무슨 일이 있었나
영국 국가 사이버 보안 센터(NCSC)는 5월 11일 'AI 모델을 사용하여 취약점을 찾을 때 묻어야 할 10가지 질문'이라는 제목의 지침을 발표했습니다. 이 문서는 AI 기반 취약점 스캔 및 발견을 고려하거나 이미 배포 중인 보안 팀을 위한 체크리스트를 제공합니다. 이 지침은 공격적 보안 및 취약점 연구 워크플로우에서 AI(특히 대규모 언어 모델)를 사용하기 위한 실질적인 고려사항을 다룹니다.
왜 중요한가
보안 운영에서 AI 채택이 가속화됨에 따라 방어자들은 AI 기반 보안 도구를 안전하게 평가하고 관리하는 방법에 대한 지침이 필요합니다. NCSC 지침은 AI 기반 취약점 발견에 대한 과장된 주장과 그러한 도구를 책임감 있게 배포하는 데 필요한 실질적인 위험 관리 사이의 격차를 메웁니다. AI가 기존 스캐너가 놓치는 취약점의 클래스(특히 의미론적/논리 결함)를 찾을 수 있다는 점을 인정하지만, 적절히 관리되지 않으면 새로운 운영 및 보안 위험을 초래합니다.
필요한 조치
AI 기반 취약점 발견 도구를 배포하는 보안 팀은 구현을 감시하기 위해 NCSC 지침을 참조해야 합니다. 규정 준수 팀은 이를 취약점 관리 프로그램의 AI 거버넌스 기준선으로 사용해야 합니다. NCSC 체크리스트를 AI를 활용하는 보안 도구의 조달 기준에 포함시키는 것을 고려하십시오.