무슨 일이 있었나
영국 국가사이버보안센터(NCSC)는 5월 11일 '취약점 발견을 위해 AI 모델을 사용할 때 물어봐야 할 10가지 질문'이라는 제목의 지침을 발표했습니다. 본 문서는 AI 지원 취약점 스캔 및 탐지를 검토 중이거나 이미 배포 중인 보안팀을 위한 체크리스트를 제공합니다. 본 지침은 공격적 보안 및 취약점 연구 워크플로우에서 AI(특히 대규모 언어 모델)를 사용할 때의 실질적인 고려사항을 다룹니다.
왜 중요한가
보안 운영에서 AI 도입이 가속화됨에 따라, 방어팀은 AI 지원 보안 도구를 안전하게 평가하고 관리하는 방법에 대한 지침이 필요합니다. NCSC 지침은 AI 기반 취약점 탐지에 대한 과대 광고와 이러한 도구를 책임감 있게 배포하는 데 필요한 실질적인 위험 관리 간의 간격을 메웁니다. AI가 기존 스캐너가 놓친 취약점 클래스(특히 의미론적/논리적 결함)를 발견할 수 있지만, 적절히 관리되지 않으면 새로운 운영 및 보안 위험도 초래할 수 있음을 인정합니다.
필요한 조치
AI 지원 취약점 탐지 도구를 배포하는 보안팀은 구현을 감사하기 위해 NCSC 지침을 참고해야 합니다. 컴플라이언스팀은 취약점 관리 프로그램의 AI 거버넌스에 대한 기준선으로 이를 활용해야 합니다. NCSC 체크리스트를 AI를 활용하는 보안 도구의 조달 기준에 통합하는 것을 고려하세요.