금융권 수준의 AI 보안을 위한 Google Cloud Model Armor 설계 및 거버넌스 가이드

한국 금융권은 고객의 민감한 금융 정보와 자산을 다루기 때문에 세계적으로 가장 높은 수준의 보안 규제를 받고 있습니다.

최근 금융위원회와 금융보안원의 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’ 개정안은 기존의 규제 중심에서 금융사의 ‘자율보안’ 및 ‘자기책임원칙’을 강화하는 방향으로 전환되었습니다.

이는 Google Cloud Gemini와 같은 생성형 AI 기술 도입의 문을 열어주었지만, 동시에 데이터 보호, 접근 통제, 시스템 보안, 감사 추적성 등 다방면에 걸쳐 더욱 엄격한 자체 규제 준수 노력을 요구합니다.

본 블로그는 Google Cloud 의 Model Armor를 중심으로, 한국 금융권의 강화된 보안 정책과 ‘금융분야 AI 보안 가이드라인’을 만족시키기 위한 체크리스트 및 점검 가이드를 제공합니다.
특히, Model Armor와 Cloud DLP를 연동한 고급 데이터 보호 기능, 한국어 콘텐츠에 대한 탐지 성능 최적화 방안을 상세히 다룹니다.
또한, Model Armor만으로는 해결하기 어려운 부분과 서비스 장애 시나리오에 대한 대안책을 제시하여, 금융 기관이 안전하고 규정을 준수하는 방식으로 생성형 AI를 도입할 수 있도록 돕는 것을 목표로 합니다.

 

1. Google Cloud Model Armor 개요

Model Armor는 Gemini와 같은 대규모 언어 모델(LLM)을 위한 보안 및 안전 정책을 적용하는 완전 관리형 서비스입니다 .
개발자가 API를 직접 호출하여 사용하거나, Google Cloud의 네트워크 서비스(부하 분산기, GKE 인퍼런스 게이트웨이) 및 Apigee API 게이트웨이 등과 인라인(Inline)으로 연동하여 보안 필터를 적용할 수 있습니다 .
이를 통해 애플리케이션 코드를 수정하지 않고도 유해한 콘텐츠, 개인정보(PII) 유출, 프롬프트 인젝션과 같은 LLM 관련 보안 위협으로부터 모델과 사용자를 실시간으로 보호합니다. 

 

주요 특징:

• 중앙 집중식 정책 관리: 여러 애플리케이션과 모델에 대한 보안 정책을 한곳에서 통합 관리할 수 있습니다.
• LLM 특화 보안: 프롬프트 인젝션, 탈옥(Jailbreaking) 등 LLM 고유의 취약점에 대응하는 필터를 제공하며, 이 필터들은 한국어를 포함한 여러 언어에 대해 테스트되었습니다.
• 고급 데이터 보호: 사용자 프롬프트와 모델 응답에서 개인 식별 정보(PII)와 같은 민감 데이터를 탐지하고, 단순 차단을 넘어 마스킹 또는 대체하는 정교한 처리가 가능합니다.
• 모니터링 및 감사: 모든 트랜잭션에 대한 상세한 로깅과 모니터링 대시보드를 제공하여 규제 준수 및 사후 감사를 지원합니다.
• 유연한 통합: VPC 서비스 제어, 비공개 서비스 연결 등 GCP의 네트워킹 서비스와 원활하게 통합되어 금융권의 망분리 환경 요구사항을 충족할 수 있습니다.

 

2. Model Armor의 한계 및 대안

Model Armor는 강력한 LLM 보안 도구이지만 모든 요구사항을 단독으로 해결할 수는 없습니다. 한계를 이해하고 다른 서비스와 조합하여 보완하는 것이 중요합니다.

 

가. Model Armor로 할 수 없는 내용 (한계점)

1. 복잡한 비즈니스 로직 처리:
   • “사용자 등급에 따라 답변 상세 수준 조절”이나 “특정 상품 질문은 다른 백엔드 시스템으로 라우팅” 등 복잡한 비즈니스 로직을 직접 구현하기 어렵습니다.
2. 정교한 동적 권한 부여:
   • “A 부서 사용자는 인사 정보 질문 불가”와 같이 사용자 역할이나 속성에 따른 동적이고 세분화된 접근 제어 정책 적용에 한계가 있습니다.
3. 비정형 데이터에 대한 완벽한 DLP:
   • Model Armor의 PII 필터는 강력하지만, 계약서나 보고서 내의 비정형적인 회사 기밀 정보나 지적 재산을 모두 탐지하는 데는 한계가 있을 수 있습니다. 특히 금융권 고유의 비정형 데이터는 사용자 정의 infoType을 통한 지속적인 튜닝이 필수적입니다.
4. 모델 자체의 동작 제어:
   • Model Armor는 모델의 ‘입력’과 ‘출력’을 제어할 뿐, 모델이 특정 주제에 대해 편향된 답변을 하거나 사실이 아닌 내용을 만들어내는 ‘환각(Hallucination)’ 현상 자체를 근본적으로 제어하지는 못합니다.

