무슨 일이 있었나
Infosecurity Europe 기간 중 OWASP GenAI Security Summit(2026년 6월 4일)에서 OWASP GenAI Security Project는 에이전트 AI를 위한 엔터프라이즈 채택 성숙도 모델을 소개했습니다. 이는 2026년 6월 3일 논문 'State of Agentic AI Security and Governance v2.01'에서 도출된 모델입니다. 이 모델은 6개의 에이전트 배포 레벨(AT0 섀도우 AI부터 AT5 커스텀 인하우스 에이전트까지)을 4개의 거버넌스 성숙도 레벨(애드혹부터 지속적인 거버넌스-애즈-코드까지)과 매핑하여, 거버넌스가 배포와 일치하지 않는 지점을 표시하는 빨강/노랑/초록 매트릭스를 생성합니다. OWASP는 또한 에이전트 시스템을 위한 지속적인 보안 연구를 조율하기 위해 에이전트 연구 위원회 구성을 발표했습니다.
왜 중요한가
대부분의 에이전트를 배포하는 조직은 '레드 셀'에서 운영 중입니다 — AT3–AT5 자율 에이전트를 배포하면서도 AI 코파일럿을 위해 설계된 AT1 등급 거버넌스를 여전히 실행하고 있습니다. 성숙도 모델은 위협 모델링, 조달 요구사항, 감사 기준에 대한 공유 언어를 제공하며, 컨설팅 팀과 CISO가 특정 제어 투자 또는 자율성 감소를 정당화하기 위해 즉시 적용할 수 있습니다.
필요한 조치
조직의 배포된 에이전트를 OWASP 배포-거버넌스 매트릭스에 표시합니다. 레드 셀에 있는 모든 에이전트는 명명된 소유자 책임, AI-SBOM, 실시간 로깅, 자율성 제한을 획득하여(레벨 2에 도달하기 위해) 기존 제어가 충분할 때까지 도구 범위와 권한을 줄이거나 어느 한 쪽을 수행해야 합니다.