티스토리 뷰
반응형
기업 내 RAG(Retrieval-Augmented Generation) 기반 LLM 애플리케이션(예: 챗봇, 검색 서비스)은 제로 트러스트(Zero Trust) 원칙 하에 철저한 보안 검토가 필요합니다. 본 글 시리즈는 인증, 인가, 데이터 보호, 애플리케이션 보안, 로깅 및 모니터링의 5대 도메인별로 위협 모델(STRIDE 기반), 보안 요구사항, OWASP LLM Top 10 대응, NIST SP 800-207 (Zero Trust) 및 NIST AI RMF 지침을 종합적으로 정리합니다. 또한 AWS 마이크로서비스 환경(특히 RAG 아키텍처)을 전제로 한 모범 사례와, 각 도메인별 보안 리뷰 체크리스트를 포함합니다. 이를 통해 제로 트러스트 접근 방식으로 RAG LLM 애플리케이션에 대한 체계적인 보안 리뷰 프로세스를 구축하는 전략을 수립할 수 있습니다.
| 구분 | 일반 애플리케이션 | LLM 애플리케이션 |
| 공격자 | 외부 공격자, 내부 이용자 | 외부 공격자, 내부 이용자, LLM 애플리케이션 |
| 보호 데이터 | 개인정보, Confidential 데이터 등 | 개인정보, Confidential 데이터, 학습모델 등 |
| MFA 요구 | 외부에서 접근 가능한 PIPS 계정생성, 권한부여/승인을 관리하는 애플리케이션 결제 서비스 재무 데이터를 다루는 애플리케이션 |
Confidential 데이터를 학습한 애플리케이션 개인정보를 학습한 애플리케이션 LLM 모델 트레이닝 애플리케이션 RAG 관리 애플리케이션 |
| 보안전략 | 일반적인 보안전략 | 제로 트러스트 기반 보안전략 |
| 권한 | 정적 권한 | 맥락기반 동적 권한 |
| 승인여부 | 유저 권한에 따라 승인없이 처리 | 접근 리소스나 처리 명령에 대해 사용자 승인 필요(휴먼 가드레일) |
반응형
'Security > Architecture' 카테고리의 다른 글
| RAG LLM Application 보안 - 데이터 보호 (1) | 2025.06.01 |
|---|---|
| RAG LLM Application 보안 - 인가 (0) | 2025.06.01 |
| RAG LLM Application 보안 - 인증 (0) | 2025.06.01 |
| Application Security Architecture - 보안 3요소 적용 (0) | 2023.08.06 |
| Application Security Architecture - Design Principles (0) | 2023.08.06 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday