정보 처리 |
5. AI 모델 생성기반 공격 대처 방안 | 5.1. AI 모델 생성기반 공격 정의
5.2. AI 모델 생성기반 공격 대처 |
1. 서비스 사용 주의사항
1.1. 서비스 접근
서비스 접근은 AI 모델 사용의 첫 단계로 중요한 보안 요소로 안전한 사용을 위해 다음 사항을 준수해야 합니다.
상세 내용
1.2. 계정 관리법
서비스를 사용하기 위해서는 계정 보안을 강화하는 것이 중요하며 계정 보안을 위해 다음과 같은 보호 조치를 취해야 합니다.
상세 내용
2. 서비스와의 대화 시 주의사항
2.1. 답변 검증 (정확성 및 유해성)
인공지능 기반 예측형 서비스는 항상 정확한 정보를 제공한다고 보장할 수 없으므로 중요한 결정이나 작업을 수행하기 전에 다른 출처를 참조하거나 검색 등 다른 방법을 활용하여 정보의 정확성을 확인 및 점검하는 것이 필요합니다.
상세 내용
2.2. 개인정보 및 각급기관 내 민감 정보 처리
서비스와 대화 시 주민등록번호, 신용카드 정보, 비밀번호 등의 개인정보뿐만 아니라 소속기관의 내부 민감 정보를 입력하지 않도록 주의해야 합니다.
상세 내용
2.3. 서비스가 생성한 데이터 관리
서비스 제공자의 데이터 취급 정책을 준수해야 하며 데이터 보관 기간이 지난 후에는 서비스 제공자가 제공하는 방법을 통해 데이터를 삭제해야 합니다.
상세 내용
2.4. 책임감 있는 서비스 사용
서비스는 많은 유용한 기능을 제공하지만, 사용자는 책임감 있는 방식으로 서비스를 사용해야 합니다.
상세 내용
2.5. 업무에서의 올바른 서비스 활용 (이용목적 및 협업)
서비스를 사용할 때 개인적인 용도 및 업무 용도를 구분해야 하며, 업무용으로 사용 시 소속 기관의 보안 정책을 준수해야 하며, 개인정보 및 기관 내부 정보활용을 금지하여야 합니다.
상세 내용
3. 서비스 플러그인 사용 주의사항
3.1. 올바른 서비스 플러그인 사용 및 관리
서비스 플러그인을 사용할 때는 반드시 정식 배포 이후에 사용해야 하며, 플러그인 제공 업체의 신뢰성을 확인해야 하고, 악성 플러그인 또는 취약 프로그램과 연결된 플러그인 사용을 주의해야 합니다.
상세 내용
3.2. 개인정보 및 민감 정보 처리
플러그인을 통해 서비스가 외부 데이터에 접근할 수 있으므로 플러그인이 접근하는 데이터를 보호하며, 플러그인이 데이터를 어떻게 처리하는지 이해하고 개인정보 보호를 위한 적절한 조치를 취해야 합니다.
상세 내용
4. 서비스 확장 프로그램 사용 주의사항
4.1. 올바른 서비스 확장 프로그램 사용 및 관리
서비스 확장 프로그램을 사용할 때는 반드시 제작자를 확인하고, 공식 출처에서 다운로드 받아야 하며, 이때 요구되는 권한을 주의 깊게 검토해 불필요한 권한을 요구하는 확장 프로그램은 개인정보 유출이나 데이터 손상의 위험이 있으므로 사용을 피해야 합니다.
또한, 다른 사용자들의 확장 프로그램 사용 후기와 평가를 참고하여 플러그인의 안전성과 효과를 확인할 필요가 있습니다.
상세 내용
4.2. 개인정보 및 민감 정보 처리
확장 프로그램은 사용자의 데이터에 접근할 수 있으므로 데이터 보호 측면에서 확장 프로그램을 사용할 때 개인정보나 민감 정보를 공유하지 않아야 하며, 확장 프로그램이 데이터를 어떻게 처리하는지 이해하고, 개인정보 보호를 위한 적절한 조치를 취해야 합니다.
상세 내용
5. AI 모델 생성기반 공격 대처 방안
5.1. AI 모델 생성기반 공격 정의
AI 모델은 생성기반 공격에 사용될 수 있고 생성기반 공격은 인공지능 모델이 생성한 텍스트를 이용하여 악의적인 목적을 달성하는 공격으로 이러한 공격은 편견, 혼란 및 불신 조장, 피싱 및 사기를 통한 개인정보 및 기밀정보 탈취, 사람들의 신념을 조작 하거나 특정 의견을 전파하는 사회적 공학 공격 등 다양한 목적으로 수행되어 정부, 기업 및 개인에게 심각한 영향을 미칠 수 있습니다.
5.2. AI 모델 생성기반 공격 대처
사용자들은 AI 모델 생성기반 공격에 대해 비판적으로 접근하고, 편견이나 허위 정보를 퍼뜨리는 목적으로 사용되는 콘텐츠를 구별할 수 있어야 하며, 다양한 도구를 사용하고 보안 전문가와 인공지능 개발자들이 함께 시스템을 구축하여 이러한 공격에 대응해야 합니다.
상세 내용