무슨 일이 있었나
CISA, NSA, 호주 ASD ACSC, 캐나다 Centre for Cyber Security, 뉴질랜드 NCSC, 영국 NCSC는 2026년 5월 1일에 '에이전트형 AI 서비스의 신중한 도입'이라는 제목의 공동 지침을 발표했으며, 권한, 설계 및 구성, 행동, 구조적, 책임성의 5개 범주에 걸쳐 23가지 서로 다른 위험을 제시했습니다. 이 지침은 에이전트형 AI 시스템이 전통적인 GenAI와 달리 연결된 도구, 메모리 시스템, 외부 데이터 소스를 사용하여 자율적으로 추론하고 결정을 내리며 조치를 취한다는 점을 강조합니다.
왜 중요한가
이는 에이전트형 AI 시스템을 구체적으로 다루는 최초의 조정된 다중 정부 보안 지침으로, 자율 에이전트 위험을 신흥 벤더 문제에서 중요 국가 기반 시설 분류로 옮기고 있습니다. 이 지침은 과도한 권한을 가진 AI 에이전트가 결제를 승인하고, 계약을 수정하고, 기록을 조작하고, 로그를 삭제하고, 감시 추적에서 합법적으로 나타나면서 민감한 정보를 유출할 수 있음을 경고합니다. 운영 기술, 보안 운영 또는 엔터프라이즈 자동화에 AI를 통합하는 조직은 새로운 유형의 사이버 및 거버넌스 문제에 직면하고 있습니다.
필요한 조치
조직은 단계적 AI 배포, 제한된 권한, 고위험 작업에 대한 인간 개입 승인, 지속적인 모니터링 및 감시, 강력한 로깅, 분할된 환경, 견고한 위협 모델링, 보안 중심 설계 구현을 구현해야 합니다. 이 지침은 AI 보안을 독립적인 분야가 아니라 기존 사이버보안 프레임워크에 내장된 것으로 취급할 것을 권장합니다.