무슨 일이 있었나
OWASP의 GenAI 보안 프로젝트는 2026년 6월 1일 Agentic AI 보안 및 거버넌스 현황 v2.01을 발표했으며, 6월 4일 Infosecurity Europe의 OWASP GenAI 보안 서밋에서 이를 발표했다. 2025년 첫 번째 버전과 달리 v2.01은 문서화된 실제 인시던트를 기반으로 한다: OWASP Top 10 for Agentic Applications에 각 사건을 매핑하는 실제 인시던트 및 익스플로잇 트래커, 업데이트된 위협 분석, 엔터프라이즈 도입 성숙도 모델을 포함한 개정된 에이전트 분류 체계, 그리고 에이전트 ID, 비인간 ID, AI SBOM, 그리고 10개 관할권의 42개 규제 기관에 걸친 공급망 출처에 관한 새로운 섹션이 포함되어 있다.
왜 중요한가
문서에서 '그럴듯한 위협'에서 'CVE 기반 인시던트'로의 전환은 agentic AI 보안이 위험 모델링에서 운영 방어로 이동했음을 의미한다. 2025년 버전의 모든 위협 패턴은 이제 최소한 하나의 실제 사례가 첨부되어 있다. 이 논문은 또한 에이전트가 프로덕션 시스템에서 운영되기 시작하면 AI 안전과 AI 보안이 더 이상 병렬 기능으로 실행될 수 없다고 명시적으로 주장하며, 이는 기업이 AI 거버넌스를 인력 배치하고 구조화하는 방식에 직접적인 영향을 미친다.
필요한 조치
v2.01 보고서를 다운로드하고 실제 인시던트 트래커를 배포된 에이전트 인벤토리와 상호 참조하라. 엔터프라이즈 도입 성숙도 모델을 사용하여 현재 배포가 어느 거버넌스 계층에 해당하는지, 그리고 어떤 제어 기능이 누락되었는지 파악하라.