 

나. 대안 및 보완 아키텍처: 다층적 보안(Defense-in-Depth)

이러한 한계를 극복하기 위해 Model Armor를 핵심 보안 계층으로 활용하되, 다른 서비스와 조합하여 다층적 보안 아키텍처를 구성해야 합니다.

 

권장 아키텍처 예시:

 

고급 제어: 동적 역할 기반 접근 제어(RBAC) 구현

‘최소 기준 설정’이 모든 사용자에게 동일한 최소 보안 기준을 제공하는 반면, 금융 기관에서는 ‘은행 창구 직원’과 ‘투자 분석가’ 등 사용자의 역할에 따라 접근 가능한 데이터의 범위나 모델의 답변 수준을 동적으로 제어해야 하는 복잡한 시나리오가 많습니다. 이러한 동적 제어는 위에서 제안된 다층적 아키텍처를 통해 효과적으로 구현할 수 있습니다.

 

각 구성 요소의 역할 및 상호작용 흐름:

1. 요청 및 인증 (Apigee):
   • 역할: AI 서비스의 최전방 게이트웨이로서 사용자 인증, API 키 검증, OAuth 2.0 토큰 처리 등 초기 보안 검사를 수행합니다. 또한 DDoS 방어, 트래픽 급증 방지 정책을 적용합니다.
   • 상호작용: ‘은행 창구 직원’이 API를 호출하면, Apigee는 인증 시스템(예: LDAP)과 연동하여 사용자를 확인하고, 해당 사용자의 역할 정보(‘teller’)를 조회하여 HTTP 헤더(예: X-User-Role: teller)에 추가한 후 백엔드(BFF)로 요청을 전달합니다.
2. 동적 정책 결정 (커스텀 애플리케이션 – BFF):
   • 역할: 동적 권한 제어의 핵심 두뇌 역할을 수행하는 중개자입니다. Apigee로부터 전달받은 사용자 역할 정보를 바탕으로 세분화된 비즈니스 로직과 접근 정책을 구현합니다.
   • 상호작용: BFF는 X-User-Role 헤더를 읽고 역할에 맞는 Model Armor 템플릿 ID를 동적으로 선택합니다.
     • ‘은행 창구 직원’ (teller): 모든 PII 노출을 엄격히 차단하는 teller-template을 선택합니다.
     • ‘투자 분석가’ (analyst): 특정 금융 데이터 접근은 허용하되 고객 PII는 차단하는 analyst-template을 선택합니다.
3. 차등화된 보안 검사 (Model Armor):
   • 역할: BFF로부터 전달받은 컨텍스트(프롬프트와 템플릿 ID)에 따라 맞춤형 보안 검사를 수행합니다.
   • 상호작용 (양방향 검사):
     • 프롬프트 검사: BFF는 사용자 프롬프트와 선택된 템플릿 ID를 Model Armor의 sanitizeUserPrompt API로 전송합니다. Model Armor는 지정된 템플릿 규칙에 따라 프롬프트를 검사하고, 위반 사항이 없으면 ‘NO_MATCH_FOUND’를 반환합니다.
     • 응답 검사: BFF는 Gemini 모델로부터 받은 응답을 다시 동일한 템플릿을 사용하여 Model Armor의 sanitizeModelResponse API로 전송하여, 모델이 생성한 정보에 민감 정보나 유해 콘텐츠가 없는지 최종 필터링합니다.
     • BFF는 Model Armor의 최종 응답을 받아 안전한 결과만을 사용자에게 전달합니다.

이러한 아키텍처는 금융 기관이 조직 전체에 일관된 최소 보안 기준을 강제하면서도, 각 사용자의 역할과 책임에 맞는 유연하고 세분화된 AI 보안 제어를 동적으로 구현할 수 있게 해줍니다.

 

다. 장애 대응 시나리오: Fail-Close vs. Fail-Open

Model Armor 서비스 자체에 장애가 발생할 경우를 대비하여, 비즈니스 연속성 계획(BCP)과 보안 리스크 관리 정책에 따라 장애 대응 모드를 선택해야 합니다.

 

• 설정 방법: Gemini Enterprise 통합 환경에서는 Google Cloud 콘솔의 설정 페이지에서 “Model Armor 처리 실패 시 사용자 상호 작용 허용(Allow user interactions during Model Armor processing failure)” 토글 스위치를 통해 동작을 제어할 수 있습니다 .
  • Fail-Close (요청 차단): 이 토글을 ‘끔(Off)’으로 설정하면, Model Armor 서비스 장애 시 모든 사용자 요청이 차단됩니다 . 이는 보안을 최우선으로 하는 설정입니다.
  • Fail-Open (요청 허용): 이 토글을 ‘켬(On)’으로 설정하면, 장애 시에도 사용자 요청이 필터링 없이 LLM으로 전달됩니다 .
    이는 서비스 가용성을 우선하는 설정입니다.

