무슨 일이 있었나
영국 국가사이버보안센터(NCSC)는 2026년 5월 11일 'AI 모델을 사용하여 취약점을 찾을 때 묻어야 할 10가지 질문'이라는 제목의 지침을 발표했으며, 단순히 더 많은 취약점을 발견하는 것이 적절한 분류, 우선순위 지정 및 복구 프로세스 없이는 보안을 개선하지 못하며 오히려 악화될 수 있다고 경고했다. 이 지침은 AI 보안이 독립적인 분야가 아니라 기존 사이버보안 프레임워크와 운영 거버넌스에 포함되어야 한다고 강조한다.
왜 중요한가
이는 NCSC가 AI 취약점 발견을 도구 선택이 아닌 이사회 수준의 분야로 다루는 첫 번째 지침이다. 이 지침은 2025년에 할당된 40,000개 이상의 CVE 중 약 400개만 적극적으로 악용되었고 약 40개는 처음 사용될 때 제로데이였다는 점을 지적하며, 대량 발견 중심이 아닌 우선순위 지정 패칭의 필요성을 강조한다. 이 프레임워크는 조직이 AI 취약점 스캐너를 도입하기 전에 데이터 노출 위험, 권한, 호스팅된 모델의 관할권 및 예산 영향을 고려할 것을 촉구한다.
필요한 조치
보안 팀은 AI 취약점 발견 도구를 배포하기 전에 10가지 질문 프레임워크를 검토하고, 취약점 관리 프로세스가 증가된 발견 결과를 처리할 수 있는지 확인하며, 외부 공격 표면 스캔을 우선순위로 지정하고, AI와 인적 검증을 모두 사용하여 탐지 결과를 확인해야 한다. 또한 조직은 기본적인 사이버 위생(알려진 취약점 패칭, 자산 관리)이 가장 높은 ROI 보안 투자로 남아 있다는 점을 감안할 때 AI 모델이 필요한지 평가해야 한다.