무슨 일이 있었나
2026년 7월 9일, 침투 테스트, 인시던트 대응, 위협 인텔리전스 및 SOC 제공자를 인증하고 UK NCSC CHECK, CBEST, Dubai Cyber Force와 같은 정부 인정 제도를 운영하는 국제 회원 기구인 CREST는 17개 이상 국가의 60-73개 창립 서명 기업의 지지를 받아 CREST AI 헌장을 출범했습니다. 헌장은 사이버 보안 서비스 제공에서 책임 있는 AI 사용을 위한 9가지 원칙을 중심으로 구성되어 있습니다: 책임성 및 거버넌스, 사용의 투명성, 문서화 및 감사 가능성, 경계 및 제어(인간 감시), 데이터 처리/주권/클라이언트 제어, 보안 및 기밀성, AI 도구의 안전한 개발, 공급망 보증, 복원력/업무 연속성. 원칙들은 원래 2026년 3월에 미리 공개되었고 CREST 기술 워킹 그룹의 입력과 CRESTCon 업계 이벤트의 검증을 거쳐 최종화되었습니다. CREST는 헌장에 대한 후속조치로 공식적이고 독립적으로 평가 가능한 AI 보안 표준을 개발할 계획이며, 협업 워킹 그룹과 연구를 함께 진행할 것이라고 발표했습니다.
왜 중요한가
이것은 사이버 보안 서비스 제공자(클라이언트 시스템에 대한 특권 접근을 보유)가 자신의 서비스 제공에서 AI를 사용할 수 있는 방법을 구체적으로 규제하는 첫 번째 국경 간 산업 자율 규제 프레임워크입니다 — 공격의 대상으로서 AI 시스템을 규제하는 프레임워크(예: OWASP LLM Top 10, MITRE ATLAS) 또는 보안이 필요한 제품으로서의 AI(NIST AI RMF)와는 별개입니다. CREST 인증이 인정된 국가 제도(UK NCSC CHECK, Bank of England CBEST, Dubai DESC Cyber Force, UK CAA ASSURE)를 기반으로 하기 때문에, CREST의 AI 원칙은 규제 기관과 구매자가 AI 기반 침투 테스트, 레드 티밍 및 SOC 서비스를 평가할 때 지적하는 사실상의 기준선이 될 수 있습니다 — CREST 자체는 향후 규정 준수 단편화를 줄이기 위해 정부/규제 기관의 지지를 추구하고 있다고 말했습니다.
필요한 조치
보안 서비스 구매자는 제공자가 CREST AI 헌장 서명자인지 여부를 확인하고 헌장이 요구하는 투명성/문서화 산물(AI 사용 공개, 인간 감시 제어, 데이터 주권 조건)을 요청해야 합니다. 제공자는 CREST의 계획된 공식적이고 감사 가능한 표준에 앞서 내부 AI 도구 관행을 9가지 원칙에 대해 매핑해야 합니다.