 

• 금융 서비스를 위한 장단점 분석 및 권장 구성

장애 대응 모드	Fail-Open (요청 허용)	Fail-Close (요청 차단)
장점	서비스 연속성 보장: Model Armor 장애 시에도 AI 서비스가 중단되지 않아 비즈니스 가용성을 유지할 수 있습니다.	보안 무결성 유지: 보안 필터가 작동하지 않는 상황에서 발생할 수 있는 모든 잠재적 위협을 원천 차단하여 데이터와 시스템을 보호합니다
단점	보안 공백 발생: 필터링 없이 악성 프롬프트나 민감 정보가 처리될 수 있어, 데이터 유출, 모델 오용 등의 심각한 보안 사고로 이어질 수 있습니다	서비스 중단 발생: Model Armor 장애가 AI 서비스 전체의 중단으로 이어져 비즈니스 연속성과 사용자 경험에 영향을 줄 수 있습니다
BCP 및 리스크 관리 관점	가용성을 극도로 중시하지만, 보안 리스크가 상대적으로 낮은 내부 분석용 AI 등 제한적인 시나리오에 적합합니다	강력히 권장되는 구성. 고객 데이터, 금융 정보 등 민감 정보를 다루는 금융 기관의 경우, 일시적인 서비스 중단의 불편함보다 데이터 유출이나 규제 위반으로 인한 피해가 훨씬 크기 때문입니다

 

• 권장 구성 전략:
  금융 서비스의 경우, 보안은 타협할 수 없는 최우선 순위이므로 ‘Fail-Close(모든 요청 차단)’ 모드로 구성하는 것을 강력히 권장합니다. Model Armor와 같은 보안 제어 시스템에 장애가 발생했을 때 일시적으로 서비스를 중단시키는 것이, 보안 필터링 없이 요청을 처리하다가 발생할 수 있는 데이터 유출, 법규 위반, 브랜드 신뢰도 하락과 같은 치명적인 리스크를 감수하는 것보다 훨씬 안전한 선택입니다. BCP 관점에서도 통제된 서비스 중단은 예측 불가능한 보안 사고보다 대응 및 복구가 용이합니다.

 

4. 성능 고려사항: 지연 시간(Latency) 및 최소화 방안

Model Armor는 LLM 애플리케이션과 사용자 사이에 위치하여 프롬프트와 응답을 검사하는 독립적인 네트워크 홉(hop)을 추가하므로, 필연적으로 지연 시간(Latency)이 발생합니다. 한 비공식 테스트에서는 약 564ms의 평균 응답 시간이 추가되었다는 보고도 있으나, 실제 지연 시간은 활성화된 필터의 종류, 데이터 크기, 리전 등 여러 요인에 따라 크게 달라질 수 있습니다. 특히 불필요한 탐지기를 많이 활성화할수록 지연 시간은 증가할 수 있습니다.

금융권의 대고객 서비스 등 실시간 응답성이 중요한 애플리케이션을 위해 지연 시간을 최소화하는 것이 중요하며, 다음과 같은 방안을 적극적으로 고려해야 합니다.

 

최소화 방안	설명
동일 리전 배포 (Co-location)	애플리케이션, LLM, Model Armor 엔드포인트를 모두 동일한 Google Cloud 리전(예: asia-northeast3, 서울)에 배포하여 네트워크 지연 시간을 최소화하는 것이 가장 중요합니다.
템플릿 구성 최적화	사용 사례에 필수적인 보안 필터와 infoType만 포함하도록 Model Armor 및 DLP 템플릿을 최적화해야 합니다 . 불필요한 검사는 지연 시간을 직접적으로 증가시킵니다.
페이로드 크기 최소화	분석을 위해 Model Armor로 전송하는 데이터의 크기를 최소화해야 합니다. 꼭 필요한 텍스트만 전송하고 불필요하게 큰 프롬프트나 파일은 피해야 합니다.
비동기 처리	실시간 응답이 중요하지 않은 배치 분석, 콘텐츠 사후 검토 등의 워크로드에서는 요청을 큐에 넣고 비동기적으로 처리하여 사용자 경험에 영향을 주지 않으면서 보안 검사를 수행할 수 있습니다.
캐싱 전략 활용	동일하고 반복적인 프롬프트에 대해서는 Model Armor의 응답 결과를 캐싱하여 불필요한 API 호출을 줄일 수 있습니다. 단, 데이터의 최신성과 보안 영향을 신중히 고려해야 합니다.
Private Service Connect 사용	VPC 네트워크 내에서 Model Armor 리전 엔드포인트에 접근하는 경우, Private Service Connect를 사용하면 네트워크 경로를 최적화하고 지연 시간을 줄이는 데 도움이 될 수 있습니다.

 

 

5. 셀프 보안 체크

점검 가이드를 다운로드 하신후 내부 보안을 체크후 조치하시기 바랍니다.

 

점검 가이드 다운 로드  : 금융 규제 준수를 위한 Model Armor 체크리스트 및 점검 가이드

 

 

자세한 내용이 궁금하시다면, 메가존소프트 문의포탈을 통해 궁금한 부분을 남겨주세요.