무슨 일이 있었나
2026년 7월 9일, CIS와 SAFECode는 NIST 보안 소프트웨어 개발 프레임워크(SSDF)를 기반으로 하는 가이드를 업데이트한 '설계 단계의 보안: 소프트웨어 보안 관행 평가 가이드(Secure by Design: A Guide to Assessing Software Security Practices)' 버전 1.1을 발표했다. 새로운 버전은 인공지능 맥락에서의 소프트웨어 보안 관행에 대한 특정 지침을 추가하고 신흥 국제 표준과 정렬되어, 원본 가이드의 범위를 초과한다.
왜 중요한가
Secure by Design은 NIST SSDF의 광범위하게 참조되는 보조 자료로 소프트웨어 평가자 및 조달 팀에 의해 사용되며, AI 특정 평가 기준을 추가하면 이미 채택된 컨트롤 평가 프레임워크를 AI/ML 개발 파이프라인으로 확장하여 실무자에게 AI 지원 소프트웨어 보안 관행을 평가할 수 있는 구체적인 체크리스트를 제공한다.
필요한 조치
소프트웨어 보안 평가자 및 AI 개발 팀은 기존 SSDF 정렬 평가 프로세스 및 조달 설문지에 v1.1의 새로운 AI 특정 관행을 통합해야 한다.