무슨 일이 있었나
영국 국가사이버보안센터(NCSC)는 2026년 5월 11일 'AI 모델을 사용하여 취약점을 찾을 때 해야 할 10가지 질문'이라는 제목의 지침을 발표했으며, 단순히 더 많은 취약점을 찾는 것이 보안을 개선하지 못하며 적절한 분류, 우선순위 지정 및 해결 프로세스 없이는 보안을 악화시킬 수 있음을 경고했다. 이 지침은 AI 보안이 독립적인 분야가 아니라 기존 사이버보안 프레임워크 및 운영 거버넌스에 통합되어야 함을 강조한다.
왜 중요한가
이는 AI 취약점 발견을 도구 선택이 아닌 이사회 수준의 분야로 다루는 첫 번째 NCSC 지침이다. 이 지침은 2025년에 할당된 40,000개 이상의 CVE 중 약 400개만 적극적으로 악용되었고 약 40개는 처음 사용될 때 제로데이였다는 점을 지적하며, 대량 중심의 발견보다는 우선순위가 지정된 패칭의 필요성을 강조한다. 이 프레임워크는 조직이 AI 취약점 스캐너를 도입하기 전에 데이터 노출 위험, 권한, 호스팅된 모델의 관할권 및 예산 영향을 고려하도록 권장한다.
필요한 조치
보안 팀은 AI 취약점 발견 도구를 배포하기 전에 10가지 질문 프레임워크를 검토하고, 취약점 관리 프로세스가 증가된 발견 용량을 처리할 수 있도록 보장하며, 외부 공격 표면 스캔을 우선순위로 지정하고, AI 및 인적 검증을 모두 사용하여 탐지 결과를 확인해야 한다. 조직은 또한 기본적인 사이버 위생(알려진 취약점 패칭, 자산 관리)이 가장 높은 ROI 보안 투자로 남아 있다는 점을 고려할 때 AI 모델이 필요한지 여부를 평가해야 한다.