1학기 : AI 보안 프레임워크 및 위험 평가 (전공 필수)
-
[과목 1] NIST AI RMF (Risk Management Framework) 해체
- 학습 목표 : AI 시스템의 신뢰성을 확보하기 위한 핵심 기능별 체크리스트 수립법 마스터
-
[과목 2] ISO/IEC 42001 (AI 경영시스템) 표준 분석
- 학습 목표 : 세계 최초의 AI 국제 표준 인증인 ISO42001의 요구사항을 뜯어보고, 기업이 AI 서비스를 도입할 때 구축해야 하는 전사 보안 프로세스 설계법 학습
-
[과목 3] MITRE ATLAS
- 학습 목표 : AI 공격자들의 전술·기법·절차(TTP)를 이해하고, 회사의 AI 인프라가 공격받을 수 있는 시나리오 평가 템플릿 제작
2학기 : CSP 기반 AI 인프라 및 Agent 보안 (전공 심화)
-
[과목 1] CSP AI 플랫폼 보안 아키텍처 (AWS Bedrock & Azure AI Foundry)
- 학습 목표 : 각 CSP가 제공하는 AI 가드레일 설정법, 데이터 프라이버시(임직원이 입력한 데이터가 모델 학습에 쓰이지 않도록 차단하는 법), API 키 및 권한 관리 정책 수립
- 내 경험 활용 가능 (AWS Bedrock 환경 점검 경험)
-
[과목 2] AI Agent 및 툴 제어 (MCP, Skills 등)
- 학습 목표 : AI가 자율적으로 판단하고 행동하는 ‘Agent 기반 서비스’에서 발생하는 권한 남용, 프롬프트 주입을 통한 내부 시스템 탈취 메커니즘 분석 및 차단 정책 수립
3학기 : AI 보안 심의 및 거버넌스 수립 (실무 응용)
-
[과목 1] 기업형 AI 보안 규정 및 가이드라인 제정
- 학습 목표: “임직원의 챗GPT 활용 가이드”, “사내 LLM 모델 배포 전 필수 보안 체크리스트” 등 실제 삼성이 현업에 배포할 만한 규정 초안(Post-Action 가이드라인) 기획
-
[과목 2] 부서 간 조율을 위한 AI 보안 심의 프로세스 설계
- 학습 목표: 현업 부서가 “이 AI 서비스 빨리 배포하게 해달라”고 조를 때, 보안성을 훼손하지 않으면서도 비즈니스를 유연하게 지원하는 ‘심의 프로세스 및 타협안’ 도출 시뮬레이션
4학기: 임직원 AI 보안인식 제고 (교양 및 세미나)
- [과목 1] AI 시대의 데이터 유출 트렌드 및 사례 분석
- 학습 목표: 타 기업의 소스코드 유출 사례 등을 기반으로, 임직원들이 쉽게 이해할 수 있는 카드뉴스나 5분 가이드라인 형태의 교육 자료 기획
우선순위
1순위: 프레임워크 및 위험 평가 (전공 필수)
2순위: CSP 기반 인프라 및 Agent 보안 (전공 심화)
3순위: AI 보안 심의 및 거버넌스 수립 (실무 응용)
4순위: 임직원 AI 보안인식 제고 (교양 및 세미나)
마지막으로
내가 만약 00사의 AI 보안 총괄 팀장(CISO)이라면 사내에 어떤 가이드라인을 배포할 것인가?
라는 마음 가짐을 가지고 공부를 시작해 보자.