무슨 일이 있었나
UK National Cyber Security Centre (NCSC)는 2026년 5월 18일 'agentic AI 도입 전 신중히 생각하기'라는 제목의 블로그를 발표했으며, Five Eyes 파트너(호주, 캐나다, 뉴질랜드, 미국)와 함께 공동 작성한 지침을 요약했다. 'agentic AI 서비스의 신중한 도입'이라는 전체 지침 문서는 agentic AI 시스템을 배포하는 조직을 위한 권장사항을 제시하며, agentic AI 시스템은 계획을 세우고, 의사결정을 내리고, 데이터 소스에 접근하고, 도구를 사용하며, 목표 달성을 위해 자율적으로 행동할 수 있는 시스템이다.
왜 중요한가
이는 agentic AI 배포 위험을 구체적으로 다루는 최초의 조정된 Five Eyes 지침이다. 이 지침은 agentic AI를 연구 주제에서 공식적인 사이버보안 거버넌스 관심사로 격상시키며, 인간의 책임성, 최소 권한 접근 제어, 런타임 모니터링 및 개입 능력을 요구한다. NCSC는 명시적으로 다음과 같이 명시한다: '에이전트의 행동을 이해하거나, 모니터링하거나, 통제할 수 없다면 배포할 준비가 된 것이 아니다.' AI 보안 실무자들에게는 agentic 시스템이 권한 있는 자동화와 동일한 엄격함으로 관리되어야 하며, 제어 기능이 입증될 때까지 파일럿 배포를 저위험 작업으로 제한해야 한다는 기준선 기대치를 수립한다.
필요한 조치
NCSC의 제어 프레임워크에 따라 계획 중이거나 기존의 agentic AI 배포를 검토하라: 에이전트 접근에 최소 권한을 적용하고, 배포 전에 인간의 책임성을 정의하며, 런타임 모니터링 및 설명 가능성 메커니즘을 구현하고, 개입 절차를 수립하라. Five Eyes 관할권에 있거나 이들에게 서비스를 제공하는 조직의 경우 이 지침을 규제 신호로 취급하라. 규제 당국과 조달 기관은 이러한 권장사항을 기준선 기대치로 채택할 수 있다.