무슨 일이 있었나
카네기 유럽의 펠로우 Raluca Csernatoni과 Patryk Pawlak은 자율형 AI 에이전트가 사이버공간 작업의 활동적인 참여자가 되고 있으며, 의사결정을 연쇄적으로 수행하고, 취약점을 식별하며, 머신 속도로 다단계 침입을 실행할 수 있다고 주장합니다. 또한 기존 EU 사이버보안 및 AI 거버넌스 프레임워크가 이러한 변화에 대응할 수 없다고 지적합니다. 이 논문은 구체적인 2025-26년 사례 증거를 제시합니다: Moltbook 플랫폼이 단 17,000명의 인간 운영자가 제어하는 150만 개의 에이전트 API 토큰을 노출한 사건, 그리고 Anthropic이 UK AISI 테스팅 후 Claude Mythos Preview 모델을 공개적으로 출시하지 않기로 결정한 사건(해당 모델은 전문가 수준의 캡처-더-플래그 챌린지를 73%의 확률로 해결했으며 32단계 시뮬레이션 네트워크 침입을 완료함). 저자들은 유럽이 더욱 실무적인 거버넌스 접근이 필요하다고 주장합니다: 실시간 모니터링 능력, AI 기반 사이버 방어에 대한 투자, 더 명확한 에이전트 책임 규칙, 그리고 미국 최전선 모델에 대한 의존도를 줄이기 위한 전략.
왜 중요한가
이는 EU 정책입안자와 CISO를 위해 사이버 위험을 재구성합니다: 자율형 에이전트는 인간 공격자를 보조하는 도구에서 독립적으로 정찰, 익스플로잇 개발 및 침입을 수행하는 행위자로 전환되고 있으며, 현재 EU 프레임워크(AI Act, NIS2)가 대응하도록 구축되지 않은 거버넌스 격차입니다.
필요한 조치
에이전틱 사이버 거버넌스 격차에 대해 EU 규제업무 및 보안 리더십을 브리핑하고, 보안 도구에서 미국 최전선 모델 의존도에 대한 노출을 평가합니